使用PrepareStatement,防止SQL注入

最新推荐文章于 2025-02-08 15:56:22 发布
原创 最新推荐文章于 2025-02-08 15:56:22 发布 · 431 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文通过模拟SQL注入,详细解释了PreparedStatement如何防止此类安全问题。在案例中,由于PreparedStatement将参数名替换为'?',导致查询条件变为'中国' or 1=1,从而返回空结果集,有效避免了SQL注入攻击。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

* 模拟sql注入,使用preparedstatment防止sql注入


import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;


/**
 * 模拟sql注入,使用preparedstatment防止sql注入
 * @author 可敢离我近点
 *
 */
public class SqlInjection {

public static void main(String[] args) {
		
		/**
		 * 如果需要在finally块中手动关闭,就需要在try外声明
		 * 如果想要让其自动的关闭,则可以在try后面加一个括号初始化
		 * 先关闭statement,后关闭connection
		 * resultset结果集不需要手动关闭,他会在你关闭statement时自动的关闭
		 */
		Connection con=null;
		PreparedStatement ps = null;
		Statement st = null;
		int i = 0;
		//初始化驱动
		try {
			Class.forName("com.mysql.jdbc.Driver");
			System.out.println("数据库驱动加载成功...");
			con = DriverManager.getConnection("jdbc:mysql://localhost:3306/xust?useUnicode=true&characterEncoding=utf-8&useSSL=false","root","mysql");
			System.out.println("数据库连接成功...."+con);
			System.err.println("sql 注入开始...................");
			String name ="";
			name = "'中国'  or 1=1";
			String sql0 = "select * from area where name = "+name;
			
			st = con.createStatement();
			ResultSet rs0 = st.executeQuery(sql0);
			while (rs0.next()&&i<15) {
                String localname = rs0.getString("name");
                System.out.println(localname);
                i++;
            }
			
			System.out.println("********************************");
			
			System.err.println("使用prepareStatement.....");
			
			String sql ="select * from area where name = ?;";
			ps = con.prepareStatement(sql);
			ps.setString(1, name);
			ResultSet rs = ps.executeQuery();
			i = 0;
			/**
			 * 此处无法查出任何的数据,是因为
			 * preparestatement语句会把name的整个字符串替换成?
			 * 相当于在数据库中查找name为  '中国'  or 1=1  的这一行数据
			 * 结果集当然会返回空
			 */
			while (rs.next()&&i<15) {
                String localname = rs0.getString("name");
                System.out.println(localname);
                i++;
            }
			System.out.println("ok............");
		} catch (ClassNotFoundException e) {
			// TODO Auto-generated catch block
			e.printStackTrace();
		} catch (SQLException e) {
			// TODO Auto-generated catch block
			e.printStackTrace();
		}finally {
			try {
				if (null!=ps) {
					ps.close();
				}
			} catch (SQLException e) {
				// TODO Auto-generated catch block
				e.printStackTrace();
			}
			
			try {
				if (null!=con) {
					con.close();
				}
			} catch (SQLException e) {
				// TODO Auto-generated catch block
				e.printStackTrace();
			}
			System.out.println("yes.............");
		}
	}
	
}

prepareStatement语句结果集为空的原因:
/** line : 60
* 此处无法查出任何的数据,是因为
* preparestatement语句会把name的整个字符串替换成?
* 相当于在数据库中查找name为 ‘中国’ or 1=1 的这一行数据
* 结果集当然会返回空
*/

