sql注入问题解决——PrepareStatement

最新推荐文章于 2025-04-25 18:52:40 发布
最新推荐文章于 2025-04-25 18:52:40 发布
阅读量4.2k 收藏 12
点赞数 3
分类专栏: java 文章标签: java jdbc 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/LeeBingNing/article/details/79080476
版权

SQL注入攻击

-- 早年登录逻辑,就是把用户在表单中输入的用户名和密码 带入如下sql语句. 如果查询出结果,那么 认为登录成功.


SELECT * FROM USER WHERE NAME='xxxx' AND PASSWORD='xxx';


-- sql注入: 请尝试以下 用户名和密码.


/* 用户名:
   密码: xxx
*/
-- 将用户名和密码带入sql语句, 如下:


SELECT * FROM USER WHERE NAME='xxx' OR 1=1 -- ' and password='xxx';


-- 发现sql语句失去了判断效果,条件部分成为了恒等式.
-- 导致网站可以被非法登录, 以上问题就是sql注入的问题.
//-------------------------------------------------------------------------------------------
思考会出现什么问题?
将用户名密码带入sql语句,发现sql语句变成了如下形式:
SELECT * FROM t_student WHERE NAME='abcd'OR 1=1;-- ' AND PASSWORD='1234';
该sql语句就是一个 恒等条件.所以 一定会查询出记录. 造成匿名登陆.有安全隐患

如上问题,是如何解决呢?
1>解决办法:在运送sql时,我们使用的是Statement对象. 如果换成prepareStatement对象,那么就不会出现该问题.
2>sql语句不要再直接拼写.而要采用预编译的方式来做.
完成如上两步.即可解决问题.
*为什么使用PrepareStatement对象能解决问题?
sql的执行需要编译. 注入问题之所以出现,是因为用户填写 sql语句 参与了编译.   使用PrepareStatement对象
在执行sql语句时,会分为两步. 第一步将sql语句 "运送" 到mysql上编译.  再回到 java端 拿到参数 运送到mysql端.
用户填写的 sql语句,就不会参与编译. 只会当做参数来看. 避免了sql注入问题;
PrepareStatement 在执行 母句相同, 参数不同的 批量执行时. 因为只会编译一次.节省了大量编译时间.效率会高.

-----------------------------------------------
使用PrepareStatement对象 与 Statement对象的区别

1.Statement 可以先行创建, 然后将sql语句写入.
  PrepareStatement 在创建时一定要传入 sql语句, 因为它要先运送到数据库执行预编译
  
api:
PreparedStatement pst = conn.prepareStatement(sql);
  
2. PrepareStatem

ent 在执行之前 先要设置 语句中的参数. 

api: 
pst.setString(1, name);  -- set方法的调用要看 参数的类型.

char/varchar    setString
int setInt
double setDouble
datatime/timestamp setDate
3. Statement对象在真正执行时 传入sql语句
   PrepareStatement 在执行之前已经 设置好了 sql语句 以及对应参数. 执行方法不需要参数

api:
ResultSet rs = pst.executeQuery();
-----------------------------------------------------------------------------------------------

一个例子:演示使用Statement对象,sql注入问题,演示使用PrepareStatement对象,解决sql注入问题

 

import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.Statement;

import org.junit.Test;

import cn.lbn.e_tool.JDBCUtils;
public class Demo {
	@Test
	//演示使用Statement对象,sql注入问题
	public void fun1() throws Exception{
		String name ="xxx' OR 1=1 -- ";
		String password ="1234";
		
		//1 获得连接
		Connection conn= JDBCUtils.getConnection();
		//2 获得Statement
		Statement st = conn.createStatement();
		//3 拼装sql语句
		String sql = "SELECT * FROM t_user  WHERE NAME='"+name+"' AND   PASSWORD='"+password+"';";
		//4 执行sql并拿到结果
		ResultSet rs = st.executeQuery(sql);
		//5 根据结果判断是否登录成功
		if(rs.next()){
			System.out.println("登录成功!");
		}else{
			System.out.println("登录失败!");
		}
		//6关闭资源
		JDBCUtils.close(conn, st, rs);
	}
	
