JDBC SQL Inject

最新推荐文章于 2021-05-27 18:32:28 发布
最新推荐文章于 2021-05-27 18:32:28 发布
阅读量147 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: JDBC 文章标签: JDBC
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/kennyhazel/article/details/84059063
本文深入探讨了SQL注入攻击的概念及其对数据库安全的影响,并重点对比了Statement和PreparedStatement的区别,阐述了使用PreparedStatement避免SQL注入攻击的重要性,以及其在防注入攻击、多次运行速度、防止数据库缓冲区溢出和提高代码可读性和可维护性方面的优势。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

package cj;

import java.sql.Connection;
import java.sql.ResultSet;
import java.sql.Statement;

public class SQLInject {
   public static void main(String[] args) throws Exception{
	   read("' or 1 or '");
   }
   
	public static void read(String name) throws Exception {
		Connection con = null;
		ResultSet rs = null;
		Statement st = null;
		try {
			con = JdbcUtil.getConnection();
			st = con.createStatement();
			String sql = "select id, name from test where name='"+name+"'";
			System.out.println("sql:"+sql);
			rs = st.executeQuery(sql);
			while (rs.next()) {
				System.out.print(rs.getObject("name") );
				System.out.println();
			}
		} finally {
			JdbcUtil.free(rs, st, con);
		}
	}
}

     这段代码会照成SQL注入,查询出所有的记录。

    我们可以看到打印的结果:

    sql:select id, name from test where name='' or 1 or ''

    这条sql语句怎么样都会执行。

   

   SQL注入攻击是利用是指利用设计上的漏洞在目标服务器上运行Sql语句以及 进行其他方式的攻击,动态生成Sql语句时没有对用户输入的数据进行验证是Sql注入攻击得逞的主要原因。
    对于JDBC而言,SQL注入攻击只对Statement有效,对PreparedStatement 是无效的这是因为PreparedStatement不允许在不同的插入时改变查询的逻辑结构。 
    如验证用户是否存在的SQL语句为 : 
    select count(*) from usertable where name='用 户 名 ' and pswd='密 码 '
    如果在用户名字段中输 入 ' or '1'='1' or '1'='1或是在密码字段中输入 1' or '1'='1将绕过验证,但这种手段只对只对 Statement有效,对PreparedStatement无效。 
    PreparedStatement 相 对 Statement有以下 优 点: 
    1.防注入攻 击 
    2.多次运行速度快 
    3.防止数据库缓冲区溢出 
    4.代码的可读性可维护性好 
    这四点使得 PreparedStatement 成为访问数据库的语句对象的首选,缺点是灵活性不够好,有些场合还是必须使用Statement。 

    

