2. 程式人生 > 實用技巧 >解決SQL注入問題

解決SQL注入問題

阿新 發佈:2020-12-09

PreparedStatement和Statement的區別:

/**
 * 1、對比一下Statement和PreparedStatement?
     * statement存在sq1注入問題,PreparedStatement解訣了sql注入問題。
     * Statement是編譯一次執行一 次。PreparedStatement是編譯一次, 可執行N次。                    
     * PreparedStatement會在編譯階段做型別的安全檢查。
 * 綜上所述: PreparedStatement使用較多。只有極少數的情況下需要使用Statement
 * 2、什麼情況下必須使用Statement呢?
     * 業務方面要求必須支援sQL注入的時候。
     * Statement支援sQL注入,凡是業務方面要求是需要進行sq1語句拼接的,必須使用Statement 
 
 
*/

程式碼:

import java.sql.*;
import java.util.HashMap;
import java.util.Map;
import java.util.Scanner;
public class Test08_解決SQL注入問題 {
    public static void main(String[] args) {
        //初始化一個介面的方法
        Map<String,String> userLogin = chuShiHuaUi();
        //驗證使用者名稱和密碼
        Boolean dengLu = login(userLogin);
        
 
//最後輸出結果
        System.out.println(dengLu ? "登入成功!" : "登入失敗!");
    }

    private static Boolean login(Map<String, String> userLogin) {
        //打標記
        Boolean b = false;

        Connection conn = null;
        //PreparedStatement 是Statement的一個介面
        PreparedStatement ps = null;
        ResultSet rs 
 
= null;
        try{
            //1、註冊驅動
            Class.forName("com.mysql.jdbc.Driver");
            //2、獲取連線
            conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/donglijiedian","root","zhixi158");
            //3、獲取 預編譯 的資料庫操作物件
            // sQL語句的框子。其中一個?,表示一個佔位符,一個?將來接收一個“值”, 注意:佔位符不能使用單引號括起來。
            String sql = "select * from t_user where userName = ? and userPwd = ?";
            //程式執行到此處,會發送sq1語句框子給DBMS,然後DBMS進行sql語句的預先編譯。
            ps = conn.prepareStatement(sql);
            //給佔位符?傳值(第1個問號下標是1,第2個問號下標是2,JDBC中 所有下標從1開始。)
            ps.setString(1,userLogin.get("userName"));
            ps.setString(2,userLogin.get("userPwd"));

            //4、執行SQL
            rs = ps.executeQuery();

            //5、處理查詢結果集
            //使用者名稱錯的情況下查不到記錄,使用者名稱正確情況下也最多查出一條記錄,所以用if就夠了
            if(rs.next()){
                return true;//如果存在這條記錄就返回
            }
        }catch(Exception e){
            e.printStackTrace();
        }finally {
            //6、釋放資源,由內到外
            try{
                if(rs != null)
                    rs.close();
            }catch(Exception e){
                e.printStackTrace();
            }

            try{
                if(ps != null)
                    ps.close();
            }catch(Exception e){
                e.printStackTrace();
            }

            try{
                if(conn != null)
                    conn.close();
            }catch(Exception e){
                e.printStackTrace();
            }
        }
        return b;
    }


    private static Map<String, String> chuShiHuaUi() {
        Scanner s = new Scanner(System.in);
        //獲取使用者名稱
        System.out.println("使用者名稱:");
        String userName  = s.nextLine();//nextLine返回一行資料

        //獲取密碼
        System.out.println("密碼:");
        String userPwd = s.nextLine();

        //組裝Map集合
        Map<String,String> userLogin  = new HashMap<>();
        userLogin.put("userName",userName);//獲取使用者名稱
        userLogin.put("userPwd",userPwd);//獲取密碼
        return userLogin;//返回集合資料
    }
}

相關推薦

pymysql如何解決sql注入問題深入講解

1. SQL 注入 SQL 注入是非常常見的一種網路攻擊方式,主要是通過引數來讓 mysql 執行 sql 語句時進行預期之外的操作。

解決SQL注入問題

PreparedStatement和Statement的區別: /** * 1、對比一下Statement和PreparedStatement? * statement存在sq1注入問題,PreparedStatement解訣了sql注入問題。

