SQL注入问题及PreparedStatement使用优点

最新推荐文章于 2021-10-09 08:54:55 发布
最新推荐文章于 2021-10-09 08:54:55 发布
阅读量195 收藏
点赞数
分类专栏: 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zengqifeng1997/article/details/89162782
版权

SQL注入问题及PreparedStatement使用优点


SQL注入问题,对于如下语句
SELECT id,name,birthday FROM student WHERE NAME=’ 张三 ‘;
本意是查找名字为张三的学生,传递的参数因为名字 张三
如果我传递参数为 ’ OR 1 OR ‘,那么SQL语句为
SELECT id,NAME,birthday FROM student WHERE NAME=’’ OR 1 OR ‘’;
你会发现该语句可以执行成功并且查询出了student表中所有的记录
显然是不合理的,称之为SQL注入的一种,这是Statement会出现的一个问题。
推荐使用PreparedStatement的原因如下
1.预编译,?代替参数,检查参数是否合法,不合法不让通过,可防止SQL注入。
2.Statement会使数据库频繁编译SQL语句,造成数据库缓冲区溢出,效率低下。
3.数据库和驱动会对PreparedStatement进行优化(数据库连接一直存在的情况下)

PreparedStatement ps 这是一个接口,继承自接口Statement st
st的使用
Statement st = conn.createStatement();
st.executeQuery(sql语句);
ps的使用
PreparedStatement ps = conn.preparedStatement(sql语句);//sql语句写在这里
设置sql中?位置的参数
ps.executeQuery();//注意这里这个方法中是没有参数的,调用的是预编译ps中的方法,可以防止很多问题和提高效率
//如果这里ps.executeQuery(sql语句);,那就是调用它的父接口里的方法,效果就和st执行的方法一样了,运行报错,?不能通过编译。

java.sql.Date 是java.util.Date类的子类,两者之间的转换
定义两个对象
java.sql.Date sd;
java.util.Date ud;
父类转成子类
sd = new java.sql.Date(ud.getTime());
子类转成父类
方式一:ud = sd;//父类接受子类,编译时表现为父类性质,运行时表现为子类性质
方式二:ud = new java.util.Date(sd.getTime());//转换成父类,只表现为父类性质

