JDBC-防SQL注入

简介: JDBC-防SQL注入(PreparedStatement)

SQL注入

SQL 注入是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的 SQL  语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息,甚至篡改数据库

正确账户密码案例代码

   // 使用正确的用户名和密码登录成功

   @Test

   publicvoidtestLogin() {

       Stringsql="select * from account where username = '张三' and password = '123456';";

       ResultSetresultSet=JdbcUtils.executeQuery(sql);

       try {

           if (resultSet.next()) {

               System.out.println("登录成功");

           } else {

               System.out.println("登录失败");

           }

       } catch (SQLExceptione) {

           e.printStackTrace();

       } finally {

           JdbcUtils.close(resultSet);

       }

   }

错误账户密码案例代码

// 通过SQL注入使用异常的密码登录成功

   @Test

   publicvoidtestSqlInject() {

       Stringsql="select * from account where username = '张三' and (password = 'iglrne' or 1 = 1);";

       ResultSetresultSet=JdbcUtils.executeQuery(sql);

       try {

           if (resultSet.next()) {

               System.out.println("登录成功");

           } else {

               System.out.println("登录失败");

           }

       } catch (SQLExceptione) {

           e.printStackTrace();

       } finally {

           JdbcUtils.close(resultSet);

       }

   }

重点总结

【注意】Statement 存在 SQL 注入问题,而 PreparedStatement 可以有效的避免 SQL 注入!

以后只能使用 PreparedStatement ,因为操作性更强,并且安全性更高

通过 PreparedStatement 操作 SQL 语句

PreparedStatement 实例包含已编译的 SQL 语句。这就是使语句“准备好”。包含于 PreparedStatement 对象中的 SQL 语句可具有一个或多个  IN 参数。IN参数的值在 SQL 语句创建时未被指定。相反的,该语句为每个 IN 参数保留一个问号(“?”)作为占位符。每个问号的值必须在该语句执行之前,通过适当的setXXX 方法来提供。

由于 PreparedStatement 对象已预编译过,所以其执行速度要快于 Statement 对象。因此,多次执行的 SQL 语句经常创建为 PreparedStatement 对象,以提高效率。

作为 Statement 的子类,PreparedStatement 继承了 Statement 的所有功能。另外它还添加了一整套方法,用于设置发送给数据库以取代 IN 参数占位符的值。同时,三种方法 execute、 executeQuery 和 executeUpdate 已被更改以使之不再需要参数。这些方法的 Statement 形式(接受 SQL 语句参数的形式)不应该用于 PreparedStatement 对象。

【注意】应该始终以PreparedStatement代替Statement,也就是说,在任何时候都不要使用Statement。

PreparedStatement 查询操作

@Test

   publicvoidtestPreparedStatement() {

       // 获取数据库连接

       Connectionconnection=JdbcUtils.getConnection();

       // 提取资源

       PreparedStatementpreparedStatement=null;

       ResultSetresultSet=null;

       // 准备SQL语句,? 是占位符

       Stringsql="select * from account where username = ? and password = ?;";

       try {

           // 获取预处理搬运工对象,并对SQL语句进行预处理

           preparedStatement=connection.prepareStatement(sql);

           // 设置参数

           preparedStatement.setObject(1, "张三");

           preparedStatement.setObject(2, "123456");

           // 执行SQL语句

           resultSet=preparedStatement.executeQuery();

           // 判断是否还有数据

           if (resultSet.next()) {

               System.out.println("登录成功");

           } else {

               System.out.println("登录失败");

           }

       } catch (SQLExceptione) {

           e.printStackTrace();

       } finally {

           // 关闭资源

           JdbcUtils.close(resultSet, preparedStatement, connection);

       }

   }

PreparedStatement 增加操作

@Test

   publicvoidtestInsert() {

       // 准备SQL语句

       Stringsql="insert into student(name, age, gender, info) values(?, ?, ?, ?)";

       // 获取连接

       Connectionconnection=JdbcUtils.getConnection();

       PreparedStatementpreparedStatement=null;

       try {

           // 获取预处理对象

           preparedStatement=connection.prepareStatement(sql);

           // 设置参数

           preparedStatement.setObject(1, "赵四");

           preparedStatement.setObject(2, 17);

           preparedStatement.setObject(3, "男");

           preparedStatement.setObject(4, "你愁啥");

           // 执行SQL语句

           intaffectedRows=preparedStatement.executeUpdate();

           System.out.println("受影响的行数:"+affectedRows);

       } catch (SQLExceptione) {

           e.printStackTrace();

       } finally {

           // 关闭资源

           JdbcUtils.close(preparedStatement, connection);

       }

   }

PreparedStatement 修改操作

@Test

   publicvoidtestUpdate() {

       // 准备SQL语句

       Stringsql="update student set age = ? where id = ?";

       // 获取连接

       Connectionconnection=JdbcUtils.getConnection();

       PreparedStatementpreparedStatement=null;

       try {

           // 获取预处理对象

           preparedStatement=connection.prepareStatement(sql);

           // 设置参数

           preparedStatement.setObject(1, 61);

           preparedStatement.setObject(2, 6);

           // 执行SQL语句

           intaffectedRows=preparedStatement.executeUpdate();

           System.out.println("受影响的行数:"+affectedRows);

       } catch (SQLExceptione) {

           e.printStackTrace();

       } finally {

           // 关闭资源

           JdbcUtils.close(preparedStatement, connection);

       }

   }

PreparedStatement 删除操作

@Test

   publicvoidtestDelete() {

       // 准备SQL语句

       Stringsql="delete from student where id = ?";

