Java-JDBC防止SQL注入攻击

最新推荐文章于 2023-08-24 16:59:28 发布
最新推荐文章于 2023-08-24 16:59:28 发布
阅读量236 收藏 1
点赞数
分类专栏: Java-JDBC 文章标签: mysql java jdbc
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yy310585/article/details/113361727
版权

Java-JDBC防止SQL注入攻击

  • SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。
  • 例如
    • 我们在JDBC中写的验证用户登录的方法是直接使用Statement执行的,那么SQL语句就是直接使用字符串拼接的形式"select * from account where username ='"+username+"' and password ='"+pwd+"'";
    • 那么这个时候,如果输入的用户名是qwer,密码是qwer'or'a'='a这样的字符串
    • 然后,这个用户名与密码在与SQL语句完成拼接后就变成了"select * from account where username ='qwer' and password ='qwer'or'a'='a'";
    • 这样,SQL的where子句就变成了判断(有没有账号为qwer并且密码为qwer)或者(a=a)
    • 很显然,a=a肯定成立,所以就会直接查询数据表中的所有数据,这样就实现SQL注入获取了数据表中的数据

如何防止SQL注入

  • 为了防止SQL注入攻击,JDBC中推荐使用预编译语句对象prepareStatement执行SQL查询语句

    • PreparedStatement可以使用 ? 作为参数的占位符
    • 使用?作为占位符,即使是字符串和日期类型,也不使用单独再添加 ‘’
    • 如果SQL语句中有?作为参数占位符号,那么要在执行CURD之前先设置参数
    • 通过set***(问号的编号,数据) 方法设置参数
    • prepareStatment对象在set***方法上,会对单引号进行转译处理,也就是说,?中的数据的单引号 ‘ 会被转义成 \’,这样就单引号就不会破坏sql语句的结构

  • 首先准备一个实体类

package com.shanlei.entity;

import java.io.Serializable;

/**
 * @author: shanlei
 * @version: 1.0
 */
public class Account implements Serializable {
    private int id;
    private String user;
    private String password;
    private double balance;

    @Override
    public String toString() {
        return "Account{" +
                "id=" + id +
                ", user='" + user + '\'' +
                ", password='" + password + '\'' +
                ", balance=" + balance +
                '}';
    }

    public Account() {
    }

    public Account(int id, String user, String password, double balance) {
        this.id = id;
        this.user = user;
        this.password = password;
        this.balance = balance;
    }

    public int getId() {
        return id;
    }

    public void setId(int id) {
        this.id = id;
    }

    public String getUser() {
        return user;
    }

    public void setUser(String user) {
        this.user = user;
    }

    public String getPassword() {
        return password;
    }

    public void setPassword(String password) {
        this.password = password;
    }

    public double getBalance() {
        return balance;
    }

    public void setBalance(double balance) {
        this.balance = balance;
    }
}
  • JDBC查询代码
package com.shanlei.test02;

import com.shanlei.entity.Account;

import java.sql.*;
import java.util.ArrayList;
import java.util.List;
import java.util.Scanner;

/**
 * @author: shanlei
 * @version: 1.0
 */
public class TestInjection {
    private static String url = "jdbc:mysql://localhost/mytestdb?useSSL=false&usrUnicode=true&characterEncoding=UTF-8&serverTimezone=Asia/Shanghai";
    private static String user = "root";
    private static String password = "123456";
    // 这是main方法,实现程序主要逻辑
    public static void main(String[] args) {
        // 使用扫描器录入用户名密码
        Scanner sc = new Scanner(System.in);
        System.out.print("请输入账号:");
        String userIn = sc.next();
        System.out.print("请输入密码:");
        String passwordIn = sc.next();
        // 调用getAccount验证账号密码
        List<Account> account = getAccount(userIn, passwordIn);
        System.out.println(account.isEmpty()?"登录失败":"登录成功");
        sc.close();

    }
    public static List<Account> getAccount(String userIn, String passwordIn){
        Connection connection = null;
        PreparedStatement preparedStatement = null;
        ResultSet resultSet = null;
        List<Account> accounts = null;
        try {
            // 加载注册驱动
            Class.forName("com.mysql.cj.jdbc.Driver");

            // 获取连接
            connection = DriverManager.getConnection(url, user, password);

