安科网

JDBC的SQL注入漏洞分析和解决

tanrong

tanrong

2019-10-22

关注 关注
1.1.1 SQL注入漏洞分析

JDBC的SQL注入漏洞分析和解决
1.1.2 SQL注入漏洞解决

需要采用PreparedStatement对象解决SQL注入漏洞。这个对象将SQL预先进行编译,使用?作为占位符。?所代表内容是SQL所固定。再次传入变量(包含SQL的关键字)。这个时候也不会识别这些关键字。

public class UserDao {

?????????

????????public boolean login(String username,String password){

????????????????Connection conn = null;

????????????????PreparedStatement pstmt = null;

????????????????ResultSet rs = null;

????????????????// 定义一个变量:

????????????????boolean flag = false;

????????????????try{

????????????????????????// 获得连接:

????????????????????????conn = JDBCUtils.getConnection();

????????????????????????// 编写SQL语句:

????????????????????????String sql = "select * from user where username = ? and password = ?";

????????????????????????// 预编译SQL

????????????????????????pstmt = conn.prepareStatement(sql);

????????????????????????// 设置参数:

????????????????????????pstmt.setString(1, username);

????????????????????????pstmt.setString(2, password);

????????????????????????// 执行SQL语句:

????????????????????????rs = pstmt.executeQuery();

????????????????????????if(rs.next()){

????????????????????????????????// 说明根据用户名和密码可以查询到这条记录

????????????????????????????????flag = true;

????????????????????????}

????????????????}catch(Exception e){

????????????????????????e.printStackTrace();

????????????????}finally{

????????????????????????JDBCUtils.release(rs, pstmt, conn);

????????????????}

????????????????return flag;

????????}

jdbc sql注入 注入漏洞

tanrong

tanrong

0 关注 0 粉丝 0 动态

关注 关注

相关推荐

面试准备季——MyBatis 面试专题(含答案)

写在前面:2020年面试必备的Java后端进阶面试题总结了一份复习指南在Github上,内容详细,图文并茂,有需要学习的朋友可以Star一下!程序员直接编写原生态 sql,可以严格控制 sql 执行性能,灵活度高。MyBatis 可以使用 XML 或注解来

chenjiazhu 2020-07-08

JavaWeb - JDBC、各个类详解、工具类、解决sql注入

各个数据库厂商去实现这套这套接口,提供数据库驱动jar包。     我们可以使用这套接口编程,真正执行的代码是驱动jar包中的实现类。    1.复制mysql-connector-java-5.1.37-bin.jar到项目的libs目录下。Strin

世樹 2020-06-05

使用 Navicat 创建数据库并用JDBC连接的操作方法

昨天学习 Java 的数据库部分,就试着写了一下 JDBC 连接的代码,并尝试与数据库进行连接。中间也是遇到了一些问题,解决之后,在这里分享一下,也算做个记录。这个就不多说了,需要的自己百度教程;输入连接名称,用户名、密码,然后 OK 就可以创建新的连接了

ASoc 2020-11-14

JDBC连接MySQL

String sql = "select * from users where name=?String id = rs.getString;//1代表数据库中表的列数,id在第一列也可以!!!

Andrea0 2020-09-18

jmeter连接数据库并使用

Variable Name:自定义参数,在JDBC Request中会用到;Database URL:jdbc:mysql:// 数据库IP地址:数据库端口/数据库名称;Username:数据库用户名;Password:数据库密码;

Cherishyuu 2020-08-19

JDBC

第1节 回顾1.1 表连接内连接:隐式、显式隐式:没有 join,使用 where显式:inner join..on外连接:左连接和右连接左连接:left outer join …2) 使用 MySQL 自带的命令行方式3) 通过 Java 来访问 M

dongtiandeyu 2020-08-18

Maven中央仓库正式成为Oracle官方JDBC驱动程序组件分发中心(推荐)

相信参与使用Oracle数据库进行项目开发、运维的同学常常被Oracle JDBC驱动的Maven依赖折磨。现在这一情况在今年二月份得到了改变,甲骨文这个老顽固终于开窍了。一位甲骨文的工程师发布博客:在Maven中央仓库中,现在不单单最新版本的Oracle

CoderYYN 2020-08-16

MySQL数据库连接异常汇总(值得收藏)

在Centos上部署项目发现一个奇怪的问题,数据库连接一直抛异常。于是花了两个小时搜了各种数据库连接异常导致的原因,最终问题得以解决。同时,把解决过程中搜集到的异常信息汇总一下,当大家遇到类似的问题时,给大家以思路。唯独把项目部署到服务器上启动时抛出异常。

