验证preparedStatement防止SQL注入

最新推荐文章于 2025-05-21 13:00:00 发布
最新推荐文章于 2025-05-21 13:00:00 发布
阅读量578 收藏
点赞数
分类专栏: MySQL 数据库
本文通过一个安全登录案例,详细介绍了如何使用PreparedStatement防止SQL注入攻击。演示了从修改密码到登录验证的全过程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

[sql] view plain copy
  1. mysql> select * from t_u  
  2.     -> ;  
  3. +----+----------+------+------+  
  4. | id | username | pwd  | age  |  
  5. +----+----------+------+------+  
  6. |  1 | zs       | test |   22 |  
  7. +----+----------+------+------+  
  8. 1 row in set (0.14 sec)  
  9.   
  10. mysql> update t_u set pwd = 'ddd\' or \'1\'=\'1' where id =1;  
  11. Query OK, 1 row affected (0.39 sec)  
  12. Rows matched: 1  Changed: 1  Warnings: 0  
  13.   
  14. mysql> select * from t_u;  
  15. +----+----------+----------------+------+  
  16. | id | username | pwd            | age  |  
  17. +----+----------+----------------+------+  
  18. |  1 | zs       | ddd' or '1'='1 |   22 |  
  19. +----+----------+----------------+------+  
  20. 1 row in set (0.06 sec)  
java:
[javascript] view plain copy
  1. package web;  
  2.   
  3. import java.io.IOException;  
  4. import java.sql.Connection;  
  5. import java.sql.PreparedStatement;  
  6. import java.sql.ResultSet;   
  7.   
  8. import javax.servlet.ServletException;  
  9. import javax.servlet.http.HttpServlet;  
  10. import javax.servlet.http.HttpServletRequest;  
  11. import javax.servlet.http.HttpServletResponse;  
  12.    
  13.   
  14. import util.DBUtil;  
  15.   
  16. public class LoginServletSafe extends HttpServlet{   
  17.         public void service(HttpServletRequest req,  
  18.                                 HttpServletResponse res)  
  19.                 throws ServletException,IOException{   
  20.             System.out.println("========================");  
  21.             Connection conn =null;    
  22.             try{  
  23.                 conn = DBUtil.getConnection();   
  24.             String username = req.getParameter("username");  
  25.             String pwd =req.getParameter("pwd");   
  26.             String sql="select * from t_u where username = ? and pwd = ?";  
  27.             System.out.println(sql);   
  28.             PreparedStatement prep= conn.prepareStatement(sql);   
  29.             prep.setString(1, username);  
  30.             prep.setString(2, pwd);   
  31.             //System.out.println("pwd的值:"+pwd);  
  32.             //若将pwd的值定义为:ddd' or '1'='1   
  33.             //通过preparedStatement预编译后,执行的SQL语句将是:  
  34.             //select * from t_u where name = 'zs'   
  35.             // and pwd ='ddd\' or \'1\'=\'1'  
  36.               
  37.              /**实现机制不同,注入只对sql语句的准备(编译?)过程有破坏作用 
  38.                 而ps已经准备好了,执行阶段只是把输入串作为数据处理,不再 
  39.                 需要对sql语句进行解析,准备,因此也就避免了sql注入问题. 
  40.                  
  41.                 *PreparedStatement可以在传入sql后,执行语句前,给参数赋值, 
  42.                 *避免了因普通的拼接sql字符串语句所带来的安全问题,而且准备sql 
  43.                 *和执行sql是在两个语句里面完成的,也提高了语句执行的效率 
  44.                 */  
  45.             ResultSet rst= prep.executeQuery();  
  46.               
  47.             System.out.println("rst: "+rst);  
  48.             //System.out.println("rst: "+rst.getStatement());  
  49.             //判断结果集rs是否有记录,并且将指针后移一位  
  50.             //因为前面的select语句是限定的条件,只有满足了条件才能有记录产生  
  51.             if(rst.next()){     
  52.                 System.out.println("success");  
  53.             }else{  
  54.                 System.out.println("fail");  
  55.             }  
  56.               
  57.             }catch(Exception e){  
  58.                 e.printStackTrace();  
  59.                 throw new ServletException(e);  
  60.             }  
  61.               
  62.               
  63.         }  
  64.   
  65.   
  66. }  

然后在JSP页面中,name的取值为zs,pwd的取值为:ddd' or '1'='1 

提交后,控制台打印出:success,就表示,pwd的值是当成参数值来传递了,相当于执行了以下的SQL语句。


[sql] view plain copy
  1. mysql> select * from t_u where username='zs' and pwd = 'ddd\' or \'1\'=\'1';  
  2. +----+----------+----------------+------+  
  3. | id | username | pwd            | age  |  
  4. +----+----------+----------------+------+  
  5. |  1 | zs       | ddd' or '1'='1 |   22 |  
  6. +----+----------+----------------+------+  
  7. 1 row in set (0.00 sec)  

