JDBC——DAO和Statement的安全问题06

最新推荐文章于 2021-12-08 17:40:35 发布
原创 最新推荐文章于 2021-12-08 17:40:35 发布 · 263 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

DAO(Data Access Object)

所谓的DAO就是把连接数据库的前期工作都做好,提供几个方法来给用户调用而已。

为了未来能够方便修改,尽量定义接口,然后实现接口。

  1. 新建一个dao的接口,里面声明数据库访问规则
  2. 新建一个dao的实现类,具体实现早前定义的规则
  3. 直接使用实现

Statement的安全问题主要是:账号密码的登录需要拼接成一条sql语句去操作数据库,但这可能有会使得别人利用账号密码的填写来拼接出非法的sql去操作数据库

解决办法

PrepareStatement ps = conn.prepareStatement(String sql)

案例代码(记得要重载那些释放的方法)

public void login(String username, String password) {
		
		Connection conn = null;
		Statement st = null;
		ResultSet rs = null;
		try {
			//1. 获取连接对象
			conn = JDBCUtil.getConn();
			//2. 创建statement对象 
			String sql = "select * from t_user where username=? and password=?";
			
			//预先对sql语句执行语法的校验, ? 对应的内容,后面不管传递什么进来,都把它看成是字符串。 or select 
			PreparedStatement ps = conn.prepareStatement(sql);
			//? 对应的索引从 1 开始。 
			ps.setString(1, username);
			ps.setString(2, password);
			
			rs = ps.executeQuery();
			if(rs.next()){
				System.out.println("登录成功");
			}else{
				System.out.println("登录失败");
			}
			
		} catch (Exception e) {
			e.printStackTrace();
		}finally {
			JDBCUtil.release(conn, st, rs);
		}
	}

 

