JDBC防止SQL注入(菜鸟笔记)

最新推荐文章于 2024-08-12 21:26:50 发布
最新推荐文章于 2024-08-12 21:26:50 发布
阅读量820 收藏
点赞数
分类专栏: Java持久化层 文章标签: sql jdbc 数据库 string null
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xsxjb/article/details/6213293
版权

JDBC中的SQL注入问题
SQL注入是利用某些系统没有对用户输入数据进行充分的验证的情况下,用户输入了恶意的SQL命令,导致数据库完成了错误的命令,或者导致数据库崩溃的方法。

 

下面是一个实例:
 String sql = "select * from ATable where name='" + name + "'";
 state = conn.createStatement();
 rs = state.executeQuery(sql);
 // 显示查询结果
 while (rs.next()) {
     System.out.println(rs.getInt(1) + " " + rs.getString(2));
 }
这里传进来的是  String name = "'1' or '1'='1'";

拼接出来的SQL语句中where语句后面的条件是(select * from ATable where name='1' or '1'='1')永远都是成立。

这会使Statement出现不可预料的结果。
为了解决这个问题。我们可以使用PrepareStatement。对上面没有验证的语句进行验证。
        Connection conn = DbUtils.getConnection();
        PreparedStatement state = null;
        ResultSet rs = null;
        try {
            String sql = "select * from ATable where name=?";
            state = conn.prepareStatement(sql);
            state.setString(1, name);
            rs = state.executeQuery();
            // 显示查询结果
            while (rs.next()) {
                System.out.println(rs.getInt(1) + " " + rs.getString(2));
            }
        }

PreparedStatement继承了Statement,没有了SQL注入的问题。(preparedStatement进行了预编译。)

如果使用预编译语句.传入的任何内容就不会和原来的语句发生任何匹配的关系.

(前提是数据库本身支持预编译,但目前可能没有什么服务端数据库不支持编译了,只有少数的桌面数据库,就是直接文件访问的那些)

只要全使用预编译语句,你就用不着对传入的数据做任何过虑.

而如果使用普通的statement,就要对drop等做费尽心机的判断和过虑.

如上面的程序:state = conn.prepareStatement(sql);

state 对象包含语句"select * from ATable where name=?",它已发送给DBMS,并为执行作好了准备。

设定参数:state.setString(1, name);
一旦设置了给定语句的参数值,就可用它多次执行该语句,直到调用clearParameters 方法清除它为止。

