2. 程式人生 > >如何在開發中避免SQL注入

如何在開發中避免SQL注入

阿新 發佈:2019-01-23

如何避免SQL注入攻擊

可以使用Statement中的子介面實現類PreparedStatement來避免SQL注入攻擊

PreparedStatement

表示預編譯的SQL語句的物件,Sql語句是預編譯的,並且儲存在PreparedStatement物件中,這個物件可以多次有效的執行這個SQL語句。

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.ResultSet;

public class PreparedStatementDemo
 
 {

    private static String className = "com.mysql.jdbc.Driver";
    private static String password = "123";
    private static String user = "root";
    private static String url = "jdbc:mysql://localhost:3306/mydb";

    public static void main(String[] args) throws Exception {
        //註冊驅動
        Class.forName(className);
        //獲取連線資料庫的物件
 

        Connection conn =  DriverManager.getConnection(url, user, password);
        String sql = "SELECT * FROM userInfo WHERE username=? AND password=?";
        //獲取SQL語句執行物件
        PreparedStatement pst = conn.prepareStatement(sql);
        pst.setString(1, "zhangsan");
        pst.setString(2, "123456"
 
);

        ResultSet rs = pst.executeQuery();
        System.out.println("使用者名稱\t密碼");
        while(rs.next()) {
            System.out.println(rs.getString("username") + "\t" + rs.getString("password"));
        }

        rs.close();
        pst.close();
        conn.close();
    }

}

在上面的程式碼裡,?表示的是佔位符,不再像Statement中那樣直接使用變數

再後來的setXXX的時候XXX的型別要與資料庫中的型別相一致, 否則會出錯。

同時使用PreparedStatement之後不再向executeXXX()傳遞SQL語句引數。

使用PreparedStatement為資料表中新增一條資料

sql = "INSERT INTO userInfo(username, password) VALUES(?, ?)";
Scanner in = new Scanner(System.in);
String usernameStr = in.nextLine();
String passwordStr = in.nextLine();
pst = conn.prepareStatement(sql);
pst.setString(1, usernameStr);
pst.setString(2, passwordStr);
int len = pst.executeUpdate();
System.out.println("修改了"+len+"條資料!");
sql = " SELECT * FROM userInfo";
pst = conn.prepareStatement(sql);
rs =  pst.executeQuery();
System.out.println("使用者名稱\t密碼");
while(rs.next()) {
    System.out.println(rs.getString("username") + "\t" + rs.getString("password"));
}

afterRun

相關推薦

如何在開發避免SQL注入

如何避免SQL注入攻擊 可以使用Statement中的子介面實現類PreparedStatement來避免SQL注入攻擊 PreparedStatement 表示預編譯的SQL語句的物件,Sql語句是預編譯的,並且儲存在PreparedStatemen

SQL注入 web開發防止SQL注入

web開發中防止SQL注入   一、SQL注入簡介 SQL注入是比較常見的網路攻擊方式之一,它不是利用作業系統的BUG來實現攻擊,而是針對程式設計師編寫時的疏忽,通過SQL語句,實現無賬號登入,甚至篡改資料庫。 二、SQL注入攻擊的總體思路 1.尋找到SQL

java開發避免NullPointerException

urn cti str 之前 isn emp bsp 使用 tco 空指針異常讓人厭惡,恐怕是實際應用中出現次數最多的異常了,下面是如何避免NullPointerException出現的技巧 使用某個對象前,最好清楚他們是否可能為null,如果不能確定,就利用if語句

Java應用開發SQL註入攻擊

包括 安全防護 sql註入 什麽 由於 應用程序 輸入數據 數據庫防火墻 進行 1. 什麽是SQL註入攻擊? SQL註入攻擊是黑客對數據庫進行攻擊的常用手段之一。隨著B/S模式應用開發的發展,使用這種模式編寫應用程序的程序員越來越多。但是由於程序員的水平及經驗參差不齊,相當

如何在PHP防止SQL注入

  1: 使用PDO物件(對於任何資料庫驅動都好用)2: addslashes用於單位元組字串的處理,3: 多位元組字元用mysql_real_escape_string吧。 另外對於php手冊中get_magic_quotes_gpc的舉例: if (!get_magic_quote

dljd_013_使用PreparedStatement避免SQL注入攻擊

一、使用PreparedStatement來避免SQL注入攻擊示例   這裡我只提供原始碼、測試類及結果截圖資訊、建庫/表的語句詳見上一集 package edu.aeon.logon; import java.sql.Connection; import java.sql.Prepared

轉:PHP防止SQL注入的方法

【一、在伺服器端配置】        安全,PHP程式碼編寫是一方面,PHP的配置更是非常關鍵。 我們php手手工安裝的,php的預設配置檔案在 /usr/local/apache2/conf/php.ini,我們最主要