JDBC——DAO组件、设计规范设计分析
Guizy
01-22 2561
目录 DAO组件 DAO思想设计分析 DAO设计规范 DAO组件设计 简单的案例 DAO组件 跳转到目录 DAO思想设计分析 DAO(Data Access Object)是一个数据访问接口,数据访问:顾名思义就是与数据库打交道。夹在业务逻辑与数据库资源中间。 DAO中的主要操作: 增删改查(CRUD) 上图存在的问题: 在DAO层中设置saveget方法时 void sa...
JAVA高级】——初识JDBCDAO数据访问对象
不迁怒,不贰过。小知识,大智慧。
10-31 919
初识JDBCDAO数据访问对象
JDBCsql注入的安全问题
William_GJIN的博客
03-06 481
sql注入的安全问题使用 Statement 类执行 sql 对象时,拼接的 sql 语句可能会有特殊关键子参与字符串拼接,造成数据库信息泄露等问题使用 Statement 类的 sql 语句格式: String sql = "select *from admin where name = '"+username+"' and password = '"+password+"'"; 当...
安全性、JDBC其他方面
ckawt40802的专栏
01-01 240
09年马上要结束了,BLOG每天更新又坚持了一年,目前文章总数1700多篇,其中纯技术文章将近1300篇。 我比较喜欢的一句话:十年磨一剑。以前提到过,坚持10年可能会比较困难,那么至少要坚持5年,到目前为止,BLOG更新已经...
JDBC中碰到的SQL安全问题 - Sql注入
key_768的博客
04-05 388
Sql注入问题 学习JDBC的过程中学到了一个Sql安全问题 一个login表 写一个登录程序: package com.company.JDBC; import javafx.scene.transform.Scale; import java.sql.*; import java.util.Scanner; public class test { private static...
JDBC中的遍历及安全问题
Willing卡卡的博客
04-04 531
JDBC遍历表的内容 ResultSet(结果集) 在执行查询SQL后,存放查询到的结果集数据; 接收结果集 ResultSet resultSet = statement.executeQuery(sql); String sql = "select student_id,student_name,sex,birthday,phone,GradeId from stu"; Result...
谈谈JDBC
xiaoyou的专栏
06-20 1123
谈谈JDBCJDBC介绍 ★目标与哲学 ★接口概貌 ★使用场合 ★安全性考虑 1. 介绍  许多开发者用户都在寻找Java程序中访问数据库的便捷方法。由于Java是一个健壮,安全,易于使用的,易于理解且可以从网络中自动download ,所以它成为开发数据库应用的一种良好的语言基础。它提供了C,C++,Smalltalk, BASIC, COBOL, and 4GLs的许多优点。许多公司已经开
商业编程-源码-魔法单词记忆——DAO访问ACCESS数据库.zip
06-23
- 实现DAO接口,使用JDBC API(如Statement或PreparedStatement)来执行SQL语句。 - 编写业务逻辑层,调用DAO接口完成实际的数据操作。 4. 数据库操作: 在魔法单词记忆系统中,可能包含如下的数据库操作: - ...
JDBC——事务 ORM(对象关系数据库映射) DAO(数据访问对象)
yooppa的博客
12-08 1295
事务(Transaction) 在SQL serverMysql 里都存在的 指的是完成一个应用处理的最小单元,由一个或多个对数据库操作的语句组成。 全部执行成功才提交 一个失败则取消全部操作并恢复到之前状态。 1、使用事务的情况 比如 : 对一个字段进行相反的操作——加减, 一个sql语句为加 另一个为减 本是两者一起运行维持平衡 但是其中一个sql语句出错(单词拼错) 导致能执行但是没有出错的依然在执行 则造成的预期相反的后果 此时用事务 将两者放在一起 都成功才执行 一个失败就取消能很好的解决问
JDBCDao模式的第一次项目训练——点餐系统
晓白
09-02 1093
JDBC实战——点餐系统的实现 数据库的设计 类的设计 采用Dao模式进行设计 实体类 package cn.ordersystem.entity; /** * 桌子的实体类 * bno,桌子的编号 * btype 桌子的状态,可为空 * @author vcc * */ public class Board { private int bno; private int bty...
java jdbc连接_Java Web安全 || Java基础 JDBC Connection
weixin_39829501的博客
12-02 112
点击上方“凌天实验室”,“星标或置顶公众号”漏洞、技术还是其他,我都想第一时间你分享“【历史】已连载更新全部内容:【菜单栏】-【JAVA SEC】JDBC(Java Database Connectivity)是Java提供对数据库进行连接、操作的标准API。Java自身并会去实现对数据库的连接、查询、更新等操作而是通过抽象出数据库操作的API接口(JDBC),同的数据库提供商必须...
(七)JDBC Statement安全问题
11-25 103
Statement执行 ,其实是拼接sql语句的。 先拼接sql语句,然后在一起执行。 前面先拼接sql语句, 如果变量里面带有了 数据库的关键字,那么一并认为是关键字。 认为是普通的字符串。 ...
为防止数据库连接泄漏,对Dao中数据库连接的使用做统一规范
ykdsg的专栏
11-06 887
1.对于HSQL的执行方式getHibernateTemplate().find(String hsql, Objcet[] params); 2.对于普通SQL的执行方式在公共类中封装公共API,如:Public Object exceuteSQL(HibernateTemplate hibernateTemplate,String sql,Object[] params
Statement安全问题
qq_40148447的博客
01-24 954
Statement安全问题 ->使用Statement开发步骤: Connection conn = DriverManager.getConnection("jdbc:mysql://localhost/day06", "root", "247436"); //3.创建statement , 跟数据库打交道一定需要这个对象, 一种提供操作sql语句的接口; Sta
jdbc优化及其安全下载
cys410的专栏
03-08 442
http://download.youkuaiyun.com/detail/jiangtongcn/4121163
jdbc连接警告安全
weixin_30466421的博客
06-11 189
Mon Jun 11 10:46:26 CST 2018 WARN: Establishing SSL connection without server's identity verification is not recommended. According to MySQL 5.5.45+, 5.6.26+ and 5.7.6+ requirements SSL connection mus...
JDBC & 防御性编程
X
08-12 214
介绍了防御性编程(Defensive Programming)的定义思想,并举出了JDBC连接数据库过程使用防御性编程的示例。
使用Statement类执行SQL语句时存在SQL注入漏洞(黑客攻击数据库常用手段),及预防注入的方法(PrepareStatement类)
mayanni_blogs的博客
09-02 1043
什么是SQL注入 SQL注入攻击通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,它目前是黑客对数据库进行攻击的最常用手段之一。 SQL注入实例 绕过登录(只需知道用户名、无需知道密码即可登录成功) 实际userName=“zs”;password=“123”; //模拟用户输入userNamepassword St...
使用Statement操作数据表的弊端
七一
07-27 585
使用Statement操作数据表的弊端 通过调用 Connection 对象的 createStatement() 方法创建该对象。该对象用于执行静态的 SQL 语句,并且返回执行结果。 Statement 接口中定义了下列方法用于执行 SQL 语句: int excuteUpdate(String sql):执行更新操作INSERT、UPDATE、DELETE ResultSet executeQuery(String sql):执行查询操作SELECT 但是使用Statement操作数据表
掌握JDBCDAO设计模式中的应用实践
接着,“jdbcjdbc-driver”指向了本项目的技术核心——JDBC及相应的数据库驱动程序;“daodao-design-pattern”指出了实现方式采用了DAO模式,以及该模式在项目设计中的重要性;最后,“Java”标明了...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值