PreparedStatement对象替代Statement解决sql注入

最新推荐文章于 2025-02-08 15:56:22 发布
最新推荐文章于 2025-02-08 15:56:22 发布
阅读量361 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: javaSE 数据库 文章标签: 数据库 sql注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/tc1106_site/article/details/74080108
本文介绍如何使用PreparedStatement对象来有效防止SQL注入攻击。通过实例演示了如何安全地设置参数并执行SQL查询,避免非法操作数据库。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

PreparedStatement对象替代Statement解决sql注入


使用非法SQL语句(如' or 1==1 or '),

利用Statement对象的缺点,从而非法操作数据库表的行为,叫SQL注入。

public static void main(String[] args) throws Exception{

try{

DriverManager.registerDriver(new Driver());

         //URL,数据库用户名,密码

Connection conn = DriverManager.getConnection("jdbc:mysql://127.0.0.1:3306/jdbc","root","root");

String sql = "select id,name,sal from users where name = ?";

PreparedStatement pstmt = conn.prepareStatement(sql);

//?占位符设置值

//?只能代替实际值,不能代替表名,列名

//?从左向右,第一个?号为1,第二个?号为2,依次类推

pstmt.setString(1,name);

ResultSet rs = pstmt.executeQuery();

while(rs.next()){

int id = rs.getInt("id");

name = rs.getString("name");

int sal = rs.getInt("sal");

System.out.println(id);

System.out.println(name);

System.out.println(sal);

System.out.println("------------------------");

}

}catch(Exception e){

e.printStackTrace();

throw e;

}finally{

JdbcUtil.close(conn);

JdbcUtil.close(pstmt);

JdbcUtil.close(rs);

