JDBC中PreparedStatement如何防sql攻击

最新推荐文章于 2023-03-20 12:55:33 发布
最新推荐文章于 2023-03-20 12:55:33 发布
阅读量447 收藏
点赞数
分类专栏: JDBC 文章标签: PreparedStatement sql攻击
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zjkC050818/article/details/54381335
版权

需要用到JUnit测试

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;

import org.junit.Test;

public class Demo1 {

	public static void main(String[] args) {
		// TODO Auto-generated method stub

	}

	/**
	 * 登录 使用username和password去查询数据库 若查出结果集,说明正确,返回true 否则返回false 不能放防止sql攻击
	 * 
	 * @param username
	 * @param password
	 * @return
	 * @throws ClassNotFoundException
	 * @throws SQLException
	 */
	public boolean login1(String username, String password) throws ClassNotFoundException, SQLException {

		String driverClassName = "com.mysql.jdbc.Driver";
		String url = "jdbc:mysql://localhost:3306/mydb3";
		String mysqlUsername = "root";
		String mysqlPassword = "050818";
		Class.forName(driverClassName);
		Connection conn = DriverManager.getConnection(url, mysqlUsername, mysqlPassword);
		Statement stmt = conn.createStatement();
		String sql = "select * from t_user where username='" + username + "' and password='" + password + "'";
		System.out.println(sql);
		ResultSet rs = stmt.executeQuery(sql);
		return rs.next();

	}
	
	
	
	@Test
	public void fun1() throws Exception {
		/**
		 * sql攻击
		 */
		String username = "a' or 'a'='a";
		String password = "a' or 'a'='a";
		boolean bool = login1(username, password);
		System.out.println(bool);
	}

	/**
	 * 使用preparedStatement
	 * 
	 * @param username
	 * @param password
	 * @return
	 * @throws ClassNotFoundException
	 * @throws SQLException
	 */

	public boolean login2(String username, String password) throws Exception {

		String driverClassName = "com.mysql.jdbc.Driver";
		String url = "jdbc:mysql://localhost:3306/mydb3";
		String mysqlUsername = "root";
		String mysqlPassword = "050818";
		Class.forName(driverClassName);
		Connection conn = DriverManager.getConnection(url, mysqlUsername, mysqlPassword);

		/**
		 * 一、得到PreparedStatement对象 1.给出sql模板:所有的参数使用?来代替
		 * 2.调用Connection方法,得到PreparedStatement
		 */
		String sql = "select * from t_user where username=? and password=?";
		PreparedStatement pstmt = conn.prepareStatement(sql);

		/**
		 * 二、为参数赋值
		 */
		pstmt.setString(1, username); // 给第一个问号赋值
		pstmt.setString(2, password); // 给第二个问号赋值

		ResultSet rs = pstmt.executeQuery(); // 不需要参数,已经有sql语句了
		return rs.next();
	}


	
	@Test
	public void fun2() throws Exception {
		/**
		 * sql攻击
		 */
		String username = "zhangsan";
		String password = "050818";
//		String username = "a' or 'a'='a";
//		String password = "a' or 'a'='a";
		boolean bool = login2(username, password);
		System.out.println(bool);
	}