在连接的缺省模式下(启用自动提交),当语句完成时将自动提交或还原该语句。

xsxjb
关注
专栏目录
BUG 登入功能 用户名为文登入不成功
qq_45858803的博客
01-26 682
文章目录class UserLogin异常体提示显示结果错误原因纠正方法class UserLogin实现结果 class UserLogin import java.sql.*; import java.util.HashMap; import java.util.Map; import java.util.Scanner; public class UserLogin { public static void main(String[] args) { //初始化一个界面
菜鸟笔记---用MySQLJDBC实现用户管理系统
weixin_44686169的博客
07-29 710
刚学习了JDBC于是趁热写了一个用户管理系统 代码如下(不是教程 仅仅是想记录一下自己写过的代码): 1. 用户注册 package com.piggyz.javatest; import java.sql.Connection; import java.sql.DriverManager; import java.sql.PreparedStatement; import java.util.Scanner; public class register { public void reg
JDBC 防止SQL注入
m0_52376209的博客
08-02 311
sql语句参数化,防止sql注入 创建命令发送器(prepareStatement) 在选择命令发送器时,不再使用createStatement,而是使用prepareStatement 在建立连接后,先写好sql语句,使用?占位 //1.注册驱动 Class.forName("com.mysql.cj.jdbc.Driver"); //2.建立连接 Connection connection = DriverManager.ge
JDBC如何避免SQL注入
最新发布
几许的博客
08-12 545
SQL注入SQL Injection)是一种代码注入技术,它允许攻击者将或“注入”恶意的SQL命令到后端数据库引擎执行。这些恶意的SQL命令可以执行未授权的数据库查询、修改数据、管理数据库服务器上的文件系统、执行管理操作(如关闭数据库服务)等,从而可能对网站或应用程序造成严重的安全威胁。如果用户输入了admin'--(注意末尾的--由于--这允许攻击者绕过正常的验证逻辑,直接以admin用户的身份检索信息,即使他们不知道admin用户的密码。
JDBC-防止SQL注入
m0_63144452的博客
10-25 1021
1、什么是sql注入。----->sql拼接安全问题。 由于dao执行的SQL语句是拼接出来的,其有一部分内容是由用户从客户端传入,所以当用户传入的数据包含sql关键字时,就有可能通过这些关键字改变sql语句的语义,从而执行一些特殊的操作,对数据安全造成影响 而Statement存在sql注入的问题:因为他的sql字符串拼接。 2、预防方案。 ----->使用PrepareStatement来进行sql得预编译。 PreparedStatement利用预编译的机制将sql语句的主干
JDBC防止sql注入
shuangyvshenshi的专栏
06-30 388
1.过滤sql某些字符 public static string Filter(string value) { if (string.IsNullOrEmpty(value)) return string.Empty; value = Regex.Replace(value, @";", string.Empty);
Java-JDBC防止SQL注入攻击
yy310585的博客
01-29 254
Java-JDBC防止SQL注入攻击 SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。 例如 我们在JDBC写的验证用户登录的方法是直接使用Statement执行的,那么SQL语句就是直接使用字符串拼接的形式"select * from account where username ='"+username+"' and passwo
spring学习笔记 (4)使用spring jdbc模块
weixin_42640037的博客
06-03 1564
实体类与对应dao层的创建
[学习笔记]用JDBC-ODBC Bridge连接并查询SQL Server数据库
墨乡的专栏
09-21 2417
开始看的一本书介绍JSP连接数据库的方法有好几种,穿插着讲了一大堆,由于本人还是初学菜鸟,看了一会就看晕了,一会写了个用JDBC-ODBC的,还没写完又来了个直接用JDBC Native Bridge的,马上又介绍Java API的相关类,弄的我一头雾水,也不专心看了,但不学习还是不行的……呵呵,找了本简明的教材,介绍的简单易懂,一会就把数据库连接成功了,顺便写在这里方便以后查阅,也方便遇到同样
Ubuntu系统学习笔记-5.测试jdbc
u010303610的博客
12-07 554
前面几篇已经完成了LNMP,SSH,JAVA,Tomcat的安装,这次就先尝试写一个简单的java程序,来测试安装的mysql是否能够正常被java程序调用。   一、用phpmyadmin建立一个测试数据库 登录phpmyadmin后,左边列表点击“新建”,新建一个“mysqltest”(例)的数据库,然后点击“创建”,就会发现在左边的数据库列表出现了“mysqltest”的数据库,点
JDBC学习笔记之调用QueryRunner封装BaseDAO后如何实现事务回滚
qq_46009479的博客
04-20 508
使用dbtuils实现事务的回滚
JDBC防止SQL注入加强
qq_51178489的博客
07-14 92
package com.chu.first; import java.sql.*; public class JDBC2 { public static void main(String[] args) throws SQLException { // Connection con; //不用try catch时不用放出来 // PreparedStatement pst; //注意这里有prepare 'd' Sta
JDBC如何防止SQL注入
CMMI
04-18 703
package com.jtxx.finddata;    import java.sql.Connection; import java.sql.PreparedStatement; import java.sql.ResultSet; import java.sql.SQLException; import java.sql.Statement;
在使用jdbc的时候,如何防止出现sql注入的问题
qq_65951398的博客
05-30 1604
避免动态拼接 SQL 语句:避免将用户输入直接拼接到 SQL 语句,尤其是在没有充分验证和处理输入的情况下。使用哈希函数和加盐(Salt)来对密码进行加密,并将加密后的密码存储在数据库。在验证用户输入的密码时,对用户输入进行相同的哈希和加盐操作,然后将其与数据库存储的哈希值进行比较。通过限制数据库用户的权限,可以减少攻击者对数据库的潜在危害。输入验证和过滤:在接受用户输入之前,对输入进行验证和过滤是非常重要的。需要注意的是,以上措施可以大大减少 SQL 注入的风险,但不能完全消除风险。
JDBC 预防sql注入问题与解决方法[PreparedStatement]
心态的博客
05-24 861
JDBC 预防sql注入问题与解决方法[PreparedStatement]登录页面必会基础
JDBC连接如何防止SQL注入
lucyLee的博客
10-07 5091
1. 绪言 想要学习mybatis的相关知识,学习之前复习了下JDBC的相关知识 发现自己竟然连如何实现JDBC连接都不知道了,真的是少壮用CV(粘贴复制),老大徒伤悲???? 总结一下,JDBC连接分为三步: 加载JDBC驱动 创建数据库连接 操作数据库实现增删改查:获取statement,执行SQL语句,处理执行结果 简单的连接和查询示例如下: import java.sql.*; public class Test { private static final String DR
jdbc防止sql注入学习记录
xiaolintan的专栏
02-09 3651
package cn.itcast.jdbc; import java.sql.Connection; import java.sql.PreparedStatement; import java.sql.ResultSet; import java.sql.SQLException; import java.sql.Statement; public class SQLInject { p
jdbc动态条件查询防止sql注入的解决方案
devnn的专栏
01-05 4668
问题场景:这里的动态查询是指,select语句的某一个或多个查询条件是这种情况:不限或指定值。不限就是这个条件要去掉,指定值就是这个条件必须要。比如你会看到买房子的网站的查询选项是这样的: 地区:不限或北京、上海、…。(下拉选项) 类型:不限或二手房或新房。(下拉选项) 户型:不限或三室一厅、三室二厅、二室一厅、…。(下拉选项) 也可能还有更多的条件。分析:如果地区条件用户选不限,sql查询的whe
jdbc怎么防止sql注入
06-10
为了防止SQL注入攻击,我们可以采取以下措施: 1. 使用预处理语句:使用预处理语句可以有效地防止SQL注入攻击。预处理语句是在执行SQL语句之前将SQL语句和参数分开处理,从而消除了SQL注入攻击的风险。 2. 使用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值