JDBC学习
一条游向寒江的鱼
08-25 862
JDBC就是使用Java语言操作关系数据库的一套API 全程:Java DataBase Connectivity Java数据库连接
Java JDBC技术:(六)SQL 注入与PreparedStatement 对象的使用-5000字匠心出品
地球村
05-15 597
SQL 注入与PreparedStatement 对象的使用1.什么是 SQL 注入2.SQL 注入案例3.PreparedStatement 对象的使用1.PreparedStatement 特点2.通过 PreparedStatement 对象向表中插入数据4.PreparedStatement 的预编译能力1.什么是预编译1.SQL 语句的执行步骤2.解析过程2.预编译方式1.依赖数据库驱动完成预编译2.依赖数据库服务器完成预编译5.通过 PreparedStatement 对象完成数据的更新6.通过
cache数据库SQL报错代码含义
06-09
cache数据库SQL报错代码含义整理cache数据库SQL报错代码含义整理cache数据库SQL报错代码含义整理
UncategorizedSqlException异常的处理
热门推荐
...Lovec
05-14 7万+
此问题的原因是数据库的错误,找到对应的sql,将完整的sql放到数据库进行操作也是失败的。 原因1:字段类型对应不上,常见出现在Date类型上。 原因2:数据库的表字段有限制,例如是UNI(唯一),非空等限制都会导致出现此问题 ...
Spring+IBatis SQL执行报错UncategorizedSQLException
HardyCheers
07-27 1650
后台执行查询操作时报错如下: org.springframework.jdbc.UncategorizedSQLException:SqlMapClient operation; uncategorized SQLException for SQL []; SQL state [null]; error code [0];   这种情况会有以下两种错误导致出现: 1、当在实体中属性类型与数据...
oracle SQL state [99999]; error code [17026]; 数字溢出
BlueMiracle
11-07 2万+
org.springframework.jdbc.UncategorizedSQLException: CallableStatementCallback; uncategorized SQLException for SQL [{call updateUser(?, ?, ?, ?, ?, ?)}]; SQL state [99999]; error code [17026]; 数字溢出;
Java使用Jdbc连接Oracle执行简单查询操作示例
08-25
PreparedStatement可以将SQL语句的参数化,使得攻击者无法 inject恶意SQL语句。 ```java PreparedStatement stmt = null; ResultSet res = null; Connection conn = null; CallableStatement proc = null; String ...
jdbc实现与线程池
06-14
为了防止 sql 注入攻击,jdbc 提供了 PreparedStatement 对象,用于预编译 sql 语句,并将参数作为输入参数传递给语句对象。这可以防止攻击者 inject 恶意的 sql 语句。 五、jdbc 连接池 jdbc 连接池是指在应用...
JDBC&Druid数据库连接池
06-05
SQL注入是一种常见的安全漏洞,攻击者可以通过Inject恶意SQL语句来访问或修改数据库中的数据。例如,攻击者可以输入用户名和密码为`' or '1'= '1`,导致SQL语句变为`select * from tb_user where username = '' or '...
UncategorizedSQLException异常处理办法
不大的锤子
10-12 7万+
如题,先贴console org.springframework.jdbc.UncategorizedSQLException: StatementCallback; uncategorized SQLException for SQL [select * from zb_zbfl_sjzbfl_view where zb_id=?4]; SQL state [72000]; error cod
SQL注入的问题及解决方法
Watson2020的博客
05-27 303
SQL注入的问题 SQL存在漏洞,会被攻击导致数据泄露。 SQL注入测试类: import com.qsy.lesson02.utils.JdbcUtils; import java.sql.Connection; import java.sql.ResultSet; import java.sql.SQLException; import java.sql.Statement; //SQL注入 public class SQLInjection { public static void mai
(解决)Caused by: java.sql.SQLException: 无法转换为内部表示
编程语言小筑
05-21 1777
今天遇到了个错误: org.springframework.jdbc.UncategorizedSQLException: Hibernate operation: could not execute query; uncategorized SQLException for SQL Caused by: java.sql.SQLException: 无法转换为内部表示 ...
SQL防注入
weixin_44693449的博客
10-28 537
SQL 防止SQL注入的五种方法 一、SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 二、SQL注入攻击的总体思路 1.寻找到SQL注入的位置 2.判断服务器类型和后台数据库类型 3.针对不通的服务器和数据库特点进行SQL注入攻击 三、SQL注入攻击实例 比如在一个登录界面...
Spring data JAP SQL error:17059 SQL State:99999
WangPing1223的博客
07-27 2897
错误现象:启动时报错,无法转换成内部表示,如下图所示。 原因:这个错误就是无法把hibernate配置文件转换成数据库中对应表的信息。 一般就是 hibernate字段属性写错了,String类型的写成long, 数字类型的写成string等等,导致数据库内容无法转换成Java类了。 对应方法:检查数据库表和实体类类型是否一致
uncategorizedsqlexception异常解决方法
Esther_Lee的博客
04-11 8517
人员信息管理系统 在做这个项目的日志管理模块的时候,遇到一个错误,如图 在显示日志的界面结果一栏显示:uncategorizedsqlexception 搜索解决方案的时候,都说是字段类型对不上所导致的错误,于是检查了mapper文件,数据库以及实体类,感觉没有什么错误。 然后在对console窗口检查种发现,result一栏好像无法写入,因为自己的result一栏默认是“成功”,所以怀疑是数据...
909422229_系统登录之防sql注入Utils
要有梦想,即使遥远
08-01 791
import javax.servlet.http.HttpServletRequest; /**  * 防sql注入  * @author wangsh  *  */ public class AntiSqlInjection {      //    public static void main(String[] args) { //        String filter = Anti...
引起uncategorized SQLException for SQL错误的有关原因
qingtian19900114的博客
09-18 5340
今天遇到这个错误,很是郁闷,很久都没有找到原因,上网查了许久,才发现,原来是字符编码的问题,就此记录,以备不时之需。http://www.myexception.cn/java%20exception/1457.html...
selenium的一些自动化测试脚本,基于python语言。.zip
最新发布
08-22
selenium的一些自动化测试脚本,基于python语言。.zip
Spring框架关键技术演示:自动装配、AOP与JDBC集成
- JDBC是Java语言编写的数据库访问API,用于执行SQL语句。 - 在该演示中,演示了JDBC的两种实现方式,一种是通过XML配置文件,另一种是通过注解方式。 - XML配置方式涉及到了Spring的`<bean>`配置,`<property>`...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值