当前位置: 首页 > article >正文

Jdbc学习笔记(四)--PreparedStatement对象、sql攻击(安全问题)

目录

(一)使用PreparedStatement对象的原因:

使用Statement对象编写sql语句会遇到的问题

​编辑 (二)sql攻击

1.什么是sql攻击

 2.演示sql攻击

 (三)防止SQL攻击

1.PreparedStatement是什么

2. PreparedStatement的使用

​编辑 3.总结:


(一)使用PreparedStatement对象的原因:

使用Statement对象编写sql语句会遇到的问题

使用Statement对象编写sql语句,都是拼接sql

问题:

  1. 可读性差
  2. 编写复杂,容易出错
  3. 安全问题,sql攻击(sql注入)  最大问题,系统会被攻破

 (二)sql攻击

1.什么是sql攻击

      在需要用户输入的地方,用户输入的是SQL语句的片段,最终用户输入的SQL片段与我们DAO中写的SQL语句合成一个完整的SQL语句!例如用户在登录时输入的用户名和密码都是为SQL语句的片段!

 2.演示sql攻击

首先我们需要创建一张用户表,并插入数据,用来存储用户的信息

下面我们写一个login()方法!

public static boolean login(String username, String password) {
    Connection conn=null;
    Statement stmt=null;
    ResultSet rs=null;
    try {
        Class.forName("com.mysql.jdbc.Driver");
        conn= DriverManager.getConnection("jdbc:mysql://localhost:3306/esa?useSSL=false","root","123456");
        String sql="select count(1) num from user where username='"+username+"' and password='"+password+"'";
        System.out.println(sql);
        stmt=conn.createStatement();
        rs=stmt.executeQuery(sql);
        rs.next();
        int count=rs.getInt(1);
        return count >= 1;
    } catch (ClassNotFoundException e) {
        throw new RuntimeException(e);
    }catch (SQLException e) {
        throw new RuntimeException(e);
    } finally {
        try{
            if (rs!=null) rs.close();
            if (stmt!=null) stmt.close();
            if (conn!=null) conn.close();
        } catch (SQLException e) {
            throw new RuntimeException(e);
        }
    }
}

细节:

throw new RuntimeException(e);  不能写成e.printStackTrace(),不然会报错,无法运行

e.printStackTrace( )是打印异常栈信息

throw new RuntimeException(e)是把异常包在一个运行时异常中抛出。

因为return count >= 1,系统会无法识别return的是一个什么值,会显示缺少return语句;

下面是调用这个方法的代码:

login("a' or '1'='1", "b' or '1'='1"); 

控制台输出登陆成功,因为是输入的用户名和密码是SQL语句片段,最终与我们的login()方法中的SQL语句组合在一起!我们来看看组合在一起的SQL语句:

select count(1)  from tb_user where username = 'a' or '1'='1' and password='b' or '1'='1'

因为 'a' or '1 = 1'这个语句,or作为关键字只要有一边返回的是true那么这个整体的值就是true,右边始终返回true,所以不管左边是否正确,这个值永远是true,那么就很容易被别人登录进去,从而造成安全问题。

 (三)防止SQL攻击

jdk中提供一个Statement的子接口,java.sql.PreparedStatement

Statement在创建时不需要传sql语句,而是把sql语句拼接起来,发送给mysql服务器

PreparedStatement是预编译的Statement,可以使用占位符?,给值占位

1.PreparedStatement是什么

PreparedStatement叫预编译声明

什么是预编译:在sql语句执行之前,要先进行两个步骤,sql编译和sql语法分析,在语句第一遍执行完毕以后,PreparedStatement会将预编译结果保存下来,在一下遇到相同的sql语句时,就不需要再重新进行一遍这三个步骤,可以跳过前两个,这也是为什么效率提高了的原因

PreparedStatement是Statement的子接口,你可以使用PreparedStatement来替换Statement。

PreparedStatement的好处:

  • 防止SQL攻击;

  • 提高代码的可读性,以可维护性;

  • 提高效率。

2. PreparedStatement的使用

  1. 使用Connection的prepareStatement(String sql):即创建它时就让它与一条SQL模板绑定;

  2. 调用PreparedStatement的setXXX()系列方法为问号设置值

  3. 调用executeUpdate()或executeQuery()方法,但要注意,调用没有参数的方法;

接下来我们来进行演示:

对之前的代码进行修改:

1.将拼接的username和password换成?

2.创建PreparedStatement对象,将Statement改成PreparedStatement

3.因为PreparedStatement的executeQuery()和executeUpdate()方法是无参的,所以要将括号中的sql删除

4.给?赋值

PreparedStatement提供了一组setXxx(int  问号的索引,值)方法,问号索引从1开始

如果不知道列的数据类型,有一个通用数据类型:setObject()

代码: 

public static boolean login2(String username, String password) {
    Connection conn=null;
    PreparedStatement stmt=null;
    ResultSet rs=null;
    try {
        Class.forName("com.mysql.jdbc.Driver");
        conn= DriverManager.getConnection("jdbc:mysql://localhost:3306/esa?useSSL=false","root","123456");
        String sql="select count(1) num from tb_user where username = ? and password= ?";
        System.out.println(sql);
        stmt = conn.prepareStatement(sql);
        //----------------
        //给?赋值
        //----------------
        stmt.setString(1,username);
        stmt.setString(2,password);
        rs=stmt.executeQuery();
        rs.next();
        int count=rs.getInt(1);
        return count >= 1;
    } catch (ClassNotFoundException e) {
        throw new RuntimeException(e);
    }catch (SQLException e) {
        throw new RuntimeException(e);
    } finally {
        try{
            if (rs != null) rs.close();
            if (stmt != null) stmt.close();
            if (conn != null) conn.close();
        } catch (SQLException e) {
            throw new RuntimeException(e);
        }
    }
}

执行结果:

登录失败!!,防止sql攻击成功

 3.总结:

 所以,建议大家在今后的开发中,无论什么情况,都去需要PreparedStatement,而不是使用Statement。  


http://www.kler.cn/a/394931.html

相关文章:

  • http协议的状态码
  • windows下安装配置anaconda及常用的conda命令
  • 亚远景-SO 21434标准下的汽车网络安全:风险评估与管理的关键实践
  • Redis存在安全漏洞
  • Mysql复习(二)
  • java 基于冷热数据分离的思想设计LRU链表
  • 采样率22050,那么CHUNK_SIZE 一次传输的音频数据大小设置多少合适?unity接收后出现卡顿的问题的思路
  • 【Qt】Qt在窗口中加载Web界面的方法汇总
  • stable-diffusion-3 ,每天免费试用
  • 【Homework】【5】Learning resources for DQ Robotics in MATLAB
  • 网络安全SQL初步注入2
  • Vue 与 React 前端框架差异对比及案例分析
  • MYSQL 修改表的结构
  • 【golang-技巧】- 定时器使用-ticker
  • Struts源码阅读——三个常用的辅助类DispatchAction
  • STM32学习笔记-----UART的概念
  • 2025年前端发展趋势
  • Spring Boot 中的全局异常处理器
  • Ubuntu20.04 解决一段时间后键盘卡死的问题 ubuntu
  • 前端开发中常用的包管理器(npm、yarn、pnpm、bower、parcel)
  • SSL证书以及实现HTTP反向代理
  • autodl+modelscope推理stable-diffusion-3.5-large
  • Sql server查询数据库表的数量
  • Linux入门攻坚——37、Linux防火墙-iptables-3
  • 陈列oracle的错误信息列表
  • 微服务架构面试内容整理-安全性-Spring Security