	@Test
	//演示使用PrepareStatement对象,解决sql注入问题
	public void fun2() throws Exception{
		String name ="xxx' OR 1=1 -- ";
		String password ="1234";
		
		//1 获得连接
		Connection conn= JDBCUtils.getConnection();
		//2 拼装sql语句
		String sql = "SELECT * FROM t_user  WHERE NAME=? AND   PASSWORD=?";
		//3 获得PrepareStatement
		PreparedStatement ps = conn.prepareStatement(sql);
		//4 设置参数到ps对象中
		ps.setString(1, name);
		ps.setString(2, password);
		//5 运送参数,执行sql并拿到结果
	ResultSet rs = 	ps.executeQuery();
		//5 根据结果判断是否登录成功
		if(rs.next()){
			System.out.println("登录成功!");
		}else{
			System.out.println("登录失败!");
注意:此处用了junit,如果粘到eclipse中@Test报红,只需要在java build path中切到library,然后Add Library选择JUnit,导入库即可。就可在一个类中做多个测试



JAVA高级】——吃透JDBC中的SQL注入问题解决方案
不迁怒,不贰过。小知识,大智慧。
10-26 1万+
吃透JDBC中的SQL注入问题解决方案
MyBatis中SQL注入攻击和防护——掌握技巧保护应用安全
AI天才研究院
07-28 1368
随着互联网信息化、云计算等技术的发展,网站业务越来越多样化、个性化,对用户输入数据的安全性要求也越来越高。在WEB开发中,常用的一种方式是用SQL作为后台语言,通过ORM工具将数据存储到数据库中并进行相关查询。由于ORM框架本身的特点,容易受到SQL注入攻击。SQL注入(英语:SQL injection)指的是通过向服务器端发送非法的SQL命令,而不是使用有效的查询条件而访问数据库,最终获取不正确的数据。
JDBC PreparedStatement解决SQL注入问题
ZikM的博客
06-03 245
PreparedStatement解决SQL注入问题 package com.atguigu2.statement.crud; import java.lang.reflect.Field; import java.sql.Connection; import java.sql.PreparedStatement; import java.sql.ResultSet; import java.sql.ResultSetMetaData; import java.util.ArrayList; import
java PreparedStatement就不用担心sql注入了吗?
weixin_33757911的博客
09-15 1245
     先感慨下,好久没写博客了,一是工作太忙,二是身体不太给力,好在终于查清病因了,趁着今天闲下来,迫不及待与读者交流,最后忠告一句:身体是活着的本钱!      言归正传,对java有了解的同学基本上都体验过JDBC,基本都了解PreparedStatement,PreparedStatement相比Statement基本解决SQL注入问题,而且效率也有一定提升。      关于Pre...
SQL漏洞注入和修复实验
m0_73636084的博客
03-30 1061
攻击原理:攻击者构造如 “Admin' #” 的输入作为用户名,密码不输入,此时 SQL 语句变为 “SELECT id, name, eid, salary, nirth, ssn, phoneNumber, address, email, nickname, Password FROM credential WHERE name='' OR '1'='1' # and Password='$hashed_pwd'”,“#” 后的密码验证部分被注释掉,使攻击者可直接登录,成功黑入网站。
PrepareStatement sql注入
想飞的鱼
12-07 1452
http://blog.youkuaiyun.com/badyflf/article/details/7926944 http://www.iteye.com/problems/32029 http://blog.youkuaiyun.com/badyflf/article/details/7926632
preparestatment获取sql_java sql: PrepareStatement详解
weixin_42355744的博客
01-28 584
public classDbUtil {public static final String URL = "jdbc:mysql://localhost:3306/imooc";public static final String USER = "liulx";public static final String PASSWORD = "123456";private static Connect...