Python防止sql注入的方法詳解

SQL注入是比較常見的網路攻擊方式之一,它不是利用作業系統的BUG來實現攻擊,而是針對程式設計師程式設計時的疏忽,通過SQL語句,實現無帳號登入,甚至篡改資料庫。下面這篇文章主要給大家介紹了關於Python中防止sql注入的方法,需要的朋友可以參考下。   前言 大家

Django框架開發避免表單重複提交

Form表單做為web2.0時代的重要角色,也是我們與web網站進行資料互動的重要渠道,但是大家在web網站開發過程中,都會遇到一個問題,那就是如何避免表單重複提交,我們可不確定使用者可在提交了一個表單後,是否有足夠的耐心等待我們的程式載入完成,如果此時使用者不耐煩的在前臺重複重新整理頁面,那麼就會

oracle引數查詢避免SQL注入

前言。 可以參考上一篇轉載的文章,這裡只做簡單介紹。 所謂SQL注入,就是通過把SQL命令插入到Web表單提交或輸入域名或頁面請求的查詢字串,最終達到欺騙伺服器執行惡意的SQL命令。具體來說,它是利用現有應用程式,將(惡意的)SQL命令注入到後臺資料庫引擎執行的能力,它可以

mysql防止sql注入

實現sql注入常見型別: 利用邏輯運算子;利用mysql註釋特性,mysql支援 /* 和 # 兩種註釋格式  %23=='#';(相當於程式後面的SQL語句給註釋了)防止sql注入的幾種方法:

eclipse 開發連線sql server的問題

簡述: 在開發中需要配置sql server 做資料庫 報錯: 遇到資料庫始終無法連線的情況, 報錯如下: org.apache.commons.dbcp.SQLNestedException: Cannot create PoolableConnectionFactor

php防止SQL注入的最好方法是什麼?

如果使用者輸入的是直接插入到一個SQL語句中的查詢,應用程式會很容易受到SQL注入,例如下面的例子: $unsafe_variable = $_POST['user_input']; mysql_query("INSERT INTO table (column) VAL

PHP防止SQL注入的方法

【一、在伺服器端配置】        安全,PHP程式碼編寫是一方面,PHP的配置更是非常關鍵。 我們php手手工安裝的,php的預設配置檔案在 /usr/local/apache2/conf/php.ini,我們最主要就是要配置php.ini中的內容,讓我們執行 php能夠更安全。整個P

ThinkPHP 3.1SQL注入漏洞分析----論ThinkPHP 3.1的半吊子的PDO封裝

我總結ThinkPHP的PDO封裝可以用買櫝還珠來下結論,表面上封裝了PDO支援,但實際卻並沒有使用到PDO的精髓部分,這不是買櫝還珠是什麼呢? 花了一些時間瞭解到ThinkPHP 3.1框架,其官方網站上對其描述得相當不錯,但隨著我閱讀其程式碼,事實並不是想象的那

在程序開發怎樣寫SQL語句可以提高數據庫的性能

也會 temp block 有意義 oltp 聚集索引 掃描方式 主鍵 減少 以下內容是公司dba總結。 1、 首先要搞明白什麽叫執行計劃? 執行計劃是數據庫根據SQL語句和相關表的統計信息作出的一個查詢方案,這個方案是由查詢優化器自動分析產生的,比如一條SQL語句如

sql語句避免使用mysql函數,提升mysql處理能力。

語句 效率 eat mysql內置函數 服務 時間差 span 統一 ins 如下sql中不要用mysql內置函數now()等,這樣第一可以提高sql執行效率,第二統一程序層處理sql中時間參數,避免因服務器時間差導致問題產生。 使用PDO預處理,第一可以提高sql效率,

nodejs查詢mysql防止SQL注入

Performing queries The most basic way to perform a query is to call the .query() method on an object (like a Connection, Pool, or PoolNamespace inst

SQL注入常用的mysql語法

user()返回當前資料庫連線使用的使用者; database()返回當前資料庫連線使用的資料庫; version()返回當前資料庫的版本; concat-ws() 函式可以將這些函式進行組合使用並顯示出來。concat函式中,將其中的引數直接連線起來產生新的字串。而在con

Java開發,通過sql來實現過濾以及分頁

  我們通過一個需求來引入問題。 首先,簡單介紹一下需求:實現一個下圖的頁面,包含了過濾以及分頁。資料是後臺資料庫獲得到的。 那麼關於如何實現過濾以及分頁,考慮到通過前臺實現或者後臺實現,我們不妨來分析一下兩種方法。 首先,前臺實現:無非就是後臺獲取所有的list,傳