[JAVA]IDEA演示使用PreparedStatement预编译接口防止SQL注入攻击

已于 2025-01-14 23:36:45 修改
阅读量1.1k 收藏 8
点赞数 11
文章标签: java 数据库 开发语言
于 2024-10-20 13:41:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/2301_79757798/article/details/142897992
版权

解决SQL注入问题

  • SQL注入攻击是指利用SQL漏洞越权获取数据的黑客行为
  • SQL注入攻击根源是未对原始SQL中的敏感字符做特殊处理
  • 解决方法:放弃Statement改用PreparedStatement处理SQL

那么什么是PreparedStatement?

PreparedStatement 预编译Statement是Statement的子接口,作为这个对象它可以对SQL进行参数化,预防SQL注入攻击,而且PreparedStatement比Statement执行效率更高

原始代码:

//存在SQL注入风险
//dno值为“ or 1=1 or 1=”时,所有筛选条件均失效
//SQL:select * from employee where pdname=" or 1=1 or 1="

String sql ="select * from employee where dname ='"+pdname+"'";
Statement stmt = conn.createStatement();
ResultSet rs = stmt.executeQuery(sql);
while(rs.next()){}
   ....
}

PreparedStatement改造以后的代码:

//利用PreparedStatement预防SQL注入风险
//当dname值为“or 1=1 or 1=”时,查询不到任何结果
//SQL:select * from employee where dname='\' or 1=1 or 1=\"
String sql ="select * from employee where dname=?";
PreparedStatement pstmt = conn.PreparedStatement(sql);
pstmt.setString(1,dname);//设置SQL参数,参数从1开始
ResultSet rs = pstmt.executeQuery();
while(rs.next()){
   ....
}

String sql = "select * from employee where dname=? ";

这段代码创建了一个SQL查询语句字符串,该语句的目的是从名为“employee”的表中查询所有满足特定部门名称(dname)条件的记录。其中“?”是一个占位符,用于后面设置具体的参数值

PreparedStatement pstmt = conn.PreparedStatement(sql);

这段代码使用数据库连接对象conn创建一个预编译的SQL语句对象pstmt,并传入前面定义的SQL查询语句。预编译的语句可以提高性能并且防止SQL注入攻击

pstmt.setString(1,dname);

这段代码将变量dname的值设置为SQL查询语句中第一个占位符的值。参数的索引从1开始,这是java中处理预编译语句参数的方式

ResultSet rs=pstmt.executeQuery();

这段代码执行预编译的SQL查询语句,并返回一个结果集rs,其中包含了满足查询条件的所有记录

while(rs.next()){

   ...... 

}

这个循环遍历结果集rs中的每一行记录。每次调用rs.next()会将游标移动到下一行记录,如果有下一行记录则返回true,否则返回false。在循环体中,可以通过rs的方法获取当前行各个列的值,并进行相应的处理

在IDEA代码中利用PreparedStatement接口实现查询部门信息,主要作用提供了一种更安全,更高效的方式来执行SQL查询,帮助防止SQL注入攻击。

首先我们定义一个接口Command,创建要用于连接数据库查询操作的execute方法

package hrapp;

public interface Command {
    public void execute();//执行的意思

}

在QueryCommand类中声明Command接口,并实现接口中的execute方法

package hrapp;

import java.sql.*;
import java.util.Scanner;

public class QueryCommand implements Command {

    @Override
    public void execute() {
        System.out.println("请输入部门名称:");
        Scanner in = new Scanner(System.in);
        String pdname = in.next();
        Connection conn = null;
        Statement stmt = null;
        PreparedStatement pstmt = null;
        ResultSet rs = null;
        try {
            //1.加载并注册JDBC驱动
            Class.forName("com.mysql.cj.jdbc.Driver");
            //2.创建数据库连接
            conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/imooc?useSSL=false&useUnicode=true&characterEncoding=UTF-8&serverTimezone=Asia/Shanghai&allowPublicKeyRetrieval=true","root","123456");
            //3.创建PreparedStatement对象
            String sql = "select * from employee where dname=?";
            pstmt = conn.prepareStatement(sql);
            pstmt.setString(1, pdname); //注意:参数索引从1
            //结果集
            rs = pstmt.executeQuery();
            //4.遍历查询结果
            /*rs.next()返回布尔值,代表是否存在下一条记录
             * 如果有,返回true,同时结果集提取下一条记录
             * 如果没有,返回false,循环就会停止
             * */
            while (rs.next()) {
                Integer eno = rs.getInt(1);//将当前数据的第一个字段的值提取出来转化为Int类型 JDBC中字段索引从1开始,而非0
                String ename = rs.getString("ename");//getString获取字符串
                Float salary = rs.getFloat("salary");
                String dname = rs.getString("dname");
                System.out.println(dname + "-" + eno + "-" + ename + "-" + salary);
            }
        } catch (ClassNotFoundException e) {
            e.printStackTrace();
        } catch (SQLException e) {
            e.printStackTrace();
        } finally {
            //5.关闭连接,释放资源
            try {
                if (rs != null) {
                    rs.close();
                }
            } catch (SQLException e) {
                e.printStackTrace();
            }
            try {
                if (pstmt != null) {
                    pstmt.close();
                }
            } catch (SQLException e) {
                e.printStackTrace();
            }
            try {
                if (conn != null && !conn.isClosed()) {
                    conn.close();
                }
            } catch (SQLException e) {
                e.printStackTrace();
            }
            //5.关闭连接,释放资源
        }