            // 获取语句对象
            /*
             * 1使用PreparedStatement语句对象防止注入攻击
             * 2PreparedStatement 可以使用 ? 作为参数的占位符
             * 3使用?作为占位符,即使是字符串和日期类型,也不使用单独再添加 ''
             * 4connection.createStatement();获得的是普通语句对象 Statement
             * 5connection.prepareStatement(sql);可以获得一个预编译语句对象PreparedStatement
             * 6如果SQL语句中有?作为参数占位符号,那么要在执行CURD之前先设置参数
             * 7通过set***(问号的编号,数据) 方法设置参数
             * */
            String sql = "select * from account where user = ? and password = ?";
            preparedStatement = connection.prepareStatement(sql);//这里已经传入SQL语句
            // 设置参数
            preparedStatement.setString(1,userIn);
            preparedStatement.setString(2,passwordIn);

            // 执行语句
            resultSet = preparedStatement.executeQuery();// 这里不需要再传入SQL语句
            accounts = new ArrayList<Account>();
            while(resultSet.next()){
                int id = resultSet.getInt("id");
                String user = resultSet.getString("user");
                String password = resultSet.getString("password");
                double balance = resultSet.getDouble("balance");
                accounts.add(new Account(id, user, password, balance));

            }

        } catch (ClassNotFoundException e) {
            e.printStackTrace();
        } catch (SQLException e) {
            e.printStackTrace();
        }finally {
            //关闭资源
            if(null != resultSet){
                try {
                    resultSet.close();
                } catch (SQLException e) {
                    e.printStackTrace();
                }
            }
            if(null != preparedStatement){
                try {
                    preparedStatement.close();
                } catch (SQLException e) {
                    e.printStackTrace();
                }
            }
            if(null != connection){
                try {
                    connection.close();
                } catch (SQLException e) {
                    e.printStackTrace();
                }
            }
        }
        return accounts;
    }
}
yy310585
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java项目防止SQL注入的四种方案
学IT,找陈寒
10-10 9097
SQL注入是一种严重的安全漏洞,但通过采取适当的预措施,可以有效地防止它。在Java项目中,使用预编译语句、输入验证和过滤、ORM框架以及安全的数据库访问库是防止SQL注入攻击的四种常见方法。选择适合你的项目的方法,并始终保持警惕,以确保你的应用程序免受潜在的威胁。😊🙏Java面试技巧Java面试八股文 - 掌握面试必备知识(目录篇)Java学习路线2023年完整版Java学习路线图AIGC人工智能Chat GPT是什么,初学者怎么使用Chat GPT,需要注意些什么Java实战项目。
Java项目防止SQL注入的方式总结
睡竹的博客
03-02 9524
Java项目防止SQL注入的方式总结 springboot配置请求过滤器防止SQL注入 nginx防止SQL注入 mybatis防止SQL注入
防止SQL注入攻击的10种有效方法
热门推荐
qq_28245087的博客
06-29 3万+
本文介绍了10种防止SQL注入攻击的方法,包括使用参数化查询、输入验证和过滤、存储过程、最小权限原则、ORM框架、准备语句、安全的数据库连接、避免动态拼接SQL语句、使用火墙和入侵检测系统以及定期更新和维护数据库软件。输入验证和过滤是一种用于确保用户输入数据的安全性和有效性的技术。需要注意的是,具体的代码实现可能因使用的数据库驱动库而有所不同,但核心思想是相同的:使用PreparedStatement来执行参数化查询,将用户输入作为参数传递给查询,而不是直接拼接到查询字符串中,以提高应用程序的安全性。
JavaEE基础学习打卡06】JDBC之进阶学习PreparedStatement!
编程火箭车(Coding Rocket)专注编程领域
08-24 1173
上篇文章我们学习了JDBC编程基本步骤,步骤中使用Statement执行SQL语句。其实还有一个更好的方式,就是PreparedStatement,预编译语句。与Statement相比有诸多优势,目前开发中一般使用PreparedStatement。所以我们非常有必要进行学习,而且日后的持久层框架底层也是使用PreparedStatement。
