在JDBC中使用preparedStatement防止SQL注入

最新推荐文章于 2025-06-30 18:15:59 发布
最新推荐文章于 2025-06-30 18:15:59 发布
阅读量5.5k 收藏 10
点赞数 2
CC 4.0 BY-SA版权
分类专栏: javaweb
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/hju22/article/details/87538733
本文介绍了SQL注入的原理和危害,给出了登录场景下SQL注入的实例,如免账号登录和删除数据库。为防止SQL注入,文章推荐使用PreparedStatement,通过预编译SQL语句和设置参数的方式确保安全性。同时,文章还展示了登录项目的实现,包括用户表结构、项目结构、登录功能的Java实现以及单元测试。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

一、SQL注入

SQL注入是一种比较常见的网路攻击方式,一些恶意人员在需要用户输入的地方,恶意输入SQL语句的片段,通过SQL语句,实现无账号登录,甚至篡改数据库。

二、SQL注入实例

登录场景:

在一个登录界面,要求用户输入账号和密码。

我们的代码中会有如下SQL语句:

String sql="select * from user where account='"+account+"' and password='"+password+"'";
情形1:(免账号登录)
账号:' or 1=1-- (--后面有一个空格)
密码:
当我们输入了这个账号和密码,那么SQL语句就变成:

String sql="select * from user where account='' or 1=1 -- ' and password=''";

在这里插入图片描述
这个查询条件就变成account=‘’ 或者1=1,这个条件是恒成立的。
后面的-- ,就是注释。
这样就可以实现免账号登录。

情形2:(删除数据库)
账号:';drop database test;-- (--后面有一个空格)
密码:
当我们输入了这个账号和密码,那么SQL语句就变成:

String sql="select * from user where account='';drop database test;-- ' and password=''";

