java学习笔记:PreparedStatement解决sql注入

最新推荐文章于 2023-02-27 16:44:31 发布
原创 最新推荐文章于 2023-02-27 16:44:31 发布 · 843 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了SQL注入的概念,展示了两种常见的恶意注入方式,并详细解释了PreparedStatement如何通过预编译SQL来防止注入攻击。通过实例代码展示了使用PreparedStatement进行查询和插入操作的过程,阐述其解决SQL注入的原理。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

java学习笔记:PreparedStatement解决sql注入

 

sql注入
----
sql注入:由于没有对用户输入进行充分检查,而SQL又是拼接而成,在用户输入参数时,在参数中添加一些SQL 关键字,达到改变SQL运行结果的目的,也可以完成恶意攻击。

1_原因:
String sql = select * from user where username =' zhangsan' -- ' and password =' ' ;
例如:
恶意注入方式一:输入 username: 随意   password: ' or '1'='1 
select * from user where username ='xxxxx' and password ='xxx' or '1'='1'; 
* and 优先级 执行 高于 or 
恶意注入方式二、在SQL添加 -- 是mysql的注释 用户名框:输入 zhangsan' 空格--空格   password 随意
select * from user where username ='zhangsan' -- ' and password ='' ;
注意:以上的 zhangsan' 空格--空格 中的zhangsan是数据库存在的
 

 

解决sql注入
----
1.PreparedStatement解决sql注入,重要步骤:
PreparedStatement是Statement的子接口,它的实例对象可以通过调用Connection.preparedStatement(sql)方法获得。
Connection::PreparedStatement prepareStatement(String sql);//Creates a PreparedStatement object for sending parameterized SQL statements to the database. 
注意:sql是提前创建好的,sql语句中需要参数,使用?进行占位。
举例:
select * from user where username='zhangsan' and password='123456';
使用?进行占位
select * from user where username=? and password=?;
步骤一:conn.prepareStatement(sql);//需要你事先传递sql。如果sql需要参数,使用?进行占位。
步骤二:设置参数(执行sql之前):prepStmt.setXXX(int index, 要放入的值);//根据不同类型的数据进行方法的选择。第一个参数表示的是?出现的位置,从1开始计数,有几个问号,就需要传递几个参数。
方法的参数说明:
第一个参数:int index:表示的是问号出现的位置,问号是从1开始计数。
第二个参数:要问号的位置传入的值
步骤三:执行,不需要再传递sql了
prepStmt.executeQuery();//执行select
prepStmt.executeUpdate();//执行insert, delete, update等

2.代码
@Test
    public void select(){
        //需求:根据用户名和密码查询
        Connection conn = null;
        PreparedStatement preStmt = null;
        ResultSet rs = null;

        try{
            //获得连接
            conn = JDBCUtils.getConnection();
            //获得发送sql的对象
            String sql = "select * from user where username=? and password=?;";
            preStmt = conn.prepareStatement(sql);
            //设置参数
            preStmt.setString(1, "lisi");
            preStmt.setString(2, "123");
            //发送sql获得结果
            rs = preStmt.executeQuery();
            //处理结果
            if(rs.next()){
                int id = rs.getInt("id");
                String username = rs.getString("username");
                String password = rs.getString("password");
                System.out.println(id + "::" + username + "::" + password);
            }
        }catch(Exception e){
            e.printStackTrace();
        }
        finally{
            JDBCUtils.release(conn, preStmt, rs);
        }
    }//end of method select

    @Test
    public void insert(){
        //需求:添加用户 名为杨颖
        Connection conn = null;
        PreparedStatement preStmt = null;

        try{
            //获得连接
            conn = JDBCUtils.getConnection();
            //获得发送sql的对象
            String sql = "insert into user values(null, ?, ?);";
            preStmt = conn.prepareStatement(sql);
            //设置参数
            preStmt.setString(1, "杨颖");
            preStmt.setString(2, "123456");
            //发送sql获得结果
            int sum = preStmt.executeUpdate();
            //处理结果
            System.out.println(sum);
        }catch(Exception e){e.printStackTrace();}finally{JDBCUtils.release(conn, preStmt);}
    }//end of method insert

