2. 程式人生 > >sql注入攻擊和PreparedStatement有效防止sql注入攻擊

sql注入攻擊和PreparedStatement有效防止sql注入攻擊

阿新 發佈:2018-11-17

【1】sql注入攻擊:

/**
	 * SQL 注入.
	 */
	@Test
	public void testSQLInjection() {
		String username = "a' OR PASSWORD = ";
		String password = " OR '1'='1";

		String sql = "SELECT * FROM user_tbl WHERE user_name = '" + username
				+ "' AND " + "password = '" + password + "'";
		// sql注入攻擊使用的sql: SELECT * FROM user_tbl WHERE user_name = 'a' OR PASSWORD = ' AND password = ' OR '1'='1'
		System.out.println(sql);

		Connection connection = null;
		Statement statement = null;
		ResultSet resultSet = null;

		try {
			connection = JdbcUtils.getConnection();
			statement = connection.createStatement();
			resultSet = statement.executeQuery(sql);

			if (resultSet.next()) {
				System.out.println("登入成功!");
			} else {
				System.out.println("使用者名稱和密碼不匹配或使用者名稱不存在. ");
			}

		} catch (Exception e) {
			e.printStackTrace();
		} finally {
			JdbcUtils.closeStatAndConnAndResultSet(statement, connection, resultSet);
		}
	}

【2】PreparedStatement 有效防止sql注入攻擊

/**
	 * 使用 PreparedStatement 將有效的解決 SQL 注入問題.
	 */
	@Test
	public void testSQLInjection2() {
		String username = "a' OR PASSWORD = ";
		String password = " OR '1'='1";

		String sql = "SELECT * FROM user_tbl WHERE user_name = ? "
				+ "AND password = ?";

		Connection connection = null;
		PreparedStatement preparedStatement = null;
		ResultSet resultSet = null;

		try {
			connection = JdbcUtils.getConnection();
			preparedStatement = connection.prepareStatement(sql);

			preparedStatement.setString(1, username);
			preparedStatement.setString(2, password);

			resultSet = preparedStatement.executeQuery(); // 這裡查詢失敗
			
			if (resultSet.next()) {
				System.out.println("登入成功!");
			} else {
				System.out.println("使用者名稱和密碼不匹配或使用者名稱不存在. ");
			}

		} catch (Exception e) {
			e.printStackTrace();
		} finally {
			JdbcUtils.closeStatAndConnAndResultSet(preparedStatement, connection, resultSet);
		}
	}

【3】程式碼補充:jdbc工具類 

/**
 * 操作jdbc的工具類-封裝了一些工具方法
 * @author pacoson
 */
public class JdbcUtils {
	
	
	
	/**
	 * 通用的更新方法:insert, update, delete
	 * 版本1
	 * @param sql
	 */
	public static void updateV2ByPreparedStatement(String sql, Object... objs) {
		Connection conn = null;
		PreparedStatement stat = null;
		try {
			// 1.獲取資料庫連線
			conn = JdbcUtils.getConnection();
			// 4.執行插入
			// 4.1 獲取操作sql語句的statement物件; 
//			呼叫Connection的  createStatement() 方法來獲取
			stat = conn.prepareStatement(sql);
			int i = 1;
			for (Object obj : objs) {
				stat.setObject(i++, obj);
			}
			System.out.println("連線=" + conn + ",語句 = " + stat);
			// 4.2 呼叫statement物件的 executeUpdate(sql) 執行sql語句進行插入
			int updateRows = stat.executeUpdate();
			System.out.println("更新記錄行數:" + updateRows);
		} catch(Exception e) {
			e.printStackTrace();
		} finally {
			JdbcUtils.closeStatAndConn(stat, conn);
		}
	}
	
	/**
	 * 通用的更新方法:insert, update, delete
	 * 版本1
	 * @param sql
	 */
	public static void updateV1(String sql) {
		Connection conn = null;
		Statement stat = null;
		try {
			// 1.獲取資料庫連線
			conn = JdbcUtils.getConnection();
			// 4.執行插入
			// 4.1 獲取操作sql語句的statement物件; 
//			呼叫Connection的  createStatement() 方法來獲取
			stat = conn.createStatement();
			System.out.println("連線=" + conn + ",語句 = " + stat);
			// 4.2 呼叫statement物件的 executeUpdate(sql) 執行sql語句進行插入
			int updateRows = stat.executeUpdate(sql);
			System.out.println("更新記錄行數:" + updateRows);
		} catch(Exception e) {
			e.printStackTrace();
		} finally {
			JdbcUtils.closeStatAndConn(stat, conn);
		}
	}
	