大黑牛 2020-08-15

MyBatis使用LocalDateTime遇到的一系列问题

在Mybaits中传入参数为LocalDateTime,查询发现结果集为空,插入时发现时间相差13小时。新建工程,新建测试库。发现需要设置MyBatis版本为3.4.5以上,在3.4.5之前不支持LocalDateTime会报错。继续查阅资料发现mysql

Dullonjiang 2020-08-11

JDBC事务机制

将此连接的自动提交模式设置为给定状态。autoCommit - true启用自动提交模式; false禁用它。撤消在当前事务中所做的所有更改,并释放此 Connection对象当前持有的任何数据库锁。/*程序到这儿证明没有异常,

gaozhennan 2020-08-03

JDBC(3)-数据库事务

当一个连接对象被创建时,默认情况下是自动提交事务:每次执行一个 SQL 语句时,如果执行成功,就会向数据库自动提交,而不能回滚。关闭数据库连接,数据就会自动的提交。如果多个操作,每个操作使用的是自己单独的连接,则无法保证事务。即同一个事务的多个操作必须在同

mcvsyy 2020-08-02

包与JDBC

  Java中的包:解决类的同名问题。    Java允许使用包将多个类组织在一起。借助于包可以方便的组织管理类,并将自定义的类与其它的类库分开管理。使用包维护类库比较简单,只要保证在同一个包下不存在同名的类即创建一个包也比较简单:只要将package命令

zbcaicai 2020-07-29

设计模式之桥接模式

桥接模式,将抽象部分与它的实现部分分离,使得它们都可以独立地变化。还有另外一种理解方式,一个类存在两个(或多个)独立变化的维度,我们通过组合的方式,让这两个(或多个)维度可以独立进行扩展。通过组合关系来替代继承关系,避免继承层次的指数级爆炸。这种理解方式非

AscaryBird 2020-07-27

ES坑之logstash配置文件

  parameters => { "sql_last_value" => "UpdateTime" }.   statement => "SELECT * FROM t WHERE t

liulin0 2020-07-26

mysql URL

characterEncoding=utf8&useUnicode=true. characterEncoding=utf8&useSSL=false&serverTimezone=UTC

ldcwang 2020-07-26

mybatis的属性优化与别名优化

这里可以使用mybatis的属性优化来解决、实现更简洁的操作;mybatis的官方文档中,对属性优化是这样描述的:这些属性可以在外部进行配置,并可以进行动态替换。即我们可以将需要的配置文件单独写在外部的配置文件中,需要时将其引入,并使用“${}”来引用,同

helloxusir 2020-07-25

Logstash Oracle同步设置

# 是否清除sql_last_value的记录,需要增量同步时此字段必须为false;# 同步频率,默认每分钟同步一次;where updated_at>:sql_last_value and updated_at<sysdate order

娜娜 2020-07-20

jsp基础知识

  model:数据持久化 base+dao+biz. contentType:定义 JSP 字符的编码和页面响应的 MIME 类型;  <%@page language="java" pageEncoding="UTF

pengpengflyjhp 2020-07-19

从零开始手写 mybatis (三)jdbc pool 从零实现数据库连接池

第一节 从零开始手写 mybatis(一)MVP 版本 中我们实现了一个最基本的可以运行的 mybatis。本节我们一起来看一下如何实现一个数据库连接池。为什么需要连接池?数据库连接的创建是非常耗时的一个操作,在高并发的场景,如果每次对于数据库的访问都重新

点滴技术生活 2020-07-19

2020/7/18 java jdbc

JDBC是一种用于执行SQL语句的Java API,可以为多种关系数据库提供统一访问,它由一组用Java语言编写的类和接口组成。是Java访问数据库的标准规范。JDBC提供了一种基准,据此可以构建更高级的工具和接口,使数据库开发人员能够编写数据库应用程序。

人可 2020-07-18
tanrong

tanrong

W3CSchool教程
HTML 教程
CSS 教程
Bootstrap 教程
Javascript 教程
jQuery 教程
后端教程
C 教程
Java 教程
PHP 教程
Python 教程
Go 教程
移动开发
Android 教程
Swift 教程
Kotlin 教程
jQuery Mobile 教程
ionic 教程
关于我们
新闻动态
联系方式
招聘英才
安科实验室
帮助与反馈

安科网(Ancii),中国第一极客网

Copyright © 2013 - 2019 Ancii.com

京ICP备18063983号 京公网安备11010802014868号