打印ud ,发现以上两种方式打印结果格式不一样,因为java.sql.Date 重写了String方法,对输出格式重新定义了

说明
连接数据库执行SQL语句返回结果这整个过程中,连接数据库花费的时间是最多的,建立数据库的连接底层是基于TCP/IP协议。时间较长。

this is 小疯子
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SQL注入与防范(PreparedStatement优点)----JDBC-3
HelloWorld20151118的博客
12-15 703
有些人学编程想必一定是受了黑客的影响,看着他们如何牛逼~自己也想向他们一样,黑了别人的网站什么的。 今天说的SQL注入虽然不应定能让你黑了某个网站,或许会让你明白一些黑客入侵的方法,提高自己的防范意识! /** * SQL 注入小例 *操作oracle中一个user表,表中只有一个数据:username = Tom,password = 123456 *模拟一种有漏洞的登录
防止SQL攻击之PreparedStatement使用
guozhaohui628
01-18 348
1. 导语可能有点标题党 哈哈,现在一般的网站登录,用户名和密码被正则限制的死死的,一般很难有漏洞通过sql语句,登录进去,但是不妨碍我们做一个demo,看看怎么的漏洞能被sql利用,同时学习怎样加强防备使用PreparedStatement来预防。 2. 学习一般我们登录时,一般会把我们的用户名和密码用来作为sql查询的条件,查询数据库,如果能查到则说明有次用户,如果查不到当然无此用户。查询时我
PreparedStatement优点
蓝色天空
10-08 123
为什么要始终使用PreparedStatement代替Statement? 在JDBC应用中,如果你已经是稍有水平开发者,你就应该始终以PreparedStatement代替Statement.也就是说,在任何时候都不要使用Statement. 基于以下的原因: 一.代码的可读性和可维护性. 虽然用PreparedStatement来代替Statement会使代码多出几行,但...
PreparedStatementStatement的区别
lkking的博客
04-18 106
PrepareStatementStatement的区别 使用PreparedStatement好处: 1.不在使用+拼接sql语句,减少语法错误,语义性强 2.将模板sql(固定的部分)和参数部分进行了分离,提高了维护性 3.有效的解决了sql注入问题 4.大大减少了编译次数,效率较高 import org.junit.Test; import java.io.FileInputStre...
DBA工具——DMV——通过sys.dm_exec_procedure_stats查看存储过程执行信息
数据库天地
05-29 211
对于DBA来说,经常要手机存储过程的某些信息: 执行了多少次 执行的执行计划如何 执行的平均读写如何 执行平均需要多少时间 列名 数据类型 说明 database_id int 存储过程所在的数据库 ID。 object_id int 存储过程的对象标识号。 type char(...
SQL注入原理与解决方法代码示例
09-09
总之,SQL注入是Web应用程序安全的一个重要问题,开发者需要对用户输入进行严格控制,并采用预编译语句等安全措施来防止此类攻击。同时,定期进行安全审计和更新安全策略也是保持系统安全的关键。
Java数据库连接PreparedStatement使用详解
08-29
2. 防止 SQL 注入:PreparedStatement 可以防止 SQL 注入攻击,因为它使用参数绑定,而不是将用户输入直接拼接到 SQL 语句中。 使用 PreparedStatement 的步骤 1. 加载驱动:首先需要加载 JDBC 驱动,以便连接...
防止SQL注入的5种方法
06-13
随着互联网技术的发展与普及,网络安全问题日益凸显,其中SQL注入作为常见的安全威胁之一,对于任何基于数据库的应用系统都构成了潜在风险。SQL注入攻击通过非法输入数据,利用应用程序对用户输入验证不足或不当处理...
详解MyBatis直接执行SQL查询及数据批量插入
09-02
而`${}`则是直接替换为变量值,不进行预编译,适用于动态构建SQL语句,但需注意SQL注入风险。 - **resultType与resultMap**:如果SQL查询的列名与Java对象的属性名完全匹配,可以省略`resultMap`,直接使用`...
Java 使用注解拼接SQL语句
11-18
同时,确保SQL注入的安全性也非常重要,需要正确处理用户输入并使用预编译的SQL语句(如PreparedStatement)。 5. **DAO(数据访问对象)**: 在文件列表中提到了"DAO",这通常指的是数据访问层。在Java应用中,...
JDBC中Statement和PreparedStatement的择弃
分享,卓越
07-20 1424
PreparedStatement是用来执行SQL查询语句的API之一,Java提供了 Statement、PreparedStatement 和 CallableStatement三种方式来执行查询语句,其中 Statement 用于通用查询, PreparedStatement 用于执行参数化查询,而 CallableStatement则是用于存储过程。同时PreparedStatement
sql注入***的各种注入方法
weixin_34117211的博客
09-25 169
ASP编程门槛很低,新手很容易上路。在一段不长的时间里,新手往往就已经能够编出看来比较完美的动态网站,在功能上,老手能做到的,新手也能够做到。那么新手与老手就没区别了吗?这里面区别可就大了,只不过外行人很难一眼就看出来罢了。在界面的友好性、运行性能以及网站的安全性方面是新手与老手之间区别的三个集中点。而在安全性方面,新手最容易忽略的问题就是SQL注入漏洞的问题。用NBSI 2...