JDBC_PreparedStatement防止SQL注入问题详细介绍
weixin_50991263的博客
05-16 456
PreparedStatement 作用:1.提升SQL执行性能 2.预防SQL注入问题 SQL注入SQL注入是同过操作输入来修改实现定义好的SQL语句,用来达到执行代码对服务器进行攻击得方法 例如:PreparedStatement其实是Statement得子类,如...
如何使用Java中的PreparedStatement来防止SQL注入
waitaikong_的博客
05-23 910
参数化查询(Parameterized Query)是一种在数据库操作中使用的编程技术,主要用于防止SQ注入攻击,同时也能提高代码的可读性和稳定性。在参数化查询中,不是直接将用户输入或变量拼接到SQL语句中,而是将变量值作为参数传递给查询。这样做的好处是,即使用户输入包含了SQL命令,数据库系统也会将其视为普通的字符串值,而不是可执行的SQL代码,从而有效防止SQL注入攻击。参数化查询的工作原理是在数据库完成SQL指令的编译后,才套用参数运行,因此即使参数中含有恶意的指令,也不会被数据库所运行。
PreparedStatement防止SQL注入
qq_42732184的博客
04-19 1654
添加数据: package com.hyc.study03; import com.hyc.study02.utils.JDBCUtils; import java.sql.Connection; import java.sql.ResultSet; import java.util.Date; import java.sql.PreparedStatement; import java.sql.SQLException; public class TestInsert { public stat
使用PreparedStatement避免sql注入
qq_40327787的博客
06-07 1682
此时#后面的就变成了注释,而select查询时,判断的是哪条语句能使where后面为真,当输入or 1=1 时候,后面就永远为真,所有语句都会存入resultSet中,这时候就会有人说可以将判断设置成resultSet = 1;这里产生这种情况的原因是,我们在定义sql语句时,是把我们输入的部分聚合成字符串,再去执行语句,当时输入的部分内容有关键字时,他并不会做特殊处理,只会一股脑执行。当我们输入 dqwdqw’ or 1 = 1;但我们输入如下代码,就会提示登录成功。当我们随便输入时,会提示登录失败!
【大数据系列之JDBC】(五):使用PrepareStatement防止SQL注入
CSDN 精品推荐
12-22 315
PreparedStatement 对象所代表的 SQL 语句中的参数用问号(?)来表示,调用 PreparedStatement 对象的 setXxx() 方法来设置这些参数. setXxx() 方法有两个参数,第一个参数是要设置的 SQL 语句中的参数的索引(从 1 开始),第二个是设置的 SQL 语句中的参数的值。PreparedStatement 接口是 Statement 的子接口,它表示一条预编译过的 SQL 语句。
prepareStatementsql注入使用
qq_29284253的博客
11-13 323
package t; import java.sql.Connection; import java.sql.Driver; import java.sql.DriverManager; import java.sql.PreparedStatement; import java.sql.ResultSet; import java.sql.SQLException; import java.s...
mybatis防止SQL注入的方法实例详解
08-27
PreparedStatement pstmt = conn.prepareStatement(sql); pstmt.setString(1, userId); ResultSet rs=pstmt.executeUpdate(); ``` 使用预编译语句可以避免 SQL 注入攻击,因为攻击者无法通过构造特殊的输入来 ...
有效防止SQL注入的5种方法总结
09-09
以下是对防止SQL注入的五种方法的详细说明: 1. 使用参数化查询(PreparedStatement) 参数化查询是预防SQL注入最有效的方法之一。在Java中,可以使用PreparedStatement对象来执行预编译的SQL语句。预编译的SQL...
如何避免SQL注入
最新发布
weixin_53227829的博客
02-08 947
要有效地避免SQL注入攻击,最重要的措施是采用预处理语句、存储过程和严格的输入验证。此外,限制数据库权限、加强错误处理和定期审计也有助于增强数据库安全性。通过采取这些安全防护措施,可以大大降低SQL注入攻击的风险。
JDBC如何有效防止SQL注入
12-14
使用`PreparedStatement`代替`Statement`是防止SQL注入的基本方法。预编译的SQL语句将参数化查询与实际值分离,从而阻止恶意SQL代码注入。例如,而不是拼接字符串形成SQL: ```java String sql = "SELECT * FROM ...
JDBC中使用prepareStatment解决SQL注入风险相关问题
WangQueBuShiLei的博客
07-27 890
