JDBC开发实战以及PreparedStatement和SQL攻击

最新推荐文章于 2024-12-31 10:55:15 发布
原创 最新推荐文章于 2024-12-31 10:55:15 发布 · 238 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #JDBC #PreparedStatement #SQL攻击

本文通过一个JDBC登录实战案例,展示了SQL注入的风险,并介绍了如何使用PreparedStatement来有效防止SQL注入攻击,确保应用程序的安全。

一 JDBC开发实战案例

package cn.itheima.test;

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;

import org.junit.Test;
/**
 * 测试sql注入问题
 * @author Administrator
 *
 */
public class TestLogin {

    @Test
    public void testLogin(){
        try {
            login("zs","zs");
        } catch (Exception e) {
            e.printStackTrace();
        } 
        try {
            login1("zs","zs");
        } catch (Exception e) {
            e.printStackTrace();
        } 
        try {
            login("zs' or '","zs");
        } catch (Exception e) {
            e.printStackTrace();
        } 
        try {
            login1("zs' or '","zs");
        } catch (Exception e) {
            e.printStackTrace();
        } 
    }



    /**
     * 用户登录方法
     * 
     * @param username
     * @param password
     * @throws ClassNotFoundException
     * @throws SQLException
     */
    public void login(String username,String password) throws ClassNotFoundException, SQLException{
        //1.注册驱动
        Class.forName("com.mysql.jdbc.Driver");
        //2.获取连接
        Connection conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/web08","root","ao1221");
        //3.创建执行sql语句的对象
        Statement stmt = conn.createStatement();
        //4.书写一个sql语句
        String sql = "select * from tbl_user where "+"uname='"+username+"' and upassword='"+password+"'";
        //5.执行sql语句
        ResultSet rs = stmt.executeQuery(sql);
        //6.对结果集进行处理
        if(rs.next()){
            System.out.println("恭喜您,"+username+",登陆成功!");
            System.out.println(sql);
        }else{
            System.out.println("账号或密码错误!");
        }
        if(rs!=null)rs.close();
        if(stmt!=null)stmt.close();
        if(conn!=null)conn.close();
    }
    public void login1(String username,String password) throws ClassNotFoundException, SQLException{
        //1.注册驱动
        Class.forName("com.mysql.jdbc.Driver");
        //2.获取连接
        Connection conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/web08","root","ao1221");
        //3.编写sql语句
        String sql = "select * from tbl_user where uname=? and upassword=?";
        //4.创建预处理对象
        PreparedStatement pstmt = conn.prepareStatement(sql);
        //5.设置参数(给占位符)
        pstmt.setString(1,username);
        pstmt.setString(2,password);
        //6.执行查询操作
        ResultSet rs = pstmt.executeQuery();
        //7.对结果集进行处理
        if(rs.next()){
            System.out.println("恭喜您,"+username+",登陆成功!");
            System.out.println(sql);
        }else{
            System.out.println("账号或密码错误!");
        }
        if(rs!=null)rs.close();
        if(pstmt!=null)pstmt.close();
        if(conn!=null)conn.close();


    }
}

运行结果:
这里写图片描述
可以看到,使用login()不安全,即使mysql中没有zs’ or ‘这个账户依然显示出来,而使用login1()方法有效的解决了这个问题。

二 PreparedStatement和SQL攻击

1 什么是SQL攻击
在需要用户输入的地方,用户输入的是SQL语句的片段,最终用户输入的SQL片段与我们DAO中写的SQL语句合成一个完整的SQL语句!例如用户在登录时输入的用户名和密码都是为SQL语句的片段!

2 演示SQL攻击
首先我们需要创建一张用户表,用来存储用户的信息。

CREATE TABLE user(
    uid CHAR(32) PRIMARY KEY,
    username    VARCHAR(30) UNIQUE KEY NOT NULL,
    PASSWORD    VARCHAR(30)
);

INSERT INTO user VALUES('U_1001', 'zs', 'zs');
SELECT * FROM user;

现在用户表中只有一行记录,就是zs。
下面我们写一个login()方法!

public void login(String username, String password) {
        Connection con = null;
        Statement stmt = null;
        ResultSet rs = null;
        try {
            con = JdbcUtils.getConnection();
            stmt = con.createStatement();
            String sql = "SELECT * FROM user WHERE " +
                    "username='" + username + 
                    "' and password='" + password + "'";
            rs = stmt.executeQuery(sql);
            if(rs.next()) {
                System.out.println("欢迎" + rs.getString("username"));
            } else {
                System.out.println("用户名或密码错误!");
            }
        } catch (Exception e) {
            throw new RuntimeException(e);
        } finally {
            JdbcUtils.close(con, stmt, rs);
        }       
    }

下面是调用这个方法的代码:

login("a' or 'a'='a", "a' or 'a'='a");

这行当前会使我们登录成功!因为是输入的用户名和密码是SQL语句片段,最终与我们的login()方法中的SQL语句组合在一起!我们来看看组合在一起的SQL语句:

SELECT * FROM tab_user WHERE username='a' or 'a'='a' and password='a' or 'a'='a'

3 防止SQL攻击
1.过滤用户输入的数据中是否包含非法字符;
2.分步校验!先使用用户名来查询用户,如果查找到了,再比较密码;
3.使用PreparedStatement。

4 PreparedStatement是什么?
PreparedStatement叫预编译声明!

PreparedStatement是Statement的子接口,你可以使用PreparedStatement来替换Statement。

PreparedStatement的好处:
1 防止SQL攻击;
2 提高代码的可读性,以可维护性;
3 提高效率。

5 PreparedStatement的使用
1 使用Connection的prepareStatement(String sql):即创建它时就让它与一条SQL模板绑定;

2 调用PreparedStatement的setXXX()系列方法为问号设置值

3 调用executeUpdate()或executeQuery()方法,但要注意,调用没有参数的方法;

String sql = “select * from tab_student where s_number=?”;
PreparedStatement pstmt = con.prepareStatement(sql);
pstmt.setString(1, “S_1001”);
ResultSet rs = pstmt.executeQuery();
rs.close();
pstmt.clearParameters();
pstmt.setString(1, “S_1002”);
rs = pstmt.executeQuery();

在使用Connection创建PreparedStatement对象时需要给出一个SQL模板,所谓SQL模板就是有“?”的SQL语句,其中“?”就是参数。

在得到PreparedStatement对象后,调用它的setXXX()方法为“?”赋值,这样就可以得到把模板变成一条完整的SQL语句,然后再调用PreparedStatement对象的executeQuery()方法获取ResultSet对象。

注意PreparedStatement对象独有的executeQuery()方法是没有参数的,而Statement的executeQuery()是需要参数(SQL语句)的。因为在创建PreparedStatement对象时已经让它与一条SQL模板绑定在一起了,所以在调用它的executeQuery()和executeUpdate()方法时就不再需要参数了。