解決 SQL 注入

SQL注入是什麼? 看一下百度百科的定義: 啊,好長一大段文字,些許不想看,下面通過一個例子,來說明一下什麼是SQL注入

解決SQL注入現象

package com.bjpowernode.jdbc; import java.sql.*; import java.util.HashMap; import java.util.Map; import java.util.Scanner;

jdbc-實現使用者登入業務(解決sql注入問題)

package com.cqust; import java.sql.*; import java.util.HashMap; import java.util.Map; import java.util.Scanner;

SQL注入原理與解決方法程式碼示例

一、什麼是sql注入? 1、什麼是sql注入呢? 所謂SQL注入,就是通過把SQL命令插入到Web表單遞交或輸入域名或頁面請求的查詢字串,最終達到欺騙伺服器執行惡意的SQL命令,比如先前的很多影視網站洩露VIP會員密碼大多

SQL注入漏洞過程例項及解決方案

程式碼示例: public class JDBCDemo3 { public static void demo3_1(){ boolean flag=login(\"aaa\' OR \' \",\"1651561\");//若已知使用者名稱,用這種方式便可不用知道密碼就可登陸成功

SQL注入漏洞的解決PreparedStetament

JDBCUtil 工具集 package com.imooc.jdbc.utils; import java.io.IOException; import java.io.InputStream;

SQL注入問題並解決

SQL注入問題 package com.etc; import java.sql.*; import java.util.HashMap; import java.util.Map; import java.util.Scanner;

例項介紹SQL注入以及如何解決

前言 SQL注入即是指web應用程式對使用者輸入資料的合法性沒有判斷或過濾不嚴,攻擊者可以在web應用程式中事先定義好的查詢語句的結尾上新增額外的SQL語句,在管理員不知情的情況下實現非法操作,以此來實現欺騙資料庫

Mysql 的sql注入是什麼?怎麼解決?

技術標籤:mysqlmysql sql注入的原因 語句和使用者輸入的內容進行拼接,傳送給資料庫編譯的時候,資料庫將使用者輸入的內容當成sql語句編譯了。從而從根本上改變了我們開發者所期望sql語句原有的含義。導致程式受

request請求的body中的引數(json物件)只能取出一次,引數丟失問題的解決方式(防sql注入過濾器的應用)

在專案即將上線的滲透測試報告中檢測出了sql注入的問題,關於這個問題的解決方案,最初的思路是寫一個全域性的過濾器,對所有請求的引數進行過濾攔截,如果存在和sql注入相關的特殊字元則攔截掉,具體細節展開以下

mysql SQL注入攻擊 解決Orm工具Hibernate,Mybatis, MiniDao 的 sql 預編譯語句 ;解決非Orm工具JDBCTemplate的

sql 預編譯語句_牛客部落格 https://blog.nowcoder.net/n/198be55df4a4406d8eb9dc2482272061?from=nowcoder_improve

Java JDBC 控制檯使用者登入測試 及 登入存在SQL注入解決

實現功能: 1.使用者登入 2.java連線資料庫驗證,控制檯顯示成功或失敗 idea 新建java空專案,新建測試類LoginTest

eggjs搭建後端部落格系統(一),記錄解決sql事務問題

廢話部分 該專案git地址:https://github.com/ht-sauce/dream-admin 慣例:個人的廢話部分

sql注入原理及防範

前言         sql注入是一種危險係數較高的攻擊方式,現在由於我們持久層框架越來越多,大部分框架會處理這個問題,因此導致我們對它的關注度越來越少了。最近部門在整理安全漏洞時,提到了一些關於sql注入的修改

詳解SQL注入--安全(二)

如果此文章有什麼錯誤,或者您有什麼建議,歡迎隨時聯絡我,謝謝! 寫在前面:在前兩天初學SQL注入的基礎上,繼續在Metasploitable-Linux環境下進行練習。

關於sql注入的簡要演示(入坑拋磚)

首先可能大家都會問什麼是sql? Sql是資料庫的一種型別,是用來儲存網站資料的。

淺談一次與sql注入 & webshell 的美麗“邂逅”

引言 一波未平,一波又起。金融公司的業務實在是太引人耳目,何況我們公司的業處正處於風口之上(區塊鏈金融),並且每天有大量現金交易,所以不知道有多少躲在暗處一直在盯著你的系統,讓你防不勝防,並且想方設法的

使用PDO防sql注入的原理分析

前言 本文使用pdo的預處理方式可以避免sql注入。下面話不多說了,來一起看看詳細的介紹吧