prepareStatment对象在set***方法上,会对单引号进行转译处理,也就是说,?中的数据的单引号 ‘ 会被转义成 \’,这样就单引号就不会破坏sql语句的结构 SELECT * FROM users WHERE userName = ? AND password = ? preparedStatement.setString(1,"xiaoming"); preparedStatement.setString(2,'anything' OR 'x'='x')...
PreparedStatment防止SQL注入原理
qq_45671431的博客
05-06 1326
什么是SQL注入 SQL注入是将Web页面的原URL、表单域或数据包输入的参数,修改拼接成SQL语句,传递给Web服务器,最终达到欺骗服务器执行恶意的SQL命令进而传给数据库服务器以执行数据库命令。如Web应用程序的开发人员对用户所输入的数据或cookie等内容不进行过滤或验证(即存在注入点)就直接传输给数据库,就可能导致拼接的SQL被执行,获取对数据库的信息以及提权,发生SQL注入攻击。 S...
java preparestatement sql注入_使用PreparedStatement防止SQL注入
weixin_39674978的博客
02-25 210
PreparedStatement可以实现Statement的所有功能,但是之所以叫它预编译指令,是因为在创建它的一个对象时可以给定具有一定格式的SQL字符串,然后用它的setXXX方法给指定的SQL语句以填空的方式赋值,具有这样的特性后,它在多次执行一条固定格式的字符串时就很方便,也更效率.不像Statement那样每次执行都要先编译字符串在执行SQL了.SQL注入攻击是利用设计上的漏洞,在目标...
防止SQL注入 — PreparedStatement
Daria
05-20 243
Background: Statement不能防止SQL注入, PreparedStatement能够防止SQL注入 如何理解 prepared statements 使用预编译语句是预防SQL注入的最佳方式 使用预编译语句Statement和PreparedStatment sql预编译 sql 预编译指的是数据库驱动在发送 sql 语句和参数给 DBMS 之前对 sql 语句进行编译,...
PrepareStatement sql注入
想飞的鱼
12-07 1463
http://blog.csdn.net/badyflf/article/details/7926944 http://www.iteye.com/problems/32029 http://blog.csdn.net/badyflf/article/details/7926632
JDBC用PrepareStatement解决SQL注入
qq_46534049的博客
01-31 2540
setXxx()方法有两个参数,第一个参数是要设置的SQL语句中的参数的索引(从1开始),第二个是设置的SQL语句中的参数的值。SQL注入(SQL injection)是因为应用程序在执行SQL语句的时候没有正确的处理用户输入字符串,将用户输入的恶意字符串拼接到了SQL语句中执行,从而导致了SQL注入。这个代码中1=1永远都是对的,#后面的成了注释,所以这条语句会将表中所有的数据查询出来,然后再做数据判断的时候,就会得到正确结果,从而说用户名和密码正确,登录成功。这是查询一条数据的运行结果。
java sql注入防止_java - PreparedStatement如何避免或阻止SQL注入
weixin_35346265的博客
02-20 253
要了解PreparedStatement如何阻止SQL注入,我们需要了解SQL Query执行的各个阶段。1.编译阶段。2.执行阶段。每当SQL Server引擎收到一个查询时,它必须通过以下阶段,解析和规范化阶段:在此阶段,将检查Query的语法和语义。 它检查是否引用表和查询中使用的列是否存在。它还有许多其他任务要做,但我们不详细说明。编译阶段:在此阶段,查询中使用的关键字如select,fr...
SQL注入及PreparedStatement
qq_52722789的博客
01-12 503
1. Statement 在连接建立后,需要对数据库进行访问,执行命名或是SQL语句,可以通过 Statement[存在SQL注入] PreparedStatement[预处理] CallableStatement[存储过程] 2.SQL注入 1=1永远成立 Statement stmt = conn.createStatement(); ResultSet rs = stmt.executeQuery("SELECT * FROM stu where sno ='1' or
java:PreparedStatement可以防止sql注入的原因
热门推荐
xlantian的博客
08-18 1万+
  java中对数据库访问的方法有多种。以操作MySql数据库为例。     方法一:创建Statement对象,调用对象的execute(String)、executeQuery(String)等函数执行String字符串的sql语句。           Class.forName(com.mysql.jdbc.Driver); //加载驱动 Connection con...
preparestatement sql注入
03-16
好的,以下是使用PreparedStatement进行SQL输入的示例代码: ...需要注意的是,使用`PreparedStatement`可以有效地防止SQL注入攻击,因为占位符的值会被自动转义,避免恶意输入对数据库造成危害。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值