JDBC-防止SQL注入
m0_63144452的博客
10-25 953
1、什么是sql注入。----->sql拼接安全问题。 由于dao中执行的SQL语句是拼接出来的,其中有一部分内容是由用户从客户端传入,所以当用户传入的数据中包含sql关键字时,就有可能通过这些关键字改变sql语句的语义,从而执行一些特殊的操作,对数据安全造成影响 而Statement存在sql注入的问题:因为他的sql字符串拼接。 2、预方案。 ----->使用PrepareStatement来进行sql得预编译。 PreparedStatement利用预编译的机制将sql语句的主干
spring-jdbc-tips:Spring JDBC,SQL和Java
01-28
`JdbcTemplate`提供了基本的SQL执行功能,支持预编译的参数化SQL语句,防止SQL注入攻击。而`NamedParameterJdbcTemplate`则更进一步,允许我们使用命名参数,提高了代码可读性。 在Spring JDBC中,数据源...
Java-JDBC资料.rar
最新发布
03-20
4. **执行SQL语句**:Statement用于执行静态SQL语句,PreparedStatement可以预编译SQL语句,提高执行效率,防止SQL注入攻击。掌握两种方式的使用场景和方法。 5. **结果集处理**:ResultSet对象用于存储查询结果,...
PrestoDEMO(JAVA-JDBC
05-19
3. **安全性**:防止SQL注入攻击,对用户输入的SQL语句进行适当的验证和清理。 4. **性能优化**:根据查询需求调整Presto的配置,例如设置合适的连接池大小和超时时间。 5. **测试**:对应用进行充分的单元测试和...
JDBC如何有效防止SQL注入
12-14
JavaJDBC编程中,防止SQL注入至关重要,以下是一些有效的策略: 1. **预编译SQL语句(PreparedStatement)**: 使用`PreparedStatement`代替`Statement`是防止SQL注入的基本方法。预编译的SQL语句将参数化查询...
JAVA-JDBC-DbUtils教程简单到精通!
02-01
)占位符,自动处理参数绑定,防止SQL注入攻击。 6. **事务管理**:提供TransactionManager类,用于管理和控制数据库事务,确保数据的一致性。 在学习和使用DbUtils时,你需要掌握以下几个关键点: 1. **配置...
JDBC:使用PreparedStatement防止SQL注入
javy_codercoder的博客
10-20 1万+
1.关于SQL注入 什么是SQL注入: 由于jdbc程序在执行的过程中sql语句在拼装时使用了由页面传入参数,如果用户恶意传入一些sql中的特殊关键字,会导致sql语句意义发生变化,这种攻击方式就叫做sql注入,参考用户注册登录案例。   首先看一下以下代码: String sql = "select* from users where username='" + userName
JAVA JDBC 防止SQL注入
福州大数据 hadoop学习
04-23 221
package org.jeecg.modules.common.util; import com.alibaba.fastjson.JSONObject; import java.sql.*; public class DbUtil { //定义mysql加载驱动,老版本的mysqljar包用的驱动参数时“com.mysql.jdbc.Driver”,新版的如下所示 private static final String driver = "com.mysql.jdbc.Driv.
防止SQL注入
weixin_33873846的博客
03-28 190
参考:http://hi.baidu.com/wangyue06/item/c00c824b35cf740ae835049c 1.传统JDBC,采用PreparedStatement 。预编译语句集,内置了处理SQL注入的能力 String sql= "select * from users where username=? and password=?"; //如果把?改为:u...
第十篇——JDBC操作数据库之Filter过滤器(拦截404)
有天你会让我妒忌的.
03-13 2389
JavaWeb中提交中文经常会出现404,500等错误,想必各位都遇到过吧,例如:这个界面相信大家也熟悉吧,但非常不友善,我非常讨厌,决定修理他!先看看相关知识点:过滤器有四种拦截方式!分别是:REQUEST、FORWARD、INCLUDE、ERROR。REQUEST:直接访问目标资源时执行过滤器。包括:在地址栏中直接访问、表单提交、超链接、重定向,只要在地址栏中可以看到目标资源的路径,就是REQ...
Druid拦截sql语句,实现在添加一个查询条件
不将就不念旧的博客
05-30 9016
Druid拦截sql语句,实现在添加一个查询条件 这里就不详细描述原理了。 首先需要重写一下FilterEventAdapter里的connection_prepareStatement方法,然后对sql进行解析,根据不同情况添加where查询条件。 package com.spek.base.filter; import java.sql.SQLException; impor...
JDBC 如何有效防止 SQL 注入
weixin_33708432的博客
12-21 525
转载请注明出处:http://blog.csdn.net/linglongxin24/article/details/53769810 本文出自【DylanAndroid的博客】 #JDBC如何有效防止SQL注入 在我们平时的开发中,作为新手写JDBC很有可能忽略了一点,那就是根本没有考虑SQL注入的问题,那么,什么是SQL注入,以及如何防止SQL注入的问题。 一什么是SQL注入 ...
java防止sql注入_java 防止sql注入的简单方法
weixin_42563415的博客
02-15 131
package test;import java.sql.Connection;import java.sql.PreparedStatement;import java.sql.ResultSet;import utils.DBUtils;public class TestEmp {public static void main(String[] args) throws Exception {...
JAVA安全编码手册.pdf
06-09
SQL注入攻击发生在应用程序将用户提供的数据直接插入到SQL查询中,而没有进行适当的清理或转义。这样,攻击者能够构造出可以执行任意SQL命令的输入,导致数据库被非法访问或操控。 **危害:** SQL注入可能导致数据...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值