3.PreparedStatement解决SQL注入原理:
运行在sql中参数以?占位符的方式表示
select * from user where username=? and password=?;
将带有?的sql发送给数据库完成编译(不能执行的sql带有?的sql进行编译叫做预编译),在sql编译后发现缺少两个参数。PreparedStatement可以将?代替参数发送给数据库服务器,因为sql已经编译过,参数中特殊字符不会当做特殊字符编译,无法达到sql注入的目的。
 

Java代码审计篇:SQL注入
hackzkaq的博客
12-01 1474
前期与常规注入代码审计一样,找sql语句看是否存在字符串拼接,如果存在,通过查找参数的调用逻辑,理清逻辑,在构造payload时,先注册一个正常的用户名,但是用户名是带有sql语句的,比如 “ ‘union select user(),2.3# “,此时在登陆的时候就可以显示对应的信息。MyBatis 的 like 子句中使用#{}程序会报错,所以为了避免报错,在开发的时候使用${},当使用like ‘#%{name}%’时,会报错。而使用like ‘$%{name}%’,时会正常执行。
Java的JDBC最全基础笔记(SQL注入
weixin_55415300的博客
12-05 2041
1、JDBC:Java DataBase Connectivity,可以理解为是以前的Socket桥梁,或流读写数据库(1)确切的说,JDBC是Java平台提供的一套统一的执行规范/标准(2)那么我们知道通常定义规范,一般都要定义一些接口,所以JDBC这一套规范中定义了很多的接口和类及方法(3)那么接口是不能干活的,需要子类去完成,那么子类需要谁去完成?(4)Java对应多种数据库,那么就需要数据库去实现这个接口,Mysql数据库要去实现,Oracle的数据库也要去实现;
利用JDBC的PrepareStatement打印真实SQL的方法详解
08-29
PreparedStatement是预编译的,对于批量处理可以大大提高效率. 也叫JDBC存储过程,下面这篇文章主要给大家介绍了关于利用JDBC的PrepareStatement打印真实SQL的方法,需要的朋友可以参考借鉴,下面来一起看看吧。
Oracle 使用PreparedStatement防止SQL注入
每天进步一点点 时间会让你成为巨人
01-05 9500
一条效率差的sql语句,足以毁掉整个应用. Statement是PreparedStatement的父接口,不进行预编译操作,减少了进行预编译的开销.单次运行PreparedStatement要比Statement要慢一些. PreparedStatement可以实现Statement的所有功能,但是之所以叫它预编译指令,是因为在创建它的一个对象时可以给定具有一定格式的SQL字符串,然后用
PreparedStatement解决SQL注入问题
平安喜乐
02-27 1088
使用PreparedStatement预编译SQL语句并执行,预防SQL注入问题。
7. 使用 preparedStatement 解决 SQL 注入问题
DevOps海洋的渔夫@专栏
06-02 3079
7. 使用 preparedStatement 解决 SQL 注入问题前言在上一章节中,我们使用 statement 执行 sql 完成了用户登录的小案例,但是在这个案例中也发现了 SQL...
java PreparedStatement就不用担心sql注入了吗?
weixin_33757911的博客
09-15 1253
     先感慨下,好久没写博客了,一是工作太忙,二是身体不太给力,好在终于查清病因了,趁着今天闲下来,迫不及待与读者交流,最后忠告一句:身体是活着的本钱!      言归正传,对java有了解的同学基本上都体验过JDBC,基本都了解PreparedStatementPreparedStatement相比Statement基本解决SQL注入问题,而且效率也有一定提升。      关于Pre...
配套学习资料:Java开发 - 尚硅谷JDBC学习笔记
03-15
2. **创建Statement或PreparedStatement对象**:Statement用于执行静态SQLPreparedStatement则支持预编译的SQL,更安全,防止SQL注入。 3. **执行SQL**:调用Statement或PreparedStatement的executeQuery()或...
Java JDBC学习笔记:从基础到进阶
"这篇学习笔记主要介绍了JDBC的基础知识,包括其在Java中与数据库交互的作用、核心API的使用以及为什么选择新版本的驱动。通过JDBC,开发者能够使用Java代码对各种数据库(如MySQL、Oracle)进行CRUD操作。笔记强调...
Java很好的学习笔记部署环境
最新发布
06-21