中级JAVA:JDBC中PreparedStatementStatement的差别
数字成都
03-15 999
Statement对象: 用于执行不带参数的简单SQL语句; 特点: a. 只执行单条的sql语句; b. 只能执行不带参数的sql语句; c.运行原理的角度,数据库接收到sql语句后需要对该条sql语句进行编译后才执行; d.与其它接口对比,适合执行单条且不带参数的sql语句,这种情况执行效率相对较高。 PreparedStatement对象 执行带或不带 IN 参数的预编译 SQL 语...
SQL注入类型
01-27 6131
SQL注入类型详解 SQL 注入是指web应用程序对用户输入数据控制不严格,导致用户输入数据被拼接到SQL语句中被数据库执行导致的安全问题,按照注入方式可以分为联合注入、布尔盲注、时间盲注、堆叠注入以及报错注入等五种注入方式。在sql注入时影响返回单行的不仅仅是sql 语句的问题,有时是代码层面的问题。 判断注入是否存在 and 1=1,and 1=2 返回页面数据不同 ?id=3-1,返回数据内容不同 添加’、""以及其他特殊符号报错 联合注入 前提要求:数据会进行回显,页面有显位符,在一个在
PrepareStatementstatement,有什么区别,preparedStatement有哪些优点
此生不换的博客
04-25 5701
(1)Statement是PreparedStatement的父类,作为 Statement 的子类,       PreparedStatement 继承了 Statement 的所有功能。  (2)PrepareStatementstatement的sql语句放置位置不同 Statemen st=conn.CreateStatement(); resultSet rs=st.exec
常用sql注入语句
热门推荐
hey
08-19 1万+
首先,看看SQL注入攻击能分为以下三种类型: Inband:数据经由SQL代码注入的通道取出,这是最直接的一种攻击,通过SQL注入获取的信息直接反映到应用程序的Web页面上; Out-of-band:数据通过不同于SQL代码注入的方法获得(譬如通过邮件等) 推理:这种攻击时说并没有真正的数据传输,但攻击者可以通过发送特定的请求,重组返回的结果从而得到一些信息。 不论是...
PreparedStatement使用好处
weixin_52714188的博客
07-09 1504
数据库连接被用于向数据库服务器发送命令和SQL语句,在连接建立后,需要对数据库进行访问,执行sql语句在java.sql包中有3个接口分别定义了对数据库的调用的不同方式:Statement,PreparedStatement,CallableStatemen。 PreparedStatement接口是Statement的子接口,它表示一条预编译过的SQL语句,有如下好处: 1代码的可读性和可维护性 2 PreparedStatement能提高性能:PreparedStatement执行sql后为预编译
相对于Statement,PreparedStatement优点是什么?
weixin_57413199的博客
10-09 1396
1、PreparedStatement有助于防止SQL注入攻击,因它会自动对特殊字符转义; 2、PreparedStatement可以用来进行动态查询; 3、PreparedStatement执行更快。 4、使用PreparedStatement的setter方法更容易写出面向对象的代码,而Statement的话,我们得拼接字符串来生成查询语句,如果参数过多得情况下,字符串拼接容易出错。 ...
sql注入学习——时间盲注
Lemon's blog
07-28 4527
前言:之前通过前九关学习到了回显注入、报错注入、布尔盲注等一些方法,这次就来详细的学习时间盲注。
preparedstatement
最新发布
05-23
PreparedStatement是Java中一种执行SQL语句的接口,它继承自Statement接口。与Statement相比,PreparedStatement具有以下优点: 1. 预编译:PreparedStatement会在执行之前先将SQL语句编译成二进制形式,从而提高执行效率。 2. 安全:PreparedStatement能够自动处理SQL注入攻击,因为它能够将输入参数转义为字符串。 3. 可读性:PreparedStatement能够更清晰地表达SQL语句,因为它能够在SQL语句中使用占位符代替具体的参数值。 使用PreparedStatement的基本流程如下: 1. 获取PreparedStatement对象:通过Connection对象的prepareStatement()方法获取PreparedStatement对象。 2. 编写SQL语句:使用占位符代替具体的参数值。 3. 设置参数值:使用PreparedStatement对象的setXXX()方法设置占位符对应的参数值。 4. 执行SQL语句:使用PreparedStatement对象的execute()方法执行SQL语句。 5. 处理结果:根据执行结果进行相应的处理。 示例代码: ```java PreparedStatement pstmt = conn.prepareStatement("SELECT * FROM users WHERE username = ?"); pstmt.setString(1, "john"); ResultSet rs = pstmt.executeQuery(); while (rs.next()) { // 处理查询结果 } rs.close(); pstmt.close(); ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值