使用PreparedStatement防止SQL注入
来源:互联网 发布:linux谁开发的 编辑:程序博客网 时间:2024/06/05 21:51
PreparedStatement可以实现Statement的所有功能,但是之所以叫它预编译指令,是因为在创建它的一个对象时可以给定具有一定格式的SQL字符串,然后用它的setXXX方法给指定的SQL语句以填空的方式赋值,具有这样的特性后,它在多次执行一条固定格式的字符串时就很方便,也更效率.不像Statement那样每次执行都要先编译字符串在执行SQL了.
SQL注入攻击是利用设计上的漏洞,在目标服务器上运行SQL语句进行攻击,动态生成SQL语句时没有对用户输入的数据进行验证是SQL注入攻击得逞的主要原因.
对于JDBC而言,SQL注入攻击只对Statement有效,对PreparedStatement是无效的,这是因为PreparedStatement不允许在插入时改变查询的逻辑结构绕过验证,但这种手段只对Statement有效,对PreparedStatement无效.
如果有