7. 使用 preparedStatement 解决 SQL 注入问题
DevOps海洋的渔夫@专栏
06-02 3060
7. 使用 preparedStatement 解决 SQL 注入问题前言在上一章节中,我们使用 statement 执行 sql 完成了用户登录的小案例,但是在这个案例中也发现了 SQL...
利用jdbc操作数据库——prepareStatement和Statement的比较以及利用batch模式提高效率的心得
C_envelope的博客
10-09 1268
1.prepareStatement   vs  statement (1)prepareStatement预编译SQL语句,批处理效率高 什么是预编译,好处?(参考https://blog.youkuaiyun.com/Marvel__Dead/article/details/69486947) 当客户发送一条SQL语句给服务器后,服务器总是需要校验SQL语句的语法格式是否正确,然后把SQL语句编译成可...
常见网络安全攻击类型深度剖析(二):SQL注入攻击——原理、漏洞利用演示与代码加固方法
最新发布
迷路的小绅士之家
04-25 1866
SQL注入的本质是“将用户输入当作代码执行”的设计缺陷,其危害程度取决于数据库中存储的数据敏感程度。永远不要信任用户输入,即使是表单中的“正常字段”也可能成为攻击入口。通过严格遵循参数化查询、输入验证、最小权限等最佳实践,结合WAF和日志监控,可以将SQL注入的风险降至最低。下一篇文章将聚焦“DDoS攻击”,解析攻击者如何通过海量流量压垮服务器,以及企业应如何构建分布式防御体系。
JDBC——预编译(PreparedStatemen与Statement)性能比较 及防止sql注入式攻击
yooppa的博客
12-06 2223
写在之前: PreparedStatement和 Statement一样,PreparedStatement也是用来执行sql语句的 与创建Statement不同的是,需要根据sql语句创建PreparedStatement 除此之外,还能够通过设置参数,指定相应的值,而不是Statement那样使用字符串拼接——这样使得使用起来不是很方便 需要进行分别归类 比如查询 和 插入等等这些操作 因为它是根据sql语句内容来的不是直接拼接进去 以下示例代码具体感受以下: import java.sql.Conne
用PreparedStatement解决SQL注入问题
平安喜乐
02-27 1066
使用PreparedStatement预编译SQL语句并执行,预防SQL注入问题
JDBCPrepareStatement解决SQL注入
qq_46534049的博客
01-31 2519
setXxx()方法有两个参数,第一个参数是要设置的SQL语句中的参数的索引(从1开始),第二个是设置的SQL语句中的参数的值。SQL注入(SQL injection)是因为应用程序在执行SQL语句的时候没有正确的处理用户输入字符串,将用户输入的恶意字符串拼接到了SQL语句中执行,从而导致了SQL注入。这个代码中1=1永远都是对的,#后面的成了注释,所以这条语句会将表中所有的数据查询出来,然后再做数据判断的时候,就会得到正确结果,从而说用户名和密码正确,登录成功。这是查询一条数据的运行结果。
java prepare mysql_MySQL_(Java)使用preparestatement解决SQL注入问题
weixin_42361026的博客
01-21 266
importjava.sql.Connection;importjava.sql.DriverManager;importjava.sql.PreparedStatement;importjava.sql.ResultSet;importjava.sql.SQLException;importjava.sql.Statement;public classJDBC01 {public static ...
掌握数据库操作的关键技巧:深入解析prepareStatement方法
2301_77478553的博客
07-12 4996
prepareStatement是表示预编译的 SQL 语句的对象。prepareStatement方法是Java中用于准备执行SQL语句的方法。它可以避免SQL注入攻击,提高执行效率,且支持占位符,可以方便地设置参数。2.为什么要使用prepareStatementStatement与preparedStatement的区别:1. preparedStatement可以写动态参数化的查询。
java学习笔记:PreparedStatement解决sql注入
黄道婆的专栏
07-29 840
java学习笔记:PreparedStatement解决sql注入 sql注入 ---- sql注入:由于没有对用户输入进行充分检查,而SQL又是拼接而成,在用户输入参数时,在参数中添加一些SQL 关键字,达到改变SQL运行结果的目的,也可以完成恶意攻击。 1_原因: String sql = select * from user where username =' zhangsan' ...
MySQL_(Java)使用preparestatement解决SQL注入问题