}




JacobGo
关注
专栏目录
使用preparedStatementsql攻击
YangKK_
06-17 284
preparedStatement的介绍 preparedstatementstatement的子接口 prepared的优点 sql攻击 提高代码的可读性和可维护性 提高效率 什么是sql攻击 例如:用户在登录的时候输入的账号和密码都是sql语句的片段。 preparedStatement实现sql攻击的代码实现 package cn.itcast.demo3; import ...
PreparedStatement是如何SQL注入的
ChasonYang
02-27 803
SQL注入最简单也是最常见的例子就是用户登陆这一模块,如果用户对SQL有一定的了解,同时系统并没有做SQL注入处理,用户可以在输入的时候加上’两个冒号作为特殊字符,这样的话会让计算机认为他输入的是SQL语句的关键字从而改变你的SQL语句,造成不可估量的损失。 在JDBC通常会使用PreparedStatement来代替Statement来处理sql语句,如 St...
JDBC使用preparedStatementSQL注入
qq_43842093的博客
08-29 1405
一、SQL注入 SQL注入是一种比较常见的网路攻击方式,一些恶意人员在需要用户输入的地方,恶意输入SQL语句的片段,通过SQL语句,实现无账号登录,甚至篡改数据库。 二、SQL注入实例 登录场景: 在一个登录界面,要求用户输入账号和密码。 我们的代码会有如下SQL语句: String sql="select * from user where account='"+account+"' and password='"+password+"'"; 情形1:(免账号登录) 账号:' or 1=1-- (--
jdbc使用PreparedStatement调用SQL语句
weixin_53387031的博客
01-10 1155
使用PreparedStatement调用SQL语句,实现对数据库的增删改查 最基本的更新数据库的一条操作:(jdbc.properties为配置文件,包含4个参数,移植性好) package preparedstatement.curd; import java.io.InputStream; import java.sql.Connection; import java.sql.DriverManager; import java.sql.PreparedStatement;
通过PreparedStatementSQL注入
jakelihua
11-25 628
简介:本文只讲PreparedStatementSQL注入的写法,大家学会就好。..
JDBCPreparedStatement详解及应用场景介绍
weixin_62079735的博客
03-20 6831
在Java,当需要向数据库执行SQL语句并传递参数时,我们通常会使用PreparedStatement接口。PreparedStatement继承自Statement接口,用于预编译SQL语句并执行参数化查询,这样可以提高执行效率并SQL注入攻击
JDBC使用preparedStatement解决SQL注入的问题
sunny_wwu的博客
04-19 1257
今天学习JDBC的时候老师讲到了使用Statement会产生sql注入的问题,并且讲了解决方案,所以写在这里和大家一起学习
jdbc获取PreparedStatement最终执行的sql语句
ilove_story的博客
08-16 3472
//直接打印PreparedStatement对象 System.out.println(ps); 输出结果: com.mysql.jdbc.JDBC42PreparedStatement@5f205aa: select * from easybuy_product where name like '%%' order by price asc limit 0,20
JDBC查看Preparedstatement执行的sql语句
qq_42352406的博客
07-26 9486
通过JDBC4查看 String sql = "select * from user where uname = ?"; //执行sql语句 ps=conn.prepareStatement(sql); ps.setString(1, uname); res = ps.executeQuery(); String rsq = ((JDBC4PreparedStatement)ps).asSql()...
JDBC之PreparedStatement预编译的综合应用解析
09-05
PreparedStatement是Java JDBC用于执行预编译SQL语句的接口,它是Statement的子接口。预编译的SQL语句可以提高数据库操作的性能和安全性。在数据库系统,预编译意味着SQL语句在首次执行前已经过编译,形成一个...
sqljdbcsqljdbc4 sqlserver最新驱动
04-21
这两个版本都是JDBC(Java Database Connectivity)驱动,允许Java开发者在应用程序SQL Server进行交互。下面将详细介绍这两个驱动以及如何使用它们。 1. SQLJDBC驱动: SQLJDBC是微软发布的早期版本的JDBC...
适用SQL Server 2016版本的数据库加载驱动包jdbc
03-19
1. **导入驱动**:在Java项目,你需要将解压后的"sqljdbc"目录的`mssql-jdbc-<version>.jar`文件添加到项目的类路径。这样,Java虚拟机在运行时就可以找到并加载该驱动。 2. **建立连接**:在Java代码,你...
JDBCPreparedStatement用法代码示例
iTED
01-17 2496
为了止用户使用sql语句注入攻击数据库,可以使用Statement接口的子接口 java.sql.PreparedStatement extends Statement 该接口表示预编译的 SQL 语句的对象,SQL 语句被预编译并存储在 PreparedStatement 对象。然后可以使用此对象多次高效地执行该语句。  如何获取PreparedStatement的实现类对象呢?
详解JDBC的PreparedStatement
qf2019的博客
08-25 3692
PreparedStatement是用来执行SQL查询语句的API之一,Java提供了 Statement、PreparedStatement 和 CallableStatement三种方式来执行查询语句,其 Statement 用于通用查询,PreparedStatement 用于执行参数化查询,而 CallableStatement则是用于存储过程。同时PreparedStatement还经常会在Java面试被提及,本文我们就来详细聊一聊JDBC的PreparedStatement。 那么Prepa
各种函数声明和定义模块
最新发布
09-16
各种函数声明和定义模块
湖北工业大学在河南2021-2024各专业最低录取分数及位次表.pdf
09-16
全国各大学在河北2021-2024年各专业最低录取分数及录取位次数据,高考志愿必备参考数据
1805.06605v2 DEFENSE-GAN.pdf
09-16
1805.06605v2 DEFENSE-GAN.pdf
【语音去噪】FIR和IIR低通+带通+高通语音信号滤波(含时域频域分析)【含Matlab源码 4943期】.mp4
09-16
Matlab领域上传的视频均有对应的完整代码,皆可运行,亲测可用,适合小白; 1、代码压缩包内容 主函数:main.m; 调用函数:其他m文件;无需运行 运行结果效果图; 2、代码运行版本 Matlab 2019b;若运行有误,根据提示修改;若不会,私信博主; 3、运行操作步骤 步骤一:将所有文件放到Matlab的当前文件夹; 步骤二:双击打开main.m文件; 步骤三:点击运行,等程序运行完得到结果; 4、仿真咨询 如需其他服务,可私信博主或扫描视频QQ名片; 4.1 博客或资源的完整代码提供 4.2 期刊或参考文献复现 4.3 Matlab程序定制 4.4 科研合作 语音处理系列程序定制或科研合作方向:语音隐藏、语音压缩、语音识别、语音去噪、语音评价、语音加密、语音合成、语音分析、语音分离、语音处理、语音编码、音乐检索、特征提取、声源定位、情感识别、语音采集播放变速等;
提升效率:PreparedStatement在Java JDBC的动态SQL应用
Java JDBC编程的PreparedStatement接口是Statement接口的一个增强版本,主要用于执行动态SQL语句,特别是那些包含参数的查询。PreparedStatement的优势在于其预编译的特性,这使得代码执行效率得到显著提高。相比...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值