防止sql注入方法 如何防止java中将MySQL的数据库验证密码加上 ' or '1'= '1 就可以出现万能密码 的PreparedStatement

最新推荐文章于 2024-05-15 15:50:17 发布
原创 最新推荐文章于 2024-05-15 15:50:17 发布 · 542 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了一种常见的安全漏洞——SQL注入,并展示了如何通过正确使用PreparedStatement来避免这一问题。通过对比两种不同的实现方式,强调了参数化查询的重要性。 
package com.swift;

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;

public class LoginJDBC$PreparedStatement {

    public static void main(String[] args) {
        User userZhangsan=new User("swift","123456' or '1'='1");
        if(login(userZhangsan)) {
            System.out.println("账号密码正确,登陆成功");
        }else {
            System.out.println("登陆失败");
        } 
    }

    private static boolean login(User userZhangsan) {
        
        Connection conn=null;
        PreparedStatement ps=null;
        ResultSet rs=null;
        try {
            //1、装载驱动
            Class.forName("com.mysql.jdbc.Driver");
        } catch (ClassNotFoundException e) {
            e.printStackTrace();
        }
        try {
            //2、链接数据库,使用com.mysql.jdbc.Connection包会出错
            conn=DriverManager.getConnection("jdbc:mysql://localhost:3306/sw_database?user=root&password=root");
            //3、创建连接语句
            ps=conn.prepareStatement("select * from sw_user where username='"+userZhangsan.getUsername()+"' and password='"+userZhangsan.getPassword()+"'");
            //4、执行SQL语句获得结果集
            rs=ps.executeQuery();
            if(rs.next()) {
                return true;
            }
        } catch (SQLException e) {
            e.printStackTrace();
        }finally {
            //关闭结果集
            try {
                if(rs!=null) {
                   rs.close();
                }
            } catch (SQLException e) {
                // TODO Auto-generated catch block
                e.printStackTrace();
            }
            //关闭连接语句
            try {
                if(ps!=null) {
                   ps.close();
                }
            } catch (SQLException e) {
                // TODO Auto-generated catch block
                e.printStackTrace();
            }
            //关闭数据库连接
            try {
                if(conn!=null) {
                    conn.close();
                }
            } catch (SQLException e) {
                // TODO Auto-generated catch block
                e.printStackTrace();
            }
        }
        return false;
        
    }

}
上面代码中的sql语句通过字符串连接的方式,虽然已经使用了PreparedStatement,但依然不能防止注入,因为字符串连接可以加入'or '1'='1
ps=conn.prepareStatement("select * from sw_user where username='"+userZhangsan.getUsername()+"' and password='"+userZhangsan.getPassword()+"'");
将上面sql语句变为 select * from sw_user where username=? and password=?
就不存在字符串连接,password 加上其他字符sql也无法执行
所以代码修改如下:
package com.swift;

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;

public class LoginJDBC$PreparedStatement2 {

    public static void main(String[] args) {
        User userSwift=new User("zhangsan","123456");
        if(login(userSwift)) {
            System.out.println("账号密码正确,登陆成功");
        }else {
            System.out.println("登陆失败");
        } 
    }

    private static boolean login(User userSwift) {
        
        Connection conn=null;
        PreparedStatement ps=null;
        ResultSet rs=null;
        try {
            //1、装载驱动
            Class.forName("com.mysql.jdbc.Driver");
        } catch (ClassNotFoundException e) {
            e.printStackTrace();
        }
        try {
            //2、链接数据库,使用com.mysql.jdbc.Connection包会出错
            conn=DriverManager.getConnection("jdbc:mysql://localhost:3306/sw_database?user=root&password=root");
            //3、创建连接语句
            ps=conn.prepareStatement("select * from sw_user where username=? and password=?");
            ps.setString(1, userSwift.getUsername());
            ps.setString(2, userSwift.getPassword());
            //4、执行SQL语句获得结果集
            rs=ps.executeQuery();
            if(rs.next()) {
                return true;
            }
        } catch (SQLException e) {
            e.printStackTrace();
        }finally {
            //关闭结果集
            try {
                if(rs!=null) {
                   rs.close();
                }
            } catch (SQLException e) {
                // TODO Auto-generated catch block
                e.printStackTrace();
            }
            //关闭连接语句
            try {
                if(ps!=null) {
                   ps.close();
                }
            } catch (SQLException e) {
                // TODO Auto-generated catch block
                e.printStackTrace();
            }
            //关闭数据库连接
            try {
                if(conn!=null) {
                    conn.close();
                }
            } catch (SQLException e) {
                // TODO Auto-generated catch block
                e.printStackTrace();
            }
        }
        return false;
        