    }
}

 

创建HumanResourceApplication类用于调用上述实现方法
 

package hrapp;

import com.im.jdbc.sample.hrapp.command.Command;
import com.im.jdbc.sample.hrapp.command.PstmtQueryCommand;
import com.im.jdbc.sample.hrapp.command.QueryCommand;

import java.util.Scanner; //导入了Scanner类 用于从用户输入中读取数据

public class HumanResourceApplication {
    public static void main(String[] args) {
        System.out.println("1-查询部门员工");
        Scanner in = new Scanner(System.in);
        Integer cmd = in.nextInt();
        //创建了一个Scanner对象in,用于从标准输入读取用户输入。然后,读取一个整数cmd,这个整数代表用户选择的命令
        switch (cmd) {
            case 1:   //查询部门员工
                Command command = new PstmtQueryCommand();
                command.execute();
                break;

        }
    }
}

 

然后我们对运行结果进行查询操作
 

 

输入要查询的部门名称
 

 

可以看到两名员工信息被正确打印出来
 

我们再进行测试SQL注入风险操作
 

 

 回车后,我们可以发现没有任何数据被打印
 

 

 作为PreparedStatement在传入参数之前,已经对原始的输入数据做了敏感字符的特殊处理,故查询不到数据。

                

        

    

  



    

      

        

            

              
                
                  破晓*
                
              
            

            

                关注
              
            

        

        

          
      

      










                



	

		

			

				
					
idea操作jdbc(CRUD、SQL注入预编译

				
			

			

				

					qq_61727355的博客
				

				

					08-14
					
					953
					
				

			

		

		

			
				
2)在idea中新建lib目录存放jar包(需右击add as library)3)编码测试,测试插入一条数据。CRUD操作-create。CRUD操作-update。CRUD操作-delete。1)提取配置信息(解耦合)CRUD操作-read。

			
		

	



                

            
              



	

		

			

				
					
数据库 预编译 PreparedStatement

				
			

			

				

					m0_61799019的博客
				

				

					03-19
					
					1173
					
				

			

		

		

			
				
一、最初使用方式:

每条sql语句Statement单独执行,每次需要重新编译

像下面这个例子,向学生表中添加三条数据,则需要编译三次。


public static void testOld() {
        String sql1 = "insert into studentExam(stuName, exam1, exam2) values ('stu1', 90, 97);";
        String sql2 = "insert into studentExam(stuName,

			
		

	



              


  
              

                


	

		

			

				
					
预编译和编译

				
			

			

				

					lyc201219的博客
				

				

					02-01
					
					447
					
				

			

		

		

			
				
预编译:
 将所有"#define"删除,并且展开所有宏定义。
 处理所有条件预编译指令,比如"#if"、"#ifdef"、"#elif"、"#else"、"#endif".
 处理"include"预编译指令,将被包含的文件插入到改预编译指令的位置。注意,这个
 过程是递归进行的,也就是说被包含的文件可能还包含其他文件。
 删除所有的注释。
 添加行号和文件名标识,比如#2 "hel

			
		

	





	

		

			

				
					
Java 中预防 SQL 注入,从零基础到精通,收藏这篇就够了!

				
			

			

				

					韩束一叶子
				

				

					03-21
					
					1303
					
				

			

		

		

			
				
场景安全做法高风险做法(避免!执行 SQL 查询使用参数化拼接字符串生成 SQL动态表名/列名白名单校验合法值直接拼接用户输入输入验证正则表达式白名单过滤仅在前端验证或不做验证错误信息处理记录日志,返回通用错误提示返回详细数据库错误信息ORM 框架优先使用 Hibernate/JPA 的 Criteria 或 HQL手动拼接 HQL 或 JPQL关键点绝不信任用户输入:所有外部输入(包括 HTTP 请求参数、Cookie、Headers)均需验证和转义。代码审查。

			
		

	



		

			
		



	

		

			

				
					
IDEA toString 预编译导致调试结果不准确问题

				
			

			

				

					weixin_41622634的博客
				

				

					08-20
					
					495
					
				

			

		

		

			
				
