SQL注入问题解决

最新推荐文章于 2023-03-09 11:01:29 发布
最新推荐文章于 2023-03-09 11:01:29 发布
阅读量413 收藏
点赞数
分类专栏: JavaEE
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zh_tnis/article/details/108195132
版权

1.什么是SQL注入?

通过SQL语句代码的漏洞,进而攻击系统,从而引起数据泄露。

例如:我的数据库表中的字段记录是

当我Java与数据库进行连接后使用姓名查询,输入'or 1 or'。这个姓名很明显是不存在的,但是查询出来的结果是

可以看到,使用'or 1 or'查询出来的结果是我之前进行查询过的结果,这就是SQL注入。

2.解决SQL注入。

2.1可以对Java语言中传递的字符进行预处理,但是量大,实施时间过长,难以实现。

2.2使用PerpredStatement与数据库连接,获取连接对象,对字符串事先进行预处理,然后再去执行SQL语句。

package com.utils;

import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;

public class PreJDBCTest {
	public static void main(String[] args) {
		PreparedStatement ps = null;      
		ResultSet rs = null;
		try {
			Connection conn = JDBCUtils.getConnection();//之前的工具类,直接调用获取连接对象
			String sql = "select * from tb7 where username=?";//?表示什么,通配符
			ps = conn.prepareStatement(sql);            //进行预处理
			/**1:表示参数索引在SQL语句中其实位置为1,"zhangsan":表示表的具体值
             *简单的说吧,就是第1个?的位置赋值zhangsan
             */   
			ps.setString(1, "zhangsan");//相当于select * from tb7 where username=zhangsan
			rs = ps.executeQuery(); //执行SQL语句不需要再传递SQL参数
			//输出rs的数据
			while(rs.next()){
				System.out.println(rs.getString("id")+"\t"+
			                       rs.getString("username")+"\t"+
						           rs.getDouble("salary")+"\t"+
			                       rs.getInt("age")+"\t"+
						           rs.getString("depart"));
			}
		} catch (SQLException e) {
			// TODO Auto-generated catch block
			e.printStackTrace();
		}
	}
}

3.Statement和PreparedStatement的区别是什么?

Statement:用于执行静态 SQL 语句并返回它所生成结果的对象。每次Statement只能打开一个ResultSet对象。也就意味着,Statement如果执行两次则打开两次,多次执行则多次打开。Statement中每执行一次都要重新对SQL语句进行编译。

PreparedStatement:用于处理动态SQL语句,在执行前会有一个预编译过程。与Statement不同的是,PreparedStatement本身已经实例化SQL语句,它的预先编译的结果会被保存下来,当下次再执行相同语句的时候,就不需要再次对SQL语句进行编译,从而它的效率是相当高的。

总而言之,PreparedStatement是Statement的子类,它继承了Statement这一个父类,继承了Statement的所有功能。先不说他本身,看Statement来说,只要Statement对象能做到的操作PrepareStatement都能做到,而PreparedStatement做的到的自身特有的功能Statement却不能做到。PreparedStatement的可读性、维护性、安全性都比Statement高。

