JDBC学习之路(三)防止SQL注入,PreparedStatement探索

最新推荐文章于 2025-08-09 15:58:26 发布
最新推荐文章于 2025-08-09 15:58:26 发布 · 144 阅读 · 0
文章标签:

#java #数据库

本文介绍如何通过使用PreparedStatement来防止SQL注入攻击,确保数据库查询的安全性。讲解了PreparedStatement相较于Statement的优势,包括预处理、安全性提升及执行效率的优化。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

现在登录注册或者其他很多地方遇到用户输入的内容可以直接拿到数据库内部去进行执行SQL语句,这个是一项很危险的运动,因为你不知道用户会输入什么,如果用户对SQL语句很熟悉,他就可以在输入的时候加上''两个冒号作为特殊字符,这样的话会让计算机认为他输入的是SQL语句的关键字从而改变你的SQL语句,照成不可估量的损失,下面介绍防止此类事情发生的代码

package com.bird.jdbc; import java.sql.Connection; import java.sql.PreparedStatement; import java.sql.ResultSet; /** * @use1 preparedStatement可以做一些预处理工作,将特殊字符去除,保证查询安全 * @use2 比起Statement速度更快 * @use3 单次测试不好说,但是多次运行还是PreparedStatement运行块的 * @author bird * */ public class SQLInsert {//使用PreStatement防止SQL注入攻击 public static void read(String num) throws Exception{ Connection conn = null; PreparedStatement pt = null; ResultSet rs = null; try{ conn = JdbcUtil.getConnecttion();//建立连接 String sql = "select * from niao where password = ?";//问号代替num pt = conn.prepareStatement(sql);//创建语句 pt.setString(1, num); rs = pt.executeQuery();//执行语句 while(rs.next()){//得到数据 System.out.println(rs.getObject("username")+"\t"+rs.getObject("password")+"\t"+rs.getObject("keywords")+"\t" +rs.getObject("userkeywords1")+"\t"+rs.getObject("time1")+"\t"+rs.getObject("userkeywords2")+"\t" +rs.getObject("time2")+"\t"); } }finally{ JdbcUtil.free(rs, pt, conn); } } public static void main(String [] args) throws Exception{ read("123"); //read("' or 2 or'");这句话包含了两个单引号,会让计算机认为是SQL关键字很危险 } }