最低0.47元/天 解锁文章

200万优质内容无限畅学
JDBC_PreparedStatement防止SQL注入问题详细介绍
weixin_50991263的博客
05-16 456
PreparedStatement 作用:1.提升SQL执行性能 2.预防SQL注入问题 SQL注入SQL注入是同过操作输入来修改实现定义好的SQL语句,用来达到执行代码对服务器进行攻击得方法 例如:PreparedStatement其实是Statement得子类,如...
JDBC如何防止SQL注入
qf2019的博客
08-25 2305
JDBC如何有效防止SQL注入 在我们平时的开发中,作为新手写JDBC很有可能忽略了一点,那就是根本没有考虑SQL注入的问题, 那么,什么是SQL注入,以及如何防止SQL注入的问题。 1.什么是SQL注入 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是
使用PreparedStatement避免sql注入
qq_40327787的博客
06-07 1704
此时#后面的就变成了注释,而select查询时,判断的是哪条语句能使where后面为真,当输入or 1=1 时候,后面就永远为真,所有语句都会存入resultSet中,这时候就会有人说可以将判断设置成resultSet = 1;这里产生这种情况的原因是,我们在定义sql语句时,是把我们输入的部分聚合成字符串,再去执行语句,当时输入的部分内容有关键字时,他并不会做特殊处理,只会一股脑执行。当我们输入 dqwdqw’ or 1 = 1;但我们输入如下代码,就会提示登录成功。当我们随便输入时,会提示登录失败!
PreparedStatement详解
最新发布
echo_123qq的博客
06-30 1022
PreparedStatementJDBC 中用于执行预编译 SQL 语句的接口,它继承自 Statement 接口,提供了更安全、更高效的 SQL 执行方式。
通过PreparedStatement预防SQL注入
jakelihua
11-25 714
简介:本文只讲PreparedStatement预防SQL注入的写法,大家学会就好。..
PreparedStatement防止SQL注入
qq_42732184的博客
04-19 1659
添加数据: package com.hyc.study03; import com.hyc.study02.utils.JDBCUtils; import java.sql.Connection; import java.sql.ResultSet; import java.util.Date; import java.sql.PreparedStatement; import java.sql.SQLException; public class TestInsert { public stat
PreparedStatement(防止SQL注入)
abc98526的博客
03-09 350
PreparedStatement PreparedStatement防止Sql注入的类 本质:把传递进来的参数当作字符进行转义! package com.text; import java.sql.*; public class test72 { public static void main(String[] args) throws ClassNotFoundException, SQLException { //1.加载驱动 Class.fo
JDBC如何有效防止SQL注入
12-14
在Java的JDBC编程中,防止SQL注入至关重要,以下是一些有效的策略: 1. **预编译SQL语句(PreparedStatement)**: 使用`PreparedStatement`代替`Statement`是防止SQL注入的基本方法。预编译的SQL语句将参数化查询...
Mybatis防止sql注入的实例
08-30
其实在框架底层,是jdbc中的PreparedStatement类在起作用,PreparedStatement是我们很熟悉的Statement的子类,它的对象包含了编译好的sql语句。这种“准备好”的方式不仅能提高安全性,而且在多次执行一个sql时,...
Oracle-JDBC常用接口,PreparedStatement使用PreparedStatement防止SQL注入JdbcUtil工具类,修改Eclipse编辑器的工作空间编码
张子又
01-26 922
1.JDBC常用接口 PreparedStatement : 它是Statement接口的子接口,用来执行预编译的SQL语句,它是通过调用Connection对象的prepareStatement方法获取的 PreparedStatement prepareStatement(String sql)throws SQLException; 预编译的SQL:当调用Connection的prepare...
使用PreparedStatement防止SQL注入
robbinBlog
08-16 494
使用PreparedStatement防止SQL注入  (2012-04-10 16:54:39) 转载▼ 标签:  it 分类: java       Statement是PreparedStatement的父接口,不进行预编译操作,减少了进行预编译的开销.单次运行PreparedStatement要比Statem
PreparedStatement防止SQL注入小记
lw18751836671的专栏
04-09 1482
突发奇想想知道为什么preparedstatement.setString()这种设置参数为什么能防止SQL注入,它这么设置后打印出来的SQL语句是什么格式的, select count(*) as total from test0 t  where t.name = '"+username+"'"  这种如果输入  ' or 1=1 -- (PS: --空格, 这里必须要有空格才算注释) 这
使用preparedStatement防止SQL注入
穹妹纸的博客
05-25 421
先了解什么是SQL注入使用statement拼接字符串的时候,有一些SQL的特殊关键字参与字符串的拼接,这就会造成安全性的问题! 例如:sql = "select * from user where username = ’ "+ username + " 'and password = ’ " + password + " ’ "; 上面的这样一条SQL语句,在向里面传递参数时,如果登录者登录下面这样一套用户密码: 用户名:rong(随便写) 密码: a’ or ‘a’ = 'a 依然可以实现用户
PreparedStatement防止sql注入的原理
m0_53328194的博客
05-27 1576
Class.forName(com.mysql.jdbc.Driver); Connection con = DriverManager.getConnection("jdbc:mysql://...."); Statement st = con.CreateStatement(); String id = "03"; String sq = "delete from table1 where id="+id; st.execute(sq); 上面这段代码的本意是要删除id=03的记录,但是如果有人将id
PreparedStatement 防止 SQL 注入原理
Acx7的博客
12-10 2852
前言   PreparedStatement 对象可以防止 SQL 注入,而 Statement 对象不能防止 SQL 注入,接下来使用一个案例剖析原理。 原理 使用如下代码模拟 SQL 注入 总结   由最终执行的 SQL 可以看出,PreparedStatement 防止 SQL 注入的原理就是把用户非法输入的单引号进行转义,最终传入参数作为一个整体执行,从而防止 SQL 注入,而 Statement 对象不会进行此操作。   PreparedStatement 可以有效防止 SQL 注入,你
通过jdbc使用PreparedStatement,提升性能,防止sql注入
weixin_33827731的博客
12-20 174
为什么要使用PreparedStatement? 一、通过PreparedStatement提升性能      Statement主要用于执行静态SQL语句,即内容固定不变的SQL语句。Statement每执行一次都要对传入的SQL语句编译一次,效率较差。     某些情况下,SQL语句只是其中的参数有所不同,其余子句完全相同,适用于PreparedStatement。PreparedStat...
PreparedStatement防止sql注入
xiaotai1234的博客
06-03 355
防止sql注入 1.概述 java.sql.Connection接口,成员方法 public PreparedStatement prepareStatement(String sql) 创建一个 PreparedStatement 对象来将参数化的 SQL 语句发送到数据库。 参数: String sql: sql语句,参数使用?代替 返回值: java.sql.PreparedStatement接口: 方法内部必然返回实现类对象 成员方法: public void setString(int index
【运维】PreparedStatement防止SQL注入
weixin_37543485的博客
09-15 607
参数化查询是编写安全数据库代码的最佳实践之一。
PreparedStatement是如何防止SQL注入的?
weixin_30920597的博客
09-26 513
为什么在Java中PreparedStatement能够有效防止SQL注入?这可能是每个Java程序员思考过的问题。 首先我们来看下直观的现象(注:需要提前打开mysqlSQL文日志) 1. 不使用PreparedStatement的set方法设置参数(效果跟Statement相似,相当于执行静态SQL) String param = "'test' or 1=1"; ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值