备案控制台
探索云世界
开发者社区 数据库 文章 正文

JDBC系列--解决简单的SQL注入问题

2023-05-17 106
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: JDBC系列--解决简单的SQL注入问题

Preparedstatement :执行sql的对象


1. SQL注入问题


用户随便输入密码:a' or 'a' = 'a

String sql = "select * from user where username = '"+username+"' and password = '"+password+"'";
 System.out.println(sql);

拼接后的sql:select * from user where username = 'dafsdfda' and password = 'a' or 'a' = 'a'

请输入username: fassag 请输入password a' or 'a' = 'a Success!!!!!!


解决方案


通过Preparedstatement :执行sql

它是预编译的SQL( 一次编译、多次运行,省去了解析优化等过程,此外预编译语句能防止sql注入 。)

参数使用?作为占位符

全部的流程为:

步骠: 1.导入驱动jar包mysql-connector-java-5.1.37-bin.jar

2.注册驱动

3.获取数据库连接对象connection

4.定义sql 注意:sql的参数使用?作为占位符。如: select * from user where username ? and password ?;

5.获取执行sql语句的对象preparedstatement Connection.preparestatement(string sql) 6.给?赋值: *方法: setXXX(参数1,参数2) 参数1:?的位置编号 从1开始

参数2:?的值

7、执行sql,接受返回结果,不需要传递sql语句

8.处理结果

9.释放资源


小实例:


package cn.caq.jdbc;
import cn.caq.utils.JDBCutils;
import java.sql.*;
import java.util.Scanner;
/**
 * 需求:
 * 1.通过键盘录入用户名和密码
 * 2.判断用户是否登录成功
 */
public class JDBCDemo09 {
    public static void main(String[]args){
        //1.键盘录入,接受用户名和密码
        Scanner scanner = new Scanner(System.in);
        System.out.println("请输入username:");
        String username = scanner.nextLine();
        System.out.println("请输入password");
        String password = scanner.nextLine();
        //2.调用方法
//        JDBCDemo08 jdbcDemo08 = new JDBCDemo08();
//        boolean login = jdbcDemo08.login(username, password);
        boolean flag = new JDBCDemo09().login2(username, password);
        //3.判断结果,输出不同语句
        if (flag){
            System.out.println("Success!!!!!!");
        }else {
            System.out.println("username or passwd False!!!!!!!!");
        }
    }
    //登录方法
    public boolean login2(String username,String password){
        if (username == null || password == null){
            return false;
        }
        Connection conn = null;
        PreparedStatement pstmt = null;
        ResultSet rs = null;
        //1.连接数据库
        try {
            conn = JDBCutils.getConnection();
            //2.定义sql
            String sql = "select * from user where username = ? and password = ?";
            //3.获取执行sql的对象
            pstmt = conn.prepareStatement(sql);
            //给?赋值
            pstmt.setString(1,username);
            pstmt.setString(2,password);
            //4.执行sql语句
            rs = pstmt.executeQuery();
            //5.判断
            return rs.next();//有下一行返回true
        } catch (SQLException throwables) {
            throwables.printStackTrace();
        } finally {
            JDBCutils.close(rs,pstmt,conn);
        }
        return false;//如果出现异常返回false
    }
}

SQL注入一般是通过利用SQL语句的规则使条件成立 它是

预编译的SQL( 一次编译、多次运行,省去了解析优化等过程,此外预编译语句能防止sql注入 。)

参数使用?作为占位符

能够解决简单的SQL注入的问题!!!