zh_Tnis
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
如何解决sql注入问题
07-22
如何解决sql注入问题如何解决sql注入问题
解决sql注入问题
weixin_62246390的博客
03-20 1413
sql注入是黑客常用的方法,如果不解决会在某种程度上造成利益损失,以下为解决方法: 只要用户提供的信息不参与SQL语句的编译过程,问题解决了. 即使用户提供的信息中含有SQL语句的关键字,但是没有参与编译,不起作用 要想用户信息不参与SQL语句的编译,那么必须使用java.sql.PreparedStatement PreparedStatement接口继承了java.sql.Statement PreparedStatement是属于预编译的数据库操作对象 PreparedStatement...
sql注入解决方案
红星小学扛把子!
04-02 805
sql注入解决方案 mybatis Sql: <if test="safetyPageParam.caseStatus !=null and safetyPageParam.caseStatus != ''"> AND t2.channel_status in (${safetyPageParam.caseStatus}) </if> 问题: 使...
SQL注入以及解决方法
阳young的博客
01-26 8193
目录 SQL注入: 用例子说明: 1.创建user表,其中表中有三个字段,分别是id(有自增功能), username, password。并插入三条数据。 2.将数据库和Java连接并进行登录测试 3.运行代码:​ ​​这就是SQL注入的现象, 为什么会出现这样的现象? 那我们怎么该避免这种情况呢?这时候就需要用到PreparedStatement对象。 SQL注入: 由于jdbc程序在执行的过程中,sql语句在拼接时使用了由页面传入参数。如果用户恶意传入一些sql中的特殊关键字,就会.
用PHP函数解决SQL injection 作者:lm92 来源:CSDN
panex的专栏
06-23 782
SQL injection问题在ASP上可是闹得沸沸扬扬当然还有不少国内外著名的PHP程序“遇难”。至于SQL injection的详情,网上的文章太多了,在此就不作介绍。如果你网站空间的php.ini文件里的magic_quotes_gpc设成了off,那么PHP就不会在敏感字符前加上反斜杠(/),由于表单提交的内容可能含有敏感字符,如单引(),就导致了SQL injection的漏洞。在
pymysql如何解决sql注入问题深入讲解
09-09
本文将深入讲解如何使用pymysql有效地解决SQL注入问题。 首先,理解SQL注入的根本原因。当使用动态字符串拼接来构建SQL查询时,就容易受到SQL注入攻击。例如,在以下代码中,用户输入被直接用于SQL语句: ```...
通过ibatis解决sql注入问题
08-29
iBatis解决SQL注入问题 iBatis是一个流行的持久层框架,广泛应用于Java企业级开发中。然而,在使用iBatis时,开发人员经常面临着SQL注入问题SQL注入是一种常见的安全威胁,可能会导致数据泄露、数据篡改、系统...
sql注入网站源码
04-09
SQL注入是一种常见的网络安全漏洞,主要出现在使用动态SQL语句构建数据库查询的应用程序中。这个"sql注入网站源码"提供了一个具有SQL注入漏洞的ASP(Active Server Pages)网站实例,对于学习如何检测、防范和修复这...
SQL注入漏洞全接触.ppt
11-15
"SQL注入漏洞全接触"知识点总结 一、 SQL注入漏洞的定义和原理 * SQL注入漏洞是指攻击者通过构造特殊的输入,来获取或修改服务器上的敏感数据。 * SQL注入漏洞的原理是从客户端提交特殊的代码,从而收集程序及...
sql注入解决方法
shiAndyuanfang的博客
12-12 762
sql注入的原因: 表面上说是因为拼接字符串,构成sql语句,没有使用sql语句预编译,绑定变量造成的。 但是更深层次的原因是将用户输入的字符串,当成了“sql语句”来执行。 sql注入的常用两种解决方法: 1&gt; 基本上大家都知道 采用sql语句预编译和绑定变量,是防御sql注入的最佳方法。但是其中的深层次原因就不见得都理解了。 String sql = “select id, no fro...
防止sql注入解决方案
12-07
防止sql注入引起的网络安全的解决措施采用预编译语句集,它内置了处理SQL注入的能力,只要使用它的setString方法传值即可:
sql注入解决
hexiaoniao的博客
07-09 1859
sql注入解决
如何解决SQL注入
jj89929665的博客
11-11 297
如何解决SQL注入? 一.什么是sql注入 SQL注入是一种网络攻击方式,是程序猿编写疏忽,通过SQL语句,实现无账登录,甚至篡改数据库。 二.如何实现SQL注入攻击 寻找SQL注入位置 判断服务器类型和数据库类型 针对不同的服务器数据库特点进行SQL注入攻击。 三.攻击实例 String sql = select * from user_table where username='"username"' and password = '"password"'; 这样输入之后 就相当于 1 =
解决SQL注入问题
qq_51328499的博客
11-28 1102
什么是SQL注入 当我们使用Statement进行操作时,在执行sql语句时,存在参数拼凑成恒等表达式的问题,如以下代码 public class TestStatement { public static void main(String[] args) { String url = "jdbc:oracle:thin:@192.168.200.128:1521:XE"; String username = "HR"; Stri...
SQL注入解决方法
weixin_42377401的博客
11-15 750
SQL注入解决方法一、SQL注入说明二、2、SQL注入影响三、3、SQL注入示例四、4、SQL注入解决方法 一、SQL注入说明 应用为了和数据库进行沟通完成必要的管理和存储工作,必须和数据库保留一种接口。目前的数据库一般都是提供api以支持管理,应用使用底层开发语言如Php,Java,asp,Python与这些api进行通讯。对于数据库的操作,目前普遍使用一种SQL语言(Structured Query Language语言,SQL语言的功能包括查询、操纵、定义和控制,是一个综合的、通用的关系数据库语言,
SQL注入的一些示例及解决SQL注入的方法
最新发布
weixin_43618785的博客
03-09 8729
解决SQL注入的方法
数据库之解决SQL注入问题
程序员
08-04 640
String username="zhangsan"; String pass = "123'or''a'='a'"; Java.sql.Statement-->java.sql.PreparedStatement 使用java.sql.PreparedStatement类解决Sql注入问题: sql语句中需要传的值可以使用?占位符表示。这样可以起到 预编译的效果 防止sq
SQL注入解决方案
交小新的博客
09-24 611
SQL注入解决方案 //解决SQL注入攻击的方案 private static void login2() { try{ Class.forName("com.mysql.jdbc.Driver"); String url="jdbc:mysql:///cgb2104?characterEncoding=utf8"; Connection conn = DriverManager.getConnection(url, "root", "root");
【JAVA】如何解决SQL注入
热门推荐
阳阳的博客
11-02 1万+
如何解决SQL注入? 面试中经常问到,SQL注入是什么?又怎么防止SQL注入?为了不再尴尬得只回答出使用PreparedStatement,我们还是有必要了解一下其他的方式。 一、什么是SQL注入? 说简单点,就是部分用户在表单中输入sql语句的片段,对没有输入检验的网站可能带来毁灭性的打击,轻则绕过登录,重则...
SQL注入问题解决与Oracle性能优化实践
"《Oracle数据库性能优化》一书由盖国强、冯春培、叶梁、冯大辉编著,讲述了如何解决Oracle数据库的热点问题,尤其是SQL注入问题,并强调了性能优化的重要性。书中提到,热点问题通常源于不良SQL导致的不必要的数据...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值