PreparedStatement最大的好处就是在于重复使用同一模板,给予其不同的参数来重复的使用它。这才是真正提高效率的原因。

所以,在今后的开发中,无论什么情况,都去使用PreparedStatement,而不是使用Statement。

[疯狂Java]JDBCPreparedStatement预编译执行SQL语句
Lirx_Tech的专栏
04-14 1万+
1. SQL语句的执行过程——Statement直接执行的弊病:     1) SQL语句编程语言一样,仅仅就会普通的文本字符串,首先数据库引擎无法识别这种文本字符串,而底层的CPU更不理解这些文本字符串(只懂二进制机器指令),因此SQL语句在执行之前肯定需要编译的;     2) SQL语句的执行过程:提交SQL语句 -> 数据库引擎对SQL语句进行编译得到数据库可执行的代码 -> 执行S
JDBC-PreparedStatement-防止SQL攻击
hunter_wyh
10-29 487
1 什么是SQL攻击 在需要用户输入的地方,用户输入的是SQL语句的片段,最终用户输入的SQL片段与我们DAO中写的SQL语句合成一个完整的SQL语句!例如用户在登录时输入的用户名密码都是为SQL语句的片段! 2 演示SQL攻击 首先我们需要创建一张用户表,用来存储用户的信息 CREATE TABLE user(          uid   CHAR(32) PR
jdbcPreparedStatement工具
feixianglantiandeyun的专栏
06-07 180
[color=blue][b]动机[/b][/color]: 这里不讨论JDBC之外的东西,这里仅假定选用JDBC。 如果用Statement进行数据库操作,要自已进行SQL防注入处理; 如果用PreparedStatement,虽然可以防注入,但是当在拼接条件时,如果条件变动或有字段变动,按默认的处理方式,则需要人工肉眼去注意占位符的前后顺序,容易出错。 因...
MySQL JDBC 实战: PreparedStatement 使用 executeBatch 批量执行生效了吗
SmartSi
12-31 921
日常开发中,当遇到数据的批量插入更新等问题时经常会使用到 JDBC 的方法,来实现批量执行语句的功能。近期在项目开发过程中,遇到了一个奇怪的现象,使用方法进行批量插入时,发现数据库端日志收到的请求 SQL 仍是逐条收到的,并不是预期的批量收到请求批量执行。
PreparedStatement完成增删改
xiaochen_从入门到实战
12-03 205
PreparedStatement完成增删改 package com.etc; import java.sql.*; import java.sql.PreparedStatement; /* PreparedStatement完成insert delete update */ public class JdbcTest07 { public static void main(String[] args) { Connection conn = null; Pr
java.sql.PreparedStatement
xwnxwn的专栏
12-16 1221
超级接口:Statement,Wrapper 子接口:CallableStatement 1、addBatch():将一组参数添加到此 PreparedStatement 对象的批处理命令中。 2、clearParameters():立即清除当前参数值。 3、execute():执行 SQL 语句,该语句可以是任何种类的 SQL 语句。 4、executeQuery(): 执行 SQL
MySQL JDBC 实战: PreparedStatement rewriteBatchedStatements 实现原理
SmartSi
12-31 910
在 MySQLJDBC 驱动中,executeBatch` 方法有三种执行路径
JDBC核心技术与预编译SQL实战
08-03
JDBC中,预编译SQL语句通过PreparedStatement对象实现,这种方式可以预先编译SQL语句模板,并在执行时传入实际参数,这样可以有效防止SQL注入攻击,提升程序的性能安全性。 本课程不仅涵盖JDBC的基本概念操作...
Java软件开发实战 Java基础与案例开发详解 18-3 JDBC操作SQL 共7页.pdf
07-07
### Java软件开发实战JDBC操作SQL #### 18-3 JDBC操作SQL 本章节主要介绍了如何使用Java Database Connectivity (JDBC) 来操作SQL(Structured Query Language)。JDBC是一种用于执行SQL语句的标准Java API,它...
《从入门到实战Java JDBC深度探索之旅》,基于JDBC的数据库操作技术详解:连接管理、SQL执行与事务控制实战指南
最新发布
09-03
Java JDBC深度探索之旅》系统地介绍了Java JDBC的核心概念、组件及操作流程,涵盖数据库连接建立、SQL语句执行、结果集处理、事务管理、数据库连接池、JDBC工具类封装、批量操作以及增删改查用户登录等实战案例。...
JDBC编程实战:解决SQL注入与演示悲观锁
本资源详细介绍了JDBC编程的基础知识、SQL注入问题及其解决方法,以及悲观锁的相关概念应用场景。通过实际的编程实践,用户不仅掌握了JDBC编程技术,还学会了如何解决实际开发中可能遇到的安全问题并发控制问题...
SpringBoot使用logback输出日志并打印sql信息 --经典---
WGH100817的博客
06-26 1018
最近在学习springboot以及一些springcloud插件的使用,其中发现默认的配置并不能打印一些有用的日志,所以需要自定义一些日志输出方式以便于查看日志排查问题,目前只整理了两种使用方式,如下: 1 简单日志配置默认情况下spring boot使用Logback作为日志实现的框架,其内部使用Commons Logging来记录日志,同时也保留外部接口...
SpringBoot使用logback输出日志并打印sql信息
热门推荐
qing_mei_xiu的博客
07-13 2万+
1 简单日志配置 默认情况下spring boot使用Logback作为日志实现的框架,其内部使用Commons Logging来记录日志,同时也保留外部接口可以让一些日志框架来进行实现, 例如Java Util Logging,Log4J2还有Logback,如果你想用某一种日志框架来进行实现的话,就必须先配置。 其中最基础的日志配置就在在resources(即classpath路径)下面
记一个eclipse自动生成getter,setter方法的快捷键
Anarkh_Lee的博客
04-10 1万+
首先shift+alt+s,再r,最后alt+a。
记一个eclipse快捷键Alt+Shift+L
Anarkh_Lee的博客
04-07 5262
Alt+Shift+L以及Alt+Shift+M:提取本地变量及方法 源码处理还包括从大块的代码中提取变量方法的功能。比如,要从一个string创建一个常量,那么就选定文本并按下alt+shift+l即可。如果同 一个string在同一类中的别处出现,它会被自动替换。方法提取也是个非常方便的功能。将大方法分解成较小的、充分定义的方法会极大的减少复杂度,并提 升代码的可测试性。 ...
记一个使用Junit测试中的问题:The import junit cannot be resolved解决方法
Anarkh_Lee的博客
04-09 3360
1.右击Referenced Libraries——>Buid Path——>Configure Build Path… 2.Java Build Path——>Libraries——>Add Library 3.JUnit——>Next——>Finish
使用DBUtils增删改查的操作
Anarkh_Lee的博客
04-10 2653
如果只是用JDBC进行开发,冗余代码过多,为了简化JDBC开发,采用apache commons组件一个成员:DBUtils。 DBUtils就是JDBC的简化开发工具包。需要使用技术:连接池(获得连接),SQL语句。 1.JavaBean组件 代码: package cn.itheima.domain; public class User { private in...
JDBC概念,JDBC核心类(接口)对象介绍
Anarkh_Lee的博客
04-07 2489
JDBC概念 JDBCJava DataBase Connectivity)就是Java数据库连接,说白了就是用Java语言来操作数据库。原来我们操作数据库是在控制台使用SQL语句来操作数据库,JDBC是用Java语言向数据库发送SQL语句。 二 JDBC核心类(接口)对象介绍 * JDBC中的主要类(接口)* 在JDBC中常用的类有: DriverManager; ...
JDBC连接池:自定义连接池代码实现
Anarkh_Lee的博客
04-10 1746
JDBC连接释放资源代码: package cn.itheima.jdbc.utils; import java.sql.Connection; import java.sql.DriverManager; import java.sql.PreparedStatement; import java.sql.ResultSet; import java.sql.SQLException;...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值