文章标签:
Java
SQL
数据安全/隐私保护
数据库连接
关键词:
SQL注入
jdbc注入
SQL JDBC
jdbc SQL注入
小蔡coding
目录
相关文章
囚徒冇困境
|
2月前
|
SQL 监控 安全
SQL注入的实现原理以及防止
SQL注入的实现原理以及防止
囚徒冇困境
32 0
hhzz
|
2月前
|
SQL Java 应用服务中间件
Java项目防止SQL注入的四种方案
Java项目防止SQL注入的四种方案
hhzz
41 0
sunrr
|
1天前
|
SQL 存储 Java
如何避免SQL注入?
【4月更文挑战第30天】如何避免SQL注入?
sunrr
5 0
东方睿赢
|
13天前
|
SQL 安全 Go
如何在 Python 中进行 Web 应用程序的安全性管理,例如防止 SQL 注入?
在Python Web开发中,确保应用安全至关重要,主要防范SQL注入、XSS和CSRF攻击。措施包括:使用参数化查询或ORM防止SQL注入;过滤与转义用户输入抵御XSS;添加CSRF令牌抵挡CSRF;启用HTTPS保障数据传输安全;实现强身份验证和授权系统;智能处理错误信息;定期更新及审计以修复漏洞;严格输入验证;并培训开发者提升安全意识。持续关注和改进是保证安全的关键。
东方睿赢
20 0
给我杯冰美式
|
21天前
|
SQL 安全 PHP
CTF--Web安全--SQL注入之Post-Union注入
CTF--Web安全--SQL注入之Post-Union注入
给我杯冰美式
20 0
给我杯冰美式
|
21天前
|
SQL Web App开发 安全
CTF-Web安全--SQL注入之Union注入详解
CTF-Web安全--SQL注入之Union注入详解
给我杯冰美式
10 0
众所周知
|
2月前
|
SQL 安全 测试技术
如何在 Python 中进行 Web 应用程序的安全性管理,例如防止 SQL 注入?
如何在 Python 中进行 Web 应用程序的安全性管理,例如防止 SQL 注入?
众所周知
15 0
wljslmz
|
2月前
|
SQL 安全 API
什么是SQL注入攻击,如何防范这种类型的攻击?
【2月更文挑战第10天】
wljslmz
197 0
什么是SQL注入攻击,如何防范这种类型的攻击?
sumith
|
3月前
|
SQL JSON 数据库
常见的sql注入类型闭合及符号
常见的sql注入类型闭合及符号
sumith
32 0
sumith
|
3月前
|
SQL 数据库 数据安全/隐私保护
sql注入碰到加密数据怎么办
sql注入碰到加密数据怎么办
sumith
20 1

热门文章

最新文章

  • 1
    一文搞懂SQL优化——如何高效添加数据
  • 2
    【SQL server】玩转SQL server数据库:第三章 关系数据库标准语言SQL(二)数据查询
  • 3
    NL2SQL实践系列(2):2024最新模型实战效果(Chat2DB-GLM、书生·浦语2、InternLM2-SQL等)以及工业级案例教学
  • 4
    数据库管理与电脑监控软件:SQL代码优化与实践
  • 5
    【SQL server】玩转SQL server数据库:第二章 关系数据库
  • 6
    SQL常见面试题总结2
  • 7
    大模型与数据分析:探索Text-to-SQL(上)
  • 8
    NL2SQL进阶系列(4):ConvAI、DIN-SQL等16个业界开源应用实践详解[Text2SQL]
  • 9
    NL2SQL进阶系列(5):论文解读业界前沿方案(DIN-SQL、C3-SQL、DAIL-SQL)、新一代数据集BIRD-SQL解读
  • 10
    大模型与数据分析:探索Text-to-SQL(中)
  • 1
    性能工具之JMeter JDBC Request 基础
    37
  • 2
    【Mybatis】从 JDBC 到 MyBatis
    27
  • 3
    Flink Connector JDBC已经被移到了一个独立的仓库
    14
  • 4
    Java的JDBC编程
    91
  • 5
    使用Mybatis与直觉用jdbc相比,哪个更有优势?
    32
  • 6
    Flink扩展问题之jdbc connector扩展失败如何解决
    310
  • 7
    Flink报错问题之jdbc表报错如何解决
    65
  • 8
    JDBC PreparedStatement 字段值为null导致TBase带宽飙升的案例分析
    49
  • 9
    【开发专题_01】JDBC style parameters (?) are not supported for JPA queries.
    20
  • 10
    Flink cdc报错问题之使用jdbc connector报错如何解决
    225

    • 相关课程

    更多
  • SQL Server on Linux入门教程
  • SQL入门与实践
  • JDBC数据库开发入门
  • 数据库及SQL/MySQL基础
  • JDBC数据库开发进阶
  • SQL进阶及查询

    • 相关电子书

    更多
  • SQL Server 2017
  • GeoMesa on Spark SQL
  • 原生SQL on Hadoop引擎- Apache HAWQ 2.x最新技术解密malili

    • 相关实验场景

    更多
  • PolarDB for AI:在数据库中通过SQL实现AI能力
  • 玩转MaxCompute SQL! 30分钟搞定数据分析挖掘
  • 使用SQL语句实现数据表管理
  • 使用SQL语句实现数据插入、修改和删除操作
  • 使用SQL语句实现数据查询操作
  • 使用SQL语句管理索引
    • 下一篇
    2024年阿里云免费云服务器及学生云服务器申请教程参考