验证完毕,一直纠结网络上也没有这么的详细的解释,自己弄明白后,豁然开朗。^_^

来自:http://blog.youkuaiyun.com/badyflf/article/details/7926944

如何使用Java中的PreparedStatement防止SQL注入
waitaikong_的博客
05-23 918
参数化查询(Parameterized Query)是一种在数据库操作中使用的编程技术,主要用于防止SQ注入攻击,同时也能提高代码的可读性和稳定性。在参数化查询中,不是直接将用户输入或变量拼接到SQL语句中,而是将变量值作为参数传递给查询。这样做的好处是,即使用户输入包含了SQL命令,数据库系统也会将其视为普通的字符串值,而不是可执行的SQL代码,从而有效防止SQL注入攻击。参数化查询的工作原理是在数据库完成SQL指令的编译后,才套用参数运行,因此即使参数中含有恶意的指令,也不会被数据库所运行。
SQL注入原理以及Spring Boot如何防止SQL注入(含详细示例代码)
12-29
防止SQL注入的方法主要包括: 1. 参数化查询:使用预编译的SQL语句(如PreparedStatement),将用户输入作为参数传递,而不是直接拼接到SQL字符串中。这样可以防止恶意代码改变SQL语句的结构。 2. 使用存储过程:...
Statement stat = conn.createStatement(); PreparedStatement prep = conn.prepareStatement
autumn20080101的专栏
10-31 4299
import java.sql.*; public class Test { public static void main(String[] args) throws Exception { Class.forName("org.sqlite.JDBC"); Connection conn = DriverManager.getConnection("jdbc:sq
【运维】PreparedStatement防止SQL注入
weixin_37543485的博客
09-15 608
参数化查询是编写安全数据库代码的最佳实践之一。
使用preparedStatement防止SQL注入
穹妹纸的博客
05-25 422
先了解什么是SQL注入 在使用statement拼接字符串的时候,有一些SQL的特殊关键字参与字符串的拼接,这就会造成安全性的问题! 例如:sql = "select * from user where username = ’ "+ username + " 'and password = ’ " + password + " ’ "; 上面的这样一条SQL语句,在向里面传递参数时,如果登录者登录下面这样一套用户密码: 用户名:rong(随便写) 密码: a’ or ‘a’ = 'a 依然可以实现用户
JDBC PreparedStatement 防止sql注入原理
风的博客
08-30 2138
JDBC PreparedStatement 防止sql注入原理 使用Statement执行查询语句的时候  :            比如要执行用户名 密码登录验证sql语句 经常要输入 String sql =  " select * from login where name=' " +name+ " ' and pwd = ' " +pwd+ " ' ";
使用PreparedStatement防止SQL注入
robbinBlog
08-16 495
使用PreparedStatement防止SQL注入  (2012-04-10 16:54:39) 转载▼ 标签:  it 分类: java       Statement是PreparedStatement的父接口,不进行预编译操作,减少了进行预编译的开销.单次运行PreparedStatement要比Statem
Mybatis如何防止sql注入
weixin_46084191的博客
05-21 2456
Mybatis通过预编译机制和参数绑定防止SQL注入。使用#{}占位符时,参数会被转义并作为预编译参数传递,避免拼接SQL语句。动态SQL标签(如<if>)会自动处理参数安全,框架内部采用PreparedStatement确保参数与指令分离。避免使用${}进行字符串拼接可降低注入风险。
java preparestatement sql注入_使用PreparedStatement防止SQL注入
weixin_39674978的博客
02-25 211
PreparedStatement可以实现Statement的所有功能,但是之所以叫它预编译指令,是因为在创建它的一个对象时可以给定具有一定格式的SQL字符串,然后用它的setXXX方法给指定的SQL语句以填空的方式赋值,具有这样的特性后,它在多次执行一条固定格式的字符串时就很方便,也更效率.不像Statement那样每次执行都要先编译字符串在执行SQL了.SQL注入攻击是利用设计上的漏洞,在目标...
有效防止SQL注入的5种方法总结
09-09
SQL注入是一种严重的网络安全威胁,它利用开发者在编程时未充分考虑输入验证的漏洞,通过构造恶意的SQL语句,攻击者可以绕过权限控制,获取敏感数据,甚至篡改数据库内容。以下是对防止SQL注入的五种方法的详细说明...
Hibernate使用中防止SQL注入的几种方案
01-20
- 使用预编译的PreparedStatement,即使在没有使用Hibernate的情况下,这也是防止SQL注入的推荐方式。 - 对用户输入进行验证和清理,限制输入长度,禁止特定字符,如单引号、分号等。 - 使用最新的数据库驱动和...