1.PreparedStatement是继承自Statement, 可以说Statement能做的事情他都能做。

2.PreparedStatement可以对你输入的SQL语句进行预处理,删除那些特殊字符和危险

字符,非常有好处,给开发者帮助

3.PreparedStatement对SQL执行进行了优化,对于多次大量的SQL查询,效率要比Statement快的很多,建议能用它就用他

iteye_3606
关注
JDBC如何有效防止SQL注入
12-14
JavaJDBC编程中,防止SQL注入至关重要,以下是一些有效的策略: 1. **预编译SQL语句(PreparedStatement)**: 使用`PreparedStatement`代替`Statement`是防止SQL注入的基本方法。预编译的SQL语句将参数化查询...
Mybatis防止sql注入的实例
08-30
Mybatis防止sql注入的实例 Mybatis框架作为一款半自动化的持久层框架,其sql语句都要我们自己来手动编写,这个时候当然需要防止sql注入防止sql注入的方法有很多,例如将sql语句全部替换为存储过程的方式,但这种...
关于prepareStatement可以防止SQL注入的理解
liuxiaoddd的专栏
11-27 6734
prepareStatement的两个作用: 1. 预处理功能,在多次执行相同的SQL语句的情况可以大幅提高执行效率; 2. 杜绝SQL注入的风险。
JDBC中使用preparedStatement防止SQL注入
qq_43842093的博客
08-29 1649
一、SQL注入 SQL注入是一种比较常见的网路攻击方式,一些恶意人员在需要用户输入的地方,恶意输入SQL语句的片段,通过SQL语句,实现无账号登录,甚至篡改数据库。 二、SQL注入实例 登录场景: 在一个登录界面,要求用户输入账号和密码。 我们的代码中会有如下SQL语句: String sql="select * from user where account='"+account+"' and password='"+password+"'"; 情形1:(免账号登录) 账号:' or 1=1-- (--
PreparedStatement 防止 SQL 注入原理
Acx7的博客
12-10 2851
前言   PreparedStatement 对象可以防止 SQL 注入,而 Statement 对象不能防止 SQL 注入,接下来使用一个案例剖析原理。 原理 使用如下代码模拟 SQL 注入 总结   由最终执行的 SQL 可以看出,PreparedStatement 防止 SQL 注入的原理就是把用户非法输入的单引号进行转义,最终传入参数作为一个整体执行,从而防止 SQL 注入,而 Statement 对象不会进行此操作。   PreparedStatement 可以有效防止 SQL 注入,你
使用PreparedStatement防止SQL注入
2401_85045690的博客
10-16 522
防止SQL注入的关键是使用参数化查询,其中是JDBC中提供的一个非常有用的工具。以下是一些基本的步骤和代码示例,展示如何使用来防止SQL注入
JDBC PreparedStatement 防止sql注入原理
qq_42121746的博客
12-04 668
JDBC PreparedStatement 防止sql注入原理 使用Statement执行查询语句的时候 : 比如要执行用户名 密码登录验证的sql语句 经常要输入 String sql = " select * from user where name=' " +name+ " ' and pwd = ' " +pwd+ " ' "; 这时候如果用户输入的密码...
java中连接Mysql以及PreparedStatement如何防止sql注入
渗透之路,攻防之间皆学问
10-12 1035
java 中如何连接到 MySQL 数据库,执行 SQL 查询,并处理查询结果?
Java学习路线:JDBC(二)实现和防止SQL注入攻击
LUwantAC的博客
10-19 422
Connection除了可以通过调用statement()方法来创建Statement对象以外,还可以调用preparedStatement()方法,创建一个PreparedStatement对象,来实现预编译。通过这种方式,将用户输入的内容作为一个整体放入占位符中,当用户输入单引号时,程序会自动将单引号进行转义,从而使其无法影响SQL的语义。方法,将用户输入的第一个值(用户名)设置为 SQL 查询中的第一个参数(方法,将用户输入的第二个值(是密码)设置为 SQL 查询中的第二个参数(
JDBC2(防止sql注入数据库连接池)
Stringzhua的博客
10-29 820
名称: c3p0.properties 或者 c3p0-config.xml文件名称不可以修改路径:直接将文件放在src目录下即可,路径不可修改。
【运维】PreparedStatement防止SQL注入
weixin_37543485的博客
09-15 607
参数化查询是编写安全数据库代码的最佳实践之一。
mybatis如何防止SQL注入
01-05
### MyBatis如何防止SQL注入 #### SQL注入简介与危害 SQL注入是一种常见的Web应用程序安全漏洞,攻击者可以通过提交恶意的SQL代码到应用程序的输入字段中(如表单、URL等),利用这些输入来操控数据库执行非预期的...
需求EAV模型的优化与思考
HAN_789的博客
08-06 792
针对EAV(Entity-Attribute-Value)存储模型及Elasticsearch集成需求,以下是详细方案设计和实现建议。
Java集合中的链表
Y409001的博客
08-08 592
本文详细介绍了Java中LinkedList的实现原理及其应用。首先分析了ArrayList在插入删除操作上的效率问题,引出链表结构的必要性。文章详细讲解了单向链表的基本概念、8种链表结构分类,以及不带头单向链表的具体实现,包括节点定义、接口设计和基本操作方法(增删改查)。重点说明了头插法、尾插法和任意位置插入的实现细节与注意事项。最后提供了9个链表相关的经典面试题及其解决方案,包括链表反转、中间节点查找、回文判断、环检测等。
SpringMvc的原理深度剖析及源码解读
gonghua0502的专栏
08-07 759
文章主要讲解了SpringServletContainerInitializer类初始化的过程。拦截器与过滤器区别及应用场景。DispatcherServlet处理流程。控制器初始化涉及文件解析器、本地化解析器等组件配置。适配器模式支持多种handler类型,包括Controller继承、HTTP请求和注解方式。异步实现可通过@Async注解或Callable类,需在配置类中开启异步支持。
Spring_事务
CxK6666667的博客
08-06 921
本文总结了MySQL事务基本概念及Spring框架实现事务的两种方式。主要内容包括:1. 事务概念回顾:包括事务的ACID特性、事务操作步骤(开启/提交/回滚);2. Spring事务实现:编程式事务(手动管理)和声明式事务(@Transactional注解);3. @Transactional详解:异常处理(rollbackFor)、事务隔离级别、传播机制(7种传播行为);4. 实践案例:通过用户注册和日志记录场景演示REQUIRED、REQUIRES_NEW等传播机制的实际效果。文章通过代码示例和测试结
【32】C#实战篇——两个文件夹下 相同名字的文件 进行配对(两个文件夹下的文件数量和文件类型不一定相同,所以要过滤掉我们不要的文件)
最新发布
程序员,他们想的是什么?他们想的永远都是技术,他们崇尚的也永远都是技术。
08-09 321
该代码实现了一个文件配对功能,用于匹配两个文件夹下具有相同文件名且符合指定后缀条件的CSV文件。通过正则表达式过滤出符合"Wide.csv"、"Tele.csv"或"Mid.csv"后缀的文件,将匹配成功的文件路径分别存储在StandardDataPath和CurrentDataPath两个数组中,保持一一对应关系,并返回匹配成功的文件对数。输入为标准数据和当前数据文件夹路径及后缀过滤条件,输出为匹配的文件路径数组和匹配总数。
LangChain4j终极指南:Spring Boot构建企业级Agent框架
夜雨的博客
08-08 867
LangChain4j终极指南:Spring Boot构建企业级Agent框架。实时流量看板:QPS、错误率、响应时间;资源利用率:CPU/内存/GPU使用率;LLM性能分析:Token消耗、推理延迟分布;工具热力图:调用频率、执行时长排行
Java使用PreparedStatement与Filter防止SQL注入
"Java防止SQL注入的几种方法主要集中在避免SQL拼接、使用预编译的PreparedStatement以及在输入数据时进行过滤。" SQL注入是一种常见的网络安全威胁,它允许攻击者通过在用户输入的数据中嵌入恶意SQL代码,篡改...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值