这是因为当我们创建对象时,IDEA 为了显示对象的信息会默认去调用 toString 方法,如果你再 toString 中做了一些操作就会出现这个问题,toString 调用的次数取决于你断点调试的次数,如果你是一行一行调试的,那就每次都会调用,如果你没断点,IDEA 不需要显示视图就不会调用,最终调试结果就是对的,并且如果是发生在 toString 中的操作,断点也会被跳过,出现这样的提示。去掉 toString 对象视图的设置就行。

			
		

	





	

		

			

				
					
IntelliJ idea 开启自动编译设置

					
热门推荐

				
			

			

				

					杜兜菌的博客
				

				

					08-20
					
					3万+
					
				

			

		

		

			
				
打开Setting 页面,搜索compiler(如图)。点击 Compiler 选项,右边选项栏勾选 Build project automatically 。 
 
勾选后,界面下方会出现Problems 选项界面,工程的自动编译结果将在这里显示。 
...

			
		

	





	

		

			

				
					
预编译工具介绍

				
			

			

				

					huangzhoulvbu的博客
				

				

					03-01
					
					2473
					
				

			

		

		

			
				
预编译工具介绍1、简介2、功能演示1、我们先用java语言举例。1.1、先在桌面上建立一个空目录。1.2、我们编辑test.java内容如下:1.3、打开PreCompile工具,我们点击新建工程按钮。1.4、点击选择目录按钮,选择桌面上的test目录,项目类型选择java,点击确定即可创建好工程。1.5、双击红框处,打开test.java代码。1.6、效果如下:1.7、接下来,我们配置相应标签,...

			
		

	





	

		

			

				
					
如何获得PreparedStatement最终执行的sql语句

				
			

			

				

					03-24
				

			

		

		

			
				
Java的JDBC编程中,`PreparedStatement`是一个非常重要的接口,它用于预编译SQL语句,提高了数据库操作的效率和安全性。当我们处理大量重复的SQL操作时,使用`PreparedStatement`可以避免SQL注入等问题,同时提升...

			
		

	





	

		

			

				
					
Java 中 MyBatis 的 SQL 注入防范措施

					
最新发布

				
			

			

				

					Java技术栈实战开发的博客
				

				

					05-20
					
					616
					
				

			

		

		

			
				
本文旨在为Java开发者提供全面的MyBatis SQL注入防护指南,涵盖从基础概念到高级防护技术的完整知识体系。我们将重点讨论MyBatis框架特有的安全机制和潜在风险,而非泛泛而谈SQL注入的一般防护措施。文章首先介绍SQL注入的基本原理和MyBatis框架的工作机制,然后深入分析各种防护措施,包括参数绑定、动态SQL安全使用等。随后提供实际案例和工具推荐,最后讨论未来发展趋势。SQL注入:通过将恶意SQL代码插入到应用程序输入参数中,从而欺骗服务器执行非预期SQL命令的攻击技术。

			
		

	





	

		

			

				
					
java jdbc的图书管理 带sql带增删改查 idea运行

				
			

			

				

					06-24
				

			

		

		

			
				
3. **创建Statement或PreparedStatement**:Statement用于执行静态SQL语句,PreparedStatement则可以预编译SQL语句,提高执行效率并防止SQL注入。  4. **执行SQL**:调用Statement或PreparedStatement的executeQuery...

			
		

	





	

		

			

				
					
spring源码(1)、idea编译spring源码详细教程

				
			

			

				

					路漫漫其修远兮,吾将上下而求索。
				

				

					09-06
					
					2729
					
				

			

		

		

			
				
以下源码编译过程是本人按照官方文档实操,并结合国情对一些下载源修改为国内源,如果你是新手建议每一步都安装本教程操作,确保不会出现一些奇葩问题


	下载spring源码
	
建议去码云下载,github下载会比较慢,地址:https://gitee.com/mirrors/Spring-Framework,建议下载标签中的正式版本,我这里下载的是v5.2.0.RELEASE




	仓库修改为阿里云
	
下载源码并解压后,进入Spring-Framework目录修改build.gradle,需要修改两处:

			
		

	





	

		

			

				
					
java实战:防止SQL注入常用方法及代码示例

				
			

			

				

					oandy0的博客
				

				

					02-15
					
					2315
					
				

			

		

		

			
				
本文将介绍几种在Java防止SQL注入的常用方法,并提供详细的代码示例。我们将探讨使用预编译SQL语句(Prepared Statements)、使用ORM框架、使用SQL模板引擎和参数化查询等方法。通过本文,可以了解到如何在Java应用程序中实施有效的安全措施,以防范SQL注入攻击

			
		

	





	

		

			

				
					
idea连接数据库02-preparedStatement解决SQL注入

				
			

			

				

					weixin_46074430的博客
				

				

					12-21
					
					797
					
				

			

		

		

			
				
public void test01() throws Exception {//DQL

        Properties properties = new Properties();
        properties.load(new FileInputStream("src\\mysql.properties"));
        String url = properties.getProperty("url");
        //加载driver
        Class....

