JDBC-防SQL注入
发表于
2021-03-24
|
更新于
2021-03-24
总字数:
1.1k |
阅读时长:
5分钟
|
阅读量:
JDBC-防 SQL 注入
SQL 注入
SQL 注入是指 web 应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在 web 应用程序中事先定义好的查询语句的结尾上添加额外的 SQL 语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息,甚至篡改数据库
正确账户密码案例代码
@Test public void testLogin() { String sql = "select * from account where username = '张三' and password = '123456';";
ResultSet resultSet = JdbcUtils.executeQuery(sql);
try { if (resultSet.next()) { System.out.println("登录成功"); } else { System.out.println("登录失败"); } } catch (SQLException e) { e.printStackTrace(); } finally { JdbcUtils.close(resultSet); } }
|
错误账户密码案例代码
@Test public void testSqlInject() { String sql = "select * from account where username = '张三' and (password = 'iglrne' or 1 = 1);";
ResultSet resultSet = JdbcUtils.executeQuery(sql);
try { if (resultSet.next()) { System.out.println("登录成功"); } else { System.out.println("登录失败"); } } catch (SQLException e) { e.printStackTrace(); } finally { JdbcUtils.close(resultSet); } }
|
重点总结
【注意】Statement 存在 SQL 注入问题,而 PreparedStatement 可以有效的避免 SQL 注入!
以后只能使用 PreparedStatement ,因为操作性更强,并且安全性更高
通过 PreparedStatement 操作 SQL 语句
PreparedStatement 实例包含已编译的 SQL 语句。这就是使语句“准备好”。包含于 PreparedStatement 对象中的 SQL 语句可具有一个或多个 IN 参数。IN 参数的值在 SQL 语句创建时未被指定。相反的,该语句为每个 IN 参数保留一个问号(“?”)作为占位符。每个问号的值必须在该语句执行之前,通过适当的 setXXX 方法来提供。
由于 PreparedStatement 对象已预编译过,所以其执行速度要快于 Statement 对象。因此,多次执行的 SQL 语句经常创建为 PreparedStatement 对象,以提高效率。
作为 Statement 的子类,PreparedStatement 继承了 Statement 的所有功能。另外它还添加了一整套方法,用于设置发送给数据库以取代 IN 参数占位符的值。同时,三种方法 execute、 executeQuery 和 executeUpdate 已被更改以使之不再需要参数。这些方法的 Statement 形式(接受 SQL 语句参数的形式)不应该用于 PreparedStatement 对象。
【注意】应该始终以 PreparedStatement 代替 Statement,也就是说,在任何时候都不要使用 Statement。
PreparedStatement 查询操作
@Test public void testPreparedStatement() { Connection connection = JdbcUtils.getConnection();
PreparedStatement preparedStatement = null; ResultSet resultSet = null;
String sql = "select * from account where username = ? and password = ?;";
try { preparedStatement = connection.prepareStatement(sql);
preparedStatement.setObject(1, "张三"); preparedStatement.setObject(2, "123456");
resultSet = preparedStatement.executeQuery();
if (resultSet.next()) { System.out.println("登录成功"); } else { System.out.println("登录失败"); }
} catch (SQLException e) { e.printStackTrace(); } finally { JdbcUtils.close(resultSet, preparedStatement, connection); } }
|
PreparedStatement 增加操作
@Test public void testInsert() { String sql = "insert into student(name, age, gender, info) values(?, ?, ?, ?)";
Connection connection = JdbcUtils.getConnection();
PreparedStatement preparedStatement = null;
try { preparedStatement = connection.prepareStatement(sql);
preparedStatement.setObject(1, "赵四"); preparedStatement.setObject(2, 17); preparedStatement.setObject(3, "男"); preparedStatement.setObject(4, "你愁啥");
int affectedRows = preparedStatement.executeUpdate();
System.out.println("受影响的行数:" + affectedRows); } catch (SQLException e) { e.printStackTrace(); } finally { JdbcUtils.close(preparedStatement, connection); } }
|
PreparedStatement 修改操作
@Test public void testUpdate() { String sql = "update student set age = ? where id = ?";
Connection connection = JdbcUtils.getConnection();
PreparedStatement preparedStatement = null;
try { preparedStatement = connection.prepareStatement(sql);
preparedStatement.setObject(1, 61); preparedStatement.setObject(2, 6);
int affectedRows = preparedStatement.executeUpdate();
System.out.println("受影响的行数:" + affectedRows); } catch (SQLException e) { e.printStackTrace(); } finally { JdbcUtils.close(preparedStatement, connection); } }
|
PreparedStatement 删除操作
@Test public void testDelete() { String sql = "delete from student where id = ?";
Connection connection = JdbcUtils.getConnection();
PreparedStatement preparedStatement = null;
try { preparedStatement = connection.prepareStatement(sql);
preparedStatement.setObject(1, 3);
int affectedRows = preparedStatement.executeUpdate();
System.out.println("受影响的行数:" + affectedRows); } catch (SQLException e) { e.printStackTrace(); } finally { JdbcUtils.close(preparedStatement, connection); } }
|
版权声明:
本博客所有文章除特别声明外,均采用
CC BY-NC-SA 4.0 许可协议。转载请注明来自
aloeJun | Lu's Blog