	/**
	 * 獲取連線的方法。
	 * 通過讀取配置檔案從資料庫伺服器獲取一個連線
	 * @return
	 * @throws Exception
	 */
	public static Connection getConnection() throws Exception {
		
		// 讀取類路徑下的 jdbc.properties 檔案並將其封裝到 Properties中:
		InputStream in = JdbcTest01.class.getClassLoader().getResourceAsStream("jdbc.properties");
		Properties props = new Properties();
		props.load(in);
		/* 通過反射獲取驅動器Driver */
		Driver driver = (Driver) Class.forName(props.getProperty("driver")).newInstance();
		/* 獲取資料庫連線  */
		Connection conn = driver.connect(props.getProperty("url"), props);
		return conn;
	}
	
	/**
	 * 關閉資料庫語句 statement 和 資料庫連線 conn 和 結果集 ResultSet
	 * @param stat
	 * @param conn
	 */
	public static void closeStatAndConnAndResultSet(Statement stat, Connection conn, ResultSet rs) {
		if (null != rs) {
			try {
				rs.close(); // 關閉ResultSet物件
			} catch(Exception e) {
				e.printStackTrace();
			}
		}
		if (null != stat) {
			try {
				stat.close(); // 關閉statement物件
			} catch(Exception e) {
				e.printStackTrace();
			}
		}
		if (null != conn) {
			try {
				conn.close(); // 關閉連線
			} catch(Exception e) {
				e.printStackTrace();
			}
		}
	}
	
	
	/**
	 * 關閉資料庫語句 statement 和 資料庫連線 conn 
	 * @param stat
	 * @param conn
	 */
	public static void closeStatAndConn(Statement stat, Connection conn) {
		if (null != stat) {
			try {
				stat.close(); // 關閉statement物件
			} catch(Exception e) {
				e.printStackTrace();
			}
		}
		if (null != conn) {
			try {
				conn.close(); // 關閉連線
			} catch(Exception e) {
				e.printStackTrace();
			}
		}
	}
	
}

 

 

 

相關推薦

sql注入攻擊PreparedStatement有效防止sql注入攻擊

【1】sql注入攻擊: /** * SQL 注入. */ @Test public void testSQLInjection() { String username = "a' OR PASSWORD = "; String password = " OR '1'='1

玩轉JDBC打造資料庫操作萬能工具類JDBCUtil,加入了高效的資料庫連線池,利用了引數繫結有效防止SQL注入

SELECT * FROM emp_test 成功查詢到了14行資料 第1行:{DEPT_TEST_ID=10, EMP_ID=1001, SALARY=10000, HIRE_DATE=2010-01-12, BONUS=2000, MANAGER=1005, JOB=Manager, NAME=張無忌}

如何有效防止sql注入

SQL注入攻擊是黑客對資料庫進行攻擊常用的手段之一,隨著B/S模式應用開發的發展,使用這種模式編寫應用程式的程式設計師也越來越多。但是由於程式設計師的水平及經驗參差不齊,相當大一部分程式設計師在編寫程式碼的時候,沒有對使用者輸入資料的合法性進行判斷,使應用程式存在安全隱患。使用者可以提交一段資料庫查詢程式碼,

SQLSQL注入是什麼?如何防止SQL注入

今天在優化一個查詢的時候,關於一個SQL語句的問題,發現引數傳進去是空的,導致條件查詢失敗了,查出來的是所有的資料。 剛開始是這樣寫的 <select id="selectPictureList" parameterType="map" resultMap="BaseRes

sql sever 2014 navicat 工具之間 sql server匯出資料 sql檔案 資料傳輸問題

掃盲意識: 用navicat工具,建立sql連結,要安裝mysql; 建立sql server連結,要安裝sql server; 想在sql中匯入sqlserver資料庫,或者反之,請自行gogle; 問題背景: 我在navicat上,建立生sql

防止SQL注入的五種方法 防止SQL注入的五種方法

防止SQL注入的五種方法   一、SQL注入簡介     SQL注入是比較常見的網路攻擊方式之一,它不是利用作業系統的BUG來實現攻擊,而是針對程式設計師程式設計時的疏忽,通過SQL語句,實現無帳號登入,甚至篡改資料庫。 二、SQL注

springboot 實現防止xss攻擊sql注入

一、xss攻擊和sql注入(可以使用IBM安全漏洞掃描工具) (1)XSS(Cross Site Scripting),即跨站指令碼攻擊,是一種常見於web application中的電腦保安漏洞。XSS通過在使用者端注入惡意的可執行指令碼,若伺服器端對使用者輸入不進行處理,直接將使用者輸入