了解如何配置数据库连接池,编写SQL语句,使用PreparedStatement防止SQL注入,以及处理结果集,都是数据库操作的基本技能。 8. **单元测试与Mocking**:JUnit是Java中最常用的单元测试框架,而Mockito则用于模拟...
sql注入问题解决——PrepareStatement
LeeBingNing的博客
01-16 4292
SQL注入攻击 -- 早年登录逻辑,就是把用户在表单中输入的用户名和密码 带入如下sql语句. 如果查询出结果,那么 认为登录成功. SELECT * FROM USER WHERE NAME='xxxx' AND PASSWORD='xxx'; -- sql注入: 请尝试以下 用户名和密码. /* 用户名:    密码: xxx */ -- 将用户名和密
Day09_SQL注入PreparedStatement
weixin_45014721的博客
04-01 312
文章目录一、解决SQL注入二、“Day08_JDBC工具类”的登录案例的改造 一、解决SQL注入 本节内容基于 Day08_JDBC工具类 的登录案例,包括用到的数据库也是那个案例里面的 1. SQL注入问题:在拼接sql时,有一些sql的特殊关键字参与字符串的拼接。会造成安全性问题 基于上一节练习过的登录案例 输入用户随便,输入密码:a' or 'a' = 'a,那么程序执行的就是select * from user where username = 'fhdsjkf' and passw
preparestatment获取sql_java sql: PrepareStatement详解
weixin_42355744的博客
01-28 595
public classDbUtil {public static final String URL = "jdbc:mysql://localhost:3306/imooc";public static final String USER = "liulx";public static final String PASSWORD = "123456";private static Connect...
SQL注入PreparedStatement接口
wangyanming123的博客
05-29 621
SQL注入PreparedStatement接口
2.3 PreparedStatement&SQL注入
southdreams的博客
12-30 200
PreparedStatement 概述:执行SQL的对象. SQL注入 在拼接SQL语句的时候,如果有一些SQL的特殊关键字参与了字符串的拼接,会造成安全问题。 a' or 'a'='a 拼接后的SQL语句:select * from user where username = '任意字符' and password = 'a' or...
PreparedStatement的介绍与解决sql注入
林高禄
06-24 9257
相关文章 jdbc连接以及出现的异常处理 Jdbc工具类 ResultSet的介绍与使用 jdbc中的sql注入 PreparedStatement PreparedStatement是Statement的子接口,Statement是试行静态sql对象,PreparedStatement是执行预编译sql对象,用占位符?动态传参,解决sql注入问题。 下面就通过一个例子演示,例子是通过jdbc连接查account表中的数据,然后用实体类Account封装起来,返回这个...
SQL注入PreparedStatement
qq_52722789的博客
01-12 507
1. Statement 在连接建立后,需要对数据库进行访问,执行命名或是SQL语句,可以通过 Statement[存在SQL注入] PreparedStatement[预处理] CallableStatement[存储过程] 2.SQL注入 1=1永远成立 Statement stmt = conn.createStatement(); ResultSet rs = stmt.executeQuery("SELECT * FROM stu where sno ='1' or
PreparedStatement对象解决SQL注入问题----个人学习记录
m0_59771750的博客
09-29 2028
PreparedStatement对象解决sql注入问题
SQL 注入问题的解决(PreparedStatement)
拒绝八股,追寻本质。
11-19 8641
上篇博客结尾提到了代码的不足:存在SQL注入问题。下面演示一下什么是SQL注入问题。(就拿上篇的代码举个例子)以上为正常现象,但有些“不法分子”抓住了代码的漏洞,干了一些不为人知的事情。What!竟然登录成功了!发生了甚么?让我们Debug一下,一探究竟。‘1’='1’为true,从而导致了整个柿子返回结果为true。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值