       // 获取连接

       Connectionconnection=JdbcUtils.getConnection();

       PreparedStatementpreparedStatement=null;

       try {

           // 获取预处理对象

           preparedStatement=connection.prepareStatement(sql);

           // 设置参数

           preparedStatement.setObject(1, 3);

           // 执行SQL语句

           intaffectedRows=preparedStatement.executeUpdate();

           System.out.println("受影响的行数:"+affectedRows);

       } catch (SQLExceptione) {

           e.printStackTrace();

       } finally {

           // 关闭资源

           JdbcUtils.close(preparedStatement, connection);

       }

   }

目录
相关文章
|
3月前
|
SQL 安全 前端开发
Web学习_SQL注入_联合查询注入
联合查询注入是一种强大的SQL注入攻击方式,攻击者可以通过 `UNION`语句合并多个查询的结果,从而获取敏感信息。防御SQL注入需要多层次的措施,包括使用预处理语句和参数化查询、输入验证和过滤、最小权限原则、隐藏错误信息以及使用Web应用防火墙。通过这些措施,可以有效地提高Web应用程序的安全性,防止SQL注入攻击。
93 2
|
5月前
|
SQL 安全 数据库
惊!Python Web安全黑洞大曝光:SQL注入、XSS、CSRF,你中招了吗?
在数字化时代,Web应用的安全性至关重要。许多Python开发者在追求功能时,常忽视SQL注入、XSS和CSRF等安全威胁。本文将深入剖析这些风险并提供最佳实践:使用参数化查询预防SQL注入;通过HTML转义阻止XSS攻击;在表单中加入CSRF令牌增强安全性。遵循这些方法,可有效提升Web应用的安全防护水平,保护用户数据与隐私。安全需持续关注与改进,每个细节都至关重要。
167 5
|
5月前
|
SQL 安全 数据库
深度揭秘:Python Web安全攻防战,SQL注入、XSS、CSRF一网打尽!
在Web开发领域,Python虽强大灵活,却也面临着SQL注入、XSS与CSRF等安全威胁。本文将剖析这些常见攻击手段,并提供示例代码,展示如何利用参数化查询、HTML转义及CSRF令牌等技术构建坚固防线,确保Python Web应用的安全性。安全之路永无止境,唯有不断改进方能应对挑战。
108 5
|
5月前
|
SQL 安全 数据库
深度揭秘:Python Web安全攻防战,SQL注入、XSS、CSRF一网打尽!
在Web开发领域,Python虽强大灵活,但安全挑战不容小觑。本文剖析Python Web应用中的三大安全威胁:SQL注入、XSS及CSRF,并提供防御策略。通过示例代码展示如何利用参数化查询、HTML转义与CSRF令牌构建安全防线,助您打造更安全的应用。安全是一场持久战,需不断改进优化。
68 3
|
5月前
|
SQL 安全 数据安全/隐私保护
Python Web安全大挑战:面对SQL注入、XSS、CSRF,你准备好了吗?
在构建Python Web应用时,安全性至关重要。本文通过三个真实案例,探讨了如何防范SQL注入、XSS和CSRF攻击。首先,通过参数化查询替代字符串拼接,防止SQL注入;其次,利用HTML转义机制,避免XSS攻击;最后,采用CSRF令牌验证,保护用户免受CSRF攻击。这些策略能显著增强应用的安全性,帮助开发者应对复杂的网络威胁。安全是一个持续的过程,需不断学习新知识以抵御不断变化的威胁。
154 1
|
5月前
|
SQL 安全 数据库
Python Web开发者必看!SQL注入、XSS、CSRF全面解析,守护你的网站安全!
在Python Web开发中,构建安全应用至关重要。本文通过问答形式,详细解析了三种常见Web安全威胁——SQL注入、XSS和CSRF,并提供了实用的防御策略及示例代码。针对SQL注入,建议使用参数化查询;对于XSS,需对输出进行HTML编码;而防范CSRF,则应利用CSRF令牌。通过这些措施,帮助开发者有效提升应用安全性,确保网站稳定运行。
84 1
|
4月前
|
SQL 分布式计算 Java
大数据-96 Spark 集群 SparkSQL Scala编写SQL操作SparkSQL的数据源:JSON、CSV、JDBC、Hive
大数据-96 Spark 集群 SparkSQL Scala编写SQL操作SparkSQL的数据源:JSON、CSV、JDBC、Hive
102 0
|
4月前
|
SQL 分布式计算 关系型数据库
Hadoop-24 Sqoop迁移 MySQL到Hive 与 Hive到MySQL SQL生成数据 HDFS集群 Sqoop import jdbc ETL MapReduce
Hadoop-24 Sqoop迁移 MySQL到Hive 与 Hive到MySQL SQL生成数据 HDFS集群 Sqoop import jdbc ETL MapReduce
159 0
|
4月前
|
SQL 分布式计算 关系型数据库
Hadoop-23 Sqoop 数据MySQL到HDFS(部分) SQL生成数据 HDFS集群 Sqoop import jdbc ETL MapReduce
Hadoop-23 Sqoop 数据MySQL到HDFS(部分) SQL生成数据 HDFS集群 Sqoop import jdbc ETL MapReduce
70 0
|
4月前
|
SQL 分布式计算 关系型数据库
Hadoop-22 Sqoop 数据MySQL到HDFS(全量) SQL生成数据 HDFS集群 Sqoop import jdbc ETL MapReduce
Hadoop-22 Sqoop 数据MySQL到HDFS(全量) SQL生成数据 HDFS集群 Sqoop import jdbc ETL MapReduce
89 0