JDBC如何有效防止SQL注入
12-14
使用`PreparedStatement`代替`Statement`是防止SQL注入的基本方法。预编译的SQL语句将参数化查询与实际值分离,从而阻止恶意SQL代码注入。例如,而不是拼接字符串形成SQL: ```java String sql = "SELECT * FROM ...
收集整理 OCR 相关数据集并统一标注格式以满足实验需求
08-18
资源下载链接为: https://pan.quark.cn/s/630d0ad9e234 收集整理 OCR 相关数据集并统一标注格式以满足实验需求(最新、最全版本!打开链接下载即可用!)
【多变量时间序列预测】项目介绍 MATLAB实现基于CSA-Transformer 跨尺度注意力机制(CSA)结合 Transformer 编码器进行多变量时间序列预测的详细项目实例(含模型描述及部分
08-18
内容概要:本文档详细介绍了一个基于MATLAB实现的跨尺度注意力机制(CSA)结合Transformer编码器的多变量时间序列预测项目。项目旨在精准捕捉多尺度时间序列特征,提升多变量时间序列的预测性能,降低模型计算复杂度与训练时间,增强模型的解释性和可视化能力。通过跨尺度注意力机制,模型可以同时捕获局部细节和全局趋势,显著提升预测精度和泛化能力。文档还探讨了项目面临的挑战,如多尺度特征融合、多变量复杂依赖关系、计算资源瓶颈等问题,并提出了相应的解决方案。此外,项目模型架构包括跨尺度注意力机制模块、Transformer编码器层和输出预测层,文档最后提供了部分MATLAB代码示例。 适合人群:具备一定编程基础,尤其是熟悉MATLAB和深度学习的科研人员、工程师和研究生。 使用场景及目标:①需要处理多变量、多尺度时间序列数据的研究和应用场景,如金融市场分析、气象预测、工业设备监控、交通流量预测等;②希望深入了解跨尺度注意力机制和Transformer编码器在时间序列预测中的应用;③希望通过MATLAB实现高效的多变量时间序列预测模型,提升预测精度和模型解释性。 其他说明:此项目不仅提供了一种新的技术路径来处理复杂的时间序列数据,还推动了多领域多变量时间序列应用的创新。文档中的代码示例和详细的模型描述有助于读者快速理解和复现该项目,促进学术和技术交流。建议读者在实践中结合自己的数据集进行调试和优化,以达到最佳的预测效果。
rubygem-mongo-doc-2.5.1-2.module_el8.3.0+571+bab7c6bc.tar.gz
08-18
# 适用操作系统:Centos8 #Step1、解压 tar -zxvf xxx.el8.tar.gz #Step2、进入解压后的目录,执行安装 sudo rpm -ivh *.rpm
前端监控 SDK:收集上报代码报错、性能数据、页面录屏、用户行为、白屏检测及个性化指标数据
最新发布
08-18
资源下载链接为: https://pan.quark.cn/s/051efea6017a 前端监控 SDK:收集上报代码报错、性能数据、页面录屏、用户行为、白屏检测及个性化指标数据(最新、最全版本!打开链接下载即可用!)
【Python开发】IntelliJ IDEA配置Python开发环境与调试技巧:环境搭建、调试方法及规范模板设置指南
08-18
内容概要:本文档详细介绍了在IntelliJ IDEA中配置Python开发环境的方法,包括安装Python插件、配置Python解释器和创建Python项目。调试技巧方面,涵盖基础调试方法如设置行断点、进入调试模式,高级断点类型如方法断点、条件断点和异常断点,以及使用快捷键控制执行流程和查看变量状态。规范模板设置部分讲解了文件头模板配置,提供了一个示例模板内容,并给出了PEP8规范建议,如缩进使用4个空格、每行代码不超过79个字符等。最后,实用技巧部分介绍了虚拟环境管理、依赖安装和代码辅助等功能。; 适合人群:使用IntelliJ IDEA进行Python开发的初学者或有一定经验的开发者。; 使用场景及目标:①帮助开发者快速搭建Python开发环境;②掌握多种调试技巧,提高开发效率;③遵循PEP8规范,编写高质量代码;④利用实用技巧简化开发流程,如管理虚拟环境、安装依赖和代码导航。; 阅读建议:在阅读过程中,建议读者结合自身开发需求,重点关注环境配置、调试技巧和代码规范部分,并动手实践相关操作,以加深理解和应用。
Comso l超表面PT技术:本征态求解与透射相位深度分析 · 光学仿真
08-18
利用Comso l仿真软件对超表面PT技术进行的本征态求解、透射和相位分析。首先简述了Comso l及其在超表面研究中的重要性,接着重点讲解了本征态求解的方法,包括设置材料参数、边界条件等步骤,从而获得超表面的能级结构和模式分布。随后讨论了透射分析,即通过建立光路模型来模拟光与超表面的相互作用,观察光的传输效率和波前变化。最后探讨了相位分析,旨在研究光的波动性质并评估超表面的性能。文中还提及了一些关键的代码片段,用于指导具体的仿真操作。 适合人群:从事光学、电磁学等领域研究的专业人士,尤其是对超表面技术感兴趣的科研工作者和技术开发者。 使用场景及目标:适用于希望深入了解超表面PT技术原理及其仿真的研究人员,帮助他们掌握Comso l的具体应用方法,提高研究效率和准确性。 其他说明:文章强调了Comso l在超表面研究中的重要作用,并展示了从理论到实践的完整流程,为未来的技术创新和发展奠定了坚实的基础。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值