防止Xss攻擊Sql注入

Xss攻擊簡介 XSS攻擊全稱跨站指令碼攻擊,是為不和層疊樣式表(Cascading Style Sheets, CSS)的縮寫混淆,故將跨站指令碼攻擊縮寫為XSS,XSS是一種在web應用中的電腦保安漏洞,它允許惡意web使用者將程式碼植入到提供給

防止SQL注入XSS跨站攻擊程式碼

這兩天用360網站安全檢測網站,檢測出SQL注入漏洞和XSS跨站攻擊指令碼N多項bug,然後上網找各種資料,把大部分的資料都看了一遍,最後自己總結了如下程式碼: a、防止SQL注入程式碼: //防止S

【StatementPreparedStatement有什麽區別?哪個性能更好?預編譯語句,防止sql註入問題】

dstat () 驅動程序 對象 生成 from result 查詢語句 驅動 答:與Statement相比,①PreparedStatement接口代表預編譯的語句,它主要的優勢在於可以減少SQL的編譯錯誤並增加SQL的安全性(減少SQL註射攻擊的可能性);②Prepar

PreparedStatement是如何防止SQL注入的?

為什麼在Java中PreparedStatement能夠有效防止SQL注入?這可能是每個Java程式設計師思考過的問題。 首先我們來看下直觀的現象(注:需要提前開啟mysql的SQL文列印) 1. 不使用PreparedStatement的set方法設定引數(效果跟Statement相似,相當於執行靜

JDBC防止SQL攻擊PreparedStatement的用法

public boolean login(String username, String passwo) throws Exception { /* * 一、得到Connection 二、得到Statement 三、得到ResuleSet 四、rs.next()返回的是

statementpreparedstatement的區別以及sql注入的預防

Statement 和 PreparedStatement之間的關係和區別. 關係:PreparedStatement繼承自Statement,都是介面 區別:PreparedStatement可以使用佔位符,是預編譯的,批處理比Statem

網站漏洞修復方案防止SQL注入攻擊漏洞

SQL注入漏洞在網站漏洞裡面屬於高危漏洞,排列在前三,受影響範圍較廣,像asp、.net、PHP、java、等程式語言編寫的程式碼,都存在著sql注入漏洞,那麼如何檢測網站存在sql注入漏洞?SQL注入漏洞測試方法在程式程式碼裡不管是get提交,post提交,cookies的

asp.net 360通用防護程式碼,防止sql注入與xss跨站漏洞攻擊

這是360提供的一個aspx公用程式碼,可以防止sql注入漏洞,xss跨站攻擊漏洞,如果您的網站被360掃描,出現sql注入或跨站攻擊等相關漏洞,沒有較好的解決方案,倒是可以採用該方法進下防範。 -----------------使用方法------------

PHP中防XSS攻擊sql注入

SQL注入如何防? TP中的底層已經做了防SQL注入的操作,只要我們操作資料庫時使用TP提供給我們的方法就不會有問題,如新增商品時我們呼叫了add方法。唯一要注意的就是如果我們自己拼SQL執行時就要自己來過濾了。 總結:如果要自己拼SQL語句,一定要自己再過濾一下【add

JDBC:使用PreparedStatement防止SQL注入

   1.關於SQL注入 什麼是SQL注入: 由於jdbc程式在執行的過程中sql語句在拼裝時使用了由頁面傳入引數,如果使用者惡意傳入一些sql中的特殊關鍵字,會導致sql語句意義發生變化,這種攻擊方式就叫做sql注入,參考使用者註冊登入案例。   首先看一下以下程式碼:

springboot-防止sql注入,xss攻擊,cros惡意訪問

springboot-防止sql注入,xss攻擊,cros惡意訪問 文章目錄 springboot-防止sql注入,xss攻擊,cros惡意訪問 1.sql注入 2.xss攻擊 3.csrf/cros 完

JDBC 增、查、刪、改 防止sql注入登入

package cn.mxl.jdbc04; import java.sql.Connection; import java.sql.DriverManager; import java.sql.SQLException; import java.sql.Statement

Mybatis防止SQL注入攻擊

相比於ORM框架,Mybatis只能被稱為半自動持久層框架,它其實是將JDBC進行了輕量級的封裝,提供SQL對映能力,便於更為方便地管理專案中的SQL程式碼,同時避免程式設計師重複手動編寫連線資料庫底層程式碼,並提供資料快取能力。 JDBC在使用時存在SQL注