}

}


【JAVA高级】——吃透JDBC中的SQL注入问题和解决方案
不迁怒,不贰过。小知识,大智慧。
10-26 1万+
吃透JDBC中的SQL注入问题和解决方案
JDBC_PreparedStatement防止SQL注入问题详细介绍
weixin_50991263的博客
05-16 455
PreparedStatement 作用:1.提升SQL执行性能 2.预防SQL注入问题 SQL注入SQL注入是同过操作输入来修改实现定义好的SQL语句,用来达到执行代码对服务器进行攻击得方法 例如:PreparedStatement其实是Statement得子类,如...
验证preparedStatement防止SQL注入
08-30 5197
mysql> select * from t_u -> ; +----+----------+------+------+ | id | username | pwd | age | +----+----------+------+------+ | 1 | zs | test | 22 | +----+----------+------+------+ 1 row
使用PreparedStatement代替Statement
kitahiragawa的博客
12-27 450
import java.sql.*; import java.sql.Connection; import java.sql.DriverManager; public class PrepareStToSolveInject{ public static void main(String[] args) throws ClassNotFoundException,SQLException{ String url = "jdbc:mysql://localhost:3306/sc
使用PreparedStatement执行sql语句
旺旺的博客
05-25 2722
PreparedStatementStatement 的子接口使用Statement执行sql语句的话,不能用占位符代替变量,要靠字符串的拼写。这样的话很麻烦而PerparedStatement的话,提供了占位符然后也提供了方法来设置占位符的值方法 :setXxx(int index,Object value);             index 从1开始。...
JDBC进阶之PreparedStatement执行SQL语句(MySQL)
weixin_34018169的博客
10-20 291
一、什么是PreparedStatement           参阅Java API文档,我们可以知道,PreparedStatementStatement的子接口(如图所示),表示预编译的 SQL 语句的对象SQL 语句被预编译并存储在PreparedStatement 对象中。然后可以使用此对象多次高效地执行该语句。     二、通过PreparedStatement获取在运...
使用PreparedStatement来替换Statement,实现对数据表的增删改查操作
weixin_45925146的博客
10-08 412
使用PreparedStatement来替换Statement,实现对数据表的增删改查操作
如何避免SQL注入
weixin_53227829的博客
02-08 943
要有效地避免SQL注入攻击,最重要的措施是采用预处理语句、存储过程和严格的输入验证。此外,限制数据库权限、加强错误处理和定期审计也有助于增强数据库安全性。通过采取这些安全防护措施,可以大大降低SQL注入攻击的风险。
Java JDBC技术:(六)SQL 注入PreparedStatement 对象的使用-5000字匠心出品
地球村
05-15 593
SQL 注入PreparedStatement 对象的使用1.什么是 SQL 注入2.SQL 注入案例3.PreparedStatement 对象的使用1.PreparedStatement 特点2.通过 PreparedStatement 对象向表中插入数据4.PreparedStatement 的预编译能力1.什么是预编译1.SQL 语句的执行步骤2.解析过程2.预编译方式1.依赖数据库驱动完成预编译2.依赖数据库服务器完成预编译5.通过 PreparedStatement 对象完成数据的更新6.通过
JDBC入门七:SQL注入攻击:SQL注入攻击的解决策略:PreparedStatement预编译SQL
小枯林的博客
04-11 676
的粉红色倒海翻江 1.PreparedStatemen简介 PreparedStatement:预编译Statement,其目的是解决SQL注入攻击的问题。 PreparedStatement: (1)PreparedStatement本质也是一个接口,只是其继承自Statement接口;专用于对SQL语句进行预处理以后再去执行; (2)在实际工作中,推荐使用PreparedStatement; 2.PreparedStatement和Sta...
PreparedStatement 输出 sql
韩世雷 程序员专栏
09-21 7928
ps = conn.prepareStatement(sql); ((JDBC4PreparedStatement)ps).asSql()或String pstext = ps.toString(); sql.append( pstext.substring(pstext.indexOf(": ")+2) );
JDBC查看Preparedstatement执行的sql语句
qq_42352406的博客
07-26 9716
通过JDBC4查看 String sql = "select * from user where uname = ?"; //执行sql语句 ps=conn.prepareStatement(sql); ps.setString(1, uname); res = ps.executeQuery(); String rsq = ((JDBC4PreparedStatement)ps).asSql()...
在JDBC中使用PreparedStatement代替Statement,同时预防SQL注入
weixin_30533797的博客
03-13 261
  本篇讲诉为何在JDBC操作数据库的过程中,要使用PreparedStatement对象来代替Statement对象。   在前面的JDBC学习中,对于Statement对象,我们已经知道是封装SQL语句并发送给数据库执行的功能,但是实际开发中,这个功能我们更经常用的是Statement类的子类PreparedStatement类的对象来实现,而不是采用Statement对象。   Stat...
Statement注入问题浅谈
Stan的专栏
03-22 422
前天有人问我说,我知道用Statement可能会产生注入问题,但是啥是注入问题?其实我知道他了解过,但是现在忘记了….. 谁说不是呢,我也是有些遗忘了,我就知道如果在sql语句后直接拼接条件,是可能产生注入问题 ,当然了如果你设置的条件是你想要,肯定不会出现注入问题的 话不多说,既然说到了注入问题,就去看看这个传说中的“注入问题”…. 先让问题暴露出来,看下面的代码: 现在是这样,假设现...
JDBC执行SQL语句(PerparedStatement对象
ZJLOVE的博客
09-12 5618
PreparedStatement和Statemnet区别 PreparedStatement是Statemnet的子类 PreparedStatement执行的是同构的sql语句,Statemnet执行的是异构的sql语句; PreparedStatement执行sql语句的时候只编译一次sql语句并且可以采用占位符?,Statemnet每执行一条sql语句都要编译。 PreparedS...
[SWPUCTF 2021 新生赛]sql 关于sql注入替换
qq_62046696的博客
05-16 2660
打开界面,看见参数是wllm,测试一下是否存在sql注入,首先?wllm=1回显正确,wllm=1'错误存在字符型注入,然后输入人?wllm='1 %23报错发现空格被掠过,然后%23是#的编码。 /**/是空格的一个格式,发现一共有三列 然后测试了一下,=号果不其然也被略过,like可以顶替等于号 构造? url=wllm=-1'union/**/1,group_concat(table_name),3/**/from/**/information_schema.tables/**/where/*
StatementPreparedStatement
最新发布
03-26
但记得,Statement可能存在SQL注入的风险,因为它是直接拼接字符串的。例如,如果用户在输入里加了恶意代码,可能被当作SQL执行。 然后是PreparedStatement,它是Statement的子接口,用于预编译SQL语句。预编译的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值