			
		

	





	

		

			

				
					
IDEA创建Maven项目并完成JDBC连接MySQL数据库详细步骤(JDBC中开启事务管理、ResultSe查询返回t对象、PreparedStatement预防SQL注入)

				
			

			

				

					我要记录学习博客
				

				

					03-23
					
					5205
					
				

			

		

		

			
				
IDEA创建Maven项目并完成JDBC连接MySQL数据库详细步骤(JDBC中开启事务管理、ResultSe查询返回t对象、PreparedStatement预防SQL注入)
1、java操作数据库的流程

编写java代码
Java代码将SQL发送到MySQL服务端
MySQL服务端接收到SQL语句并执行该SQL语句
将SQL语句执行的结果返回给Java代码

2、编写代码的具体步骤


在maven中导入驱动包
<!-- https://mvnrepository.com/artifact/my

			
		

	





	

		

			

				
					
java 预编译sql_JDBC编程之预编译SQL与防注入

				
			

			

				

					weixin_26875109的博客
				

				

					02-21
					
					1511
					
				

			

		

		

			
				
在JDBC编程中,常用Statement、PreparedStatement和CallableStatement三种方式来执行查询语句,其中Statement用于通用查询,PreparedStatement用于执行参数化查询,而CallableStatement则是用于存储过程。1、Statement该对象用于执行静态的 SQL 语句,并且返回执行结果。 此处的SQL语句必须是完整的...

			
		

	





	

		

			

				
					
Java如何预防SQL注入(通俗易懂)

				
			

			

				

					sjs52406的博客
				

				

					11-30
					
					1472
					
				

			

		

		

			
				
本篇文章主要在于了解SQL注入攻击原理及防御策略

			
		

	





	

		

			

				
					
Java项目防止SQL注入的四种方案

				
			

			

				

					学IT,找陈寒
				

				

					10-10
					
					1万+
					
				

			

		

		

			
				
SQL注入是一种严重的安全漏洞,但通过采取适当的预防措施,可以有效地防止它。在Java项目中,使用预编译语句、输入验证和过滤、ORM框架以及安全的数据库访问库是防止SQL注入攻击的四种常见方法。选择适合你的项目的方法,并始终保持警惕,以确保你的应用程序免受潜在的威胁。😊🙏Java面试技巧Java面试八股文 - 掌握面试必备知识(目录篇)Java学习路线2023年完整版Java学习路线图AIGC人工智能Chat GPT是什么,初学者怎么使用Chat GPT,需要注意些什么Java实战项目。

			
		

	





	

		

			

				
					
预编译真的能完美防御SQL注入吗?

				
			

			

				

					白天安全建设,晚上全栈开发,大模型爱好者。公众号:飞羽技术工坊。
				

				

					01-05
					
					1923
					
				

			

		

		

			
				
在之前面试的时候,我还是太菜了,有一道面试题还是值得研究研究的。面试官问我,怎样完全避免sql注入?我想起了刚毕业时校招有一次也被问过一样的问题,当时我说的是:“基本上预编译就能解决了。”当时并没有对我提出质疑,所以我就一直以为预编译是无敌的,可以绝对防御sql注入。所以这次被问到,我依旧回答了预编译,不过这次面试官没有放我一马,开始对我进行追问:“有没有什么情况是预编译无法解决的?”我一听就知道完蛋了,自己才学疏浅终于还是掉坑里了,然后才意识到自己根本没有去深入研究过预编译。所以这次就想记录一下。

			
		

	





	

		

			

				
					
Java防止SQL注入的一些途径

				
			

			

				

					米克源码的博客
				

				

					01-31
					
					2274
					
				

			

		

		

			
				
javaSQL注入,最简单的办法是杜绝SQL拼接,SQL注入攻击能得逞是因为在原有SQL语句中加入了新的逻辑,如果使用PreparedStatement来代替Statement来执行SQL语句,其后只是输入参数,SQL注入攻击手段将无效,这是因为PreparedStatement不允许在不同的插入时间改变查询的逻辑结构 ,大部分的SQL注入已经挡住了, 在WEB层我们可以过滤用户的输入来防止SQL注入比如用Filter来过滤全局的表单参数。35  //TODO这里发现sql注入代码的业务逻辑代码。

			
		

	





	

		

			

				
					
掌握Java连接SQLServer驱动jar包的使用

				
			

			

				

					
				

			

		

		

			
				
以上步骤是Java使用JDBC连接SQL Server数据库的基本流程。在实际开发过程中,还需要考虑很多其他因素,如数据库连接池的使用SQL注入防护,异常处理,事务管理等。  此外,对于使用Java开发开发者来说,维护好SQL...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值