        
    }

}

 

 
如何使用 Spring AI 实现文本转 SQL
程序猿DD
06-24 986
随着技术的发展,现代应用程序越来越多地采用自然语言界面来简化用户与系统的交互。这种方式在数据检索场景中尤其实用,让非技术用户也能通过简单的自然语言提问来获取所需信息。文本转 SQL 聊天机器人就是这样一个典型应用。它就像是人类语言和数据库之间的翻译官,通过大型语言模型(LLM)将用户的自然语言问题转换为可执行的 SQL 查询,然后在数据库中执行查询并返回结果。本文将带你使用 Spring AI 构建一个文本转 SQL 聊天机器人。
Java 知识点整理:Spring、MySQL
m0_67322837的博客
05-06 673
作者:是瑶瑶公主呀 链接:Java 知识点整理:Spring、MySQL_技术交流_牛客网 来源:牛客网 Spring 10 P1:Spring 框架 Spring 是分层的企业级应用轻量级开源框架,以 IoC 和 AOP为内核。Spring 可以降低企业级应用开发的复杂性,对此主要采取了四个关键策略:基于 POJO 的轻量级和最小侵入性编程、通过依赖注入和面向接口实现松耦合、基于切面和惯性进行声明式编程、通过切面和模板减少样板式代码。 好处 降低代码耦合度、简化开发。通过 Spring 提供.
java防止SQL注入
11-19
java防止SQL注入对一个系统十分的重要,系统没有安全保障,那再好的系统也是扯淡。在平时系统开发中一定注意安全漏洞。
java mysql注入_防止sql注入方法 如何防止java中将MySQL数据库验证密码加上 ' or '1'= '1 就可以出现万能密码PreparedStatement...
weixin_39958631的博客
01-20 205
packagecom.swift;importjava.sql.Connection;importjava.sql.DriverManager;importjava.sql.PreparedStatement;importjava.sql.ResultSet;importjava.sql.SQLException;public classLoginJDBC$PreparedStatement2 {...
java中防sql注入_Java防止SQL注入
weixin_42461108的博客
02-27 200
Java防止SQL注入SQL注入是最常见的攻击方式之一,它不是利用操作系统或其它系统的漏洞来实现攻击的,而是程序员因为没有做好判断,被不法用户钻了SQL的空子,下面我们先来看下什么是SQL注入:比如在一个登陆界面,要求用户输入用户名和密码:用户名: ' or 1=1 --密 码:点登陆,如若没有做特殊处理,而只是一条带条件的查询语句如:String sql="select ...
JavaSQL注入MySQL数据查询
ljl_xyf的专栏
01-12 618
/**  *  */ package user.DAO; import java.sql.*; import user.entity.User; /** *//**  * 用户数据访问层  * @author http://www.my400800.cn  *@version 1.0  *日期2010 01 12  */ public class UserDAO { ...
java mysql注入_java防止sql注入
weixin_35569211的博客
01-19 261
http://my.oschina.net/u/1031131/blog/410423public final static String filterSQLInjection(String s) {if (s == null || "".equals(s)) {return "";}try {s = s.trim().replaceAll("?[s,S][c,C][r,R][i,I][p,P][...
使用数据库防火墙保护系统免受SQL注入攻击
# 第一章:SQL注入攻击简介 ## 1.1 什么是SQL注入攻击 SQL注入是指攻击者向应用程序的数据库查询中插入恶意代码的一种攻击方式。它利用了应用程序对用户输入的不完全检查或过滤,导致恶意代码被执行的情况。 常见...
互联网应用主流框架整合【控制反转和注入
最新发布
一块大洋
05-15 1万+
IoC容器、依赖、Bean、注解(附源码)
Java面试自救指南》(专题三)数据库
试问道几许
04-06 1211
这样,当对这个表进行查询时,只需要在表分区中进行扫描,而不必进行全表扫描,明显缩短了查询时间,另外处于不同磁盘的分区也将对这个表的数据传输分散在不同的磁盘I/O,一个精心设置的分区可以将数据传输对磁盘I/O竞争均匀地分散开。(3)Slave的IO进程接收到信息后,将接收到的日志内容依次添加到Slave端的relay-log文件的最末端,并将读取到的Master端的bin-log的文件名和位置记录到master-info文件中,以便在下一次读取的时候能够清楚的告诉Master从何处开始读取日志。
JavaMysql防止注入攻击
weixin_30696427的博客
03-05 397
String sql = "select * from users u where u.id = ? and u.password = ?"; preparedstatement ps = connection.preparestatement(sql); ps.setint(1,id); ps.setstring(2,pwd); resultset rs = ps.executequer...
java mysql sql注入_JavaSQL注入MySQL数据查询
weixin_42398171的博客
02-01 143
/****/package user.DAO;import java.sql.*;import user.entity.User;/** *//*** 用户数据访问层* @author http://www.my400800.cn*@version 1.0*日期2010 01 12*/public class UserDAO {/** *//*** 根据用户名和密码查找用户,找到了返回 user ...
sql注入问题 java中将MySQL数据库验证秘密加上 ' or '1'= '1 就可以出现万能密码...
weixin_33749131的博客
09-21 523
password的字符串中,加上 ' or '1'= '1 就可以制作出万能密码。 原因如下: 原代码中密码123456 执行数据库查询语句 实际上执行的SQL语句是: select * from sw_user where username='swift' and password='123456' 这是需要账号密码都正确才能登陆成功 如果有人将密码设置成这样的密码,则成...
java连接数据库操作2--防止sql注入
l-jobs的专栏
12-01 403
sql注入 概念 所谓sql注入,即用户输入的字符串和我们的sql结合产生预判之外的结果,比如下面这段判断用户名密码是否正确的代码 String sql = "SELECT * FROM user WHERE " + "username='" + username + "' and password='" + password + "'";rs = stmt.executeQ
Java如何预防SQL注入(通俗易懂)
sjs52406的博客
11-30 1550
本篇文章主要在于了解SQL注入攻击原理及防御策略
Java连接MySQL(SQL注入攻击以及解决方法)
哈哈哈哈_哈士奇的博客
08-30 2107
Java中简单的MySQL连接操作 基本步骤: 1.加载驱动类   Class.forName(“com.mysql.jdbc.Driver”); 2.建立连接   Connection conn = DriverManager.getConnection(url,user,password);   三个参数的解读:     url:"jdbc:mysql://localhost:3306/is...
Java项目防止SQL注入的四种方案
热门推荐
学IT,找陈寒
10-10 1万+
SQL注入是一种严重的安全漏洞,但通过采取适当的预防措施,可以有效地防止它。在Java项目中,使用预编译语句、输入验证和过滤、ORM框架以及安全的数据库访问库是防止SQL注入攻击的四种常见方法。选择适合你的项目的方法,并始终保持警惕,以确保你的应用程序免受潜在的威胁。😊🙏Java面试技巧Java面试八股文 - 掌握面试必备知识(目录篇)Java学习路线2023年完整版Java学习路线图AIGC人工智能Chat GPT是什么,初学者怎么使用Chat GPT,需要注意些什么Java实战项目。
java:防止SQL身份注入,比如1=‘1’为真,获得进入数据库权利,这篇可以防止这种情况
weixin_45917610的博客
05-03 303
package hanjia; //可防范SQL注入的用户身份验证操作 //连接SQL Server 2008数据库,进行身份验证(可防范SQL注入问题) import java.sql.Connection; import java.sql.DriverManager; import java.sql.ResultSet; import java.sql.SQLException; impor...
JAVA防止SQL注入攻击类实现与示例
"提供了一段JAVA防止SQL注入攻击的源代码,包括网页版的JavaScript验证函数和Java类。JavaScript部分用于前端用户输入的初步检查,Java类则可能用于后端进一步的数据过滤和安全处理。" 在Java编程中,SQL注入是一种...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值