weixin_30470857的博客
03-23 184
  MySQL_(Java)使用JDBC数据库发起查询请求  传送门   MySQL_(Java)使用JDBC创建用户名和密码校验查询方法  传送门   MySQL数据库中的数据,数据库名garysql,表名garytb,数据库中存在的用户表      存在SQL注入问题   使用preparestatement做查询语句时可解决SQL注入问题   ...
【很有料】浅析Statement和PreparedStatement,SQL注入
daobuxinzi的博客
10-19 529
因为SQL语句在程序运行前已经进行了预编译,在程序运行时第一次操作数据库之前,SQL语句已经被数据库分析,编译和优化,对应的执行计划也会缓存下来并允许数据库已参数化的形式进行查询,当运行时动态地把参数传给PreprareStatement时,即使参数里有敏感字符如 or '1=1'也数据库会作为一个参数一个字段的属性值来处理而不会作为一个SQL指令,如此,就起到了SQL注入的作用了!这就是一个最简单sql注入的例子,输入包含sql命令的内容,欺骗服务器执行破坏数据。,直接删除了数据表,十分的危险。
java sql: PrepareStatement
weixin_33840661的博客
06-27 309
参见菜鸟教程:JDBC 使用说明 增删改查: public class DbUtil { public static final String URL = "jdbc:mysql://localhost:3306/imooc"; public static final String USER = "liulx"; public static final ...
SQL注入识别
03-25
### SQL注入检测方法与识别技术 SQL注入是一种常见的安全威胁,攻击者可以通过在输入字段中插入恶意SQL代码来操控数据库。以下是几种常用的SQL注入检测方法及其原理: #### 静态代码分析 静态代码分析通过对源码进行扫描,寻找可能存在的安全隐患。这种方法能够帮助开发人员找到那些直接拼接用户输入并将其嵌入SQL查询的代码片段[^1]。 ```python query = "SELECT * FROM users WHERE username='" + user_input + "'" ``` 上述例子展示了典型的易受攻击代码模式——未经验证或转义就将外部数据加入到SQL字符串里。这种做法容易引发SQL注入风险。 #### 动态测试 动态测试涉及运行程序并向其发送特制请求以观察响应行为。如果返回异常结果或者泄露敏感信息,则表明可能存在漏洞。例如,尝试提交如下表单值可能会暴露问题所在之处: `' OR '1'='1 -- ` 当服务器端未能妥善处理这类特殊字符组合时, 就极有可能暴露出底层逻辑缺陷从而构成隐患点[^3]. #### 参数化查询 (Prepared Statements) 采用参数化方式构建SQL语句能有效防止大多数类型的SQL注入企图。它的工作机制在于区分SQL指令本身同其中所含变量部分; 即使后者包含危险成分也不会影响前者正常解析执行流程. ```java PreparedStatement pstmt = conn.prepareStatement("INSERT INTO table_name VALUES (?, ?)"); pstmt.setString(1, userInput); pstmt.setInt(2, anotherInput); pstmt.executeUpdate(); ``` 此段Java代码示范了如何运用预编译好的SQL模板配合具体参数完成操作而无需担心潜在危害. #### 基于机器学习/深度学习的方法 近年来随着人工智能领域的发展, 利用神经网络特别是自然语言处理方面的进展也有助于自动甄别可疑活动迹象. BERT等先进的NLP架构可用于理解复杂语法结构下的意图判定进而辅助决策制定过程.[^2] ```python from transformers import BertTokenizer, BertForSequenceClassification import torch tokenizer = BertTokenizer.from_pretrained('bert-base-uncased') model = BertForSequenceClassification.from_pretrained('path/to/model') def predict(query): inputs = tokenizer.encode_plus( query, None, add_special_tokens=True, max_length=50, padding="max_length", truncation=True, return_tensors='pt' ) outputs = model(**inputs)[0] _, predicted = torch.max(outputs.data, dim=1) return ["Safe", "Malicious"][predicted.item()] ``` 以上Python脚本说明了一个简单的基于BERT模型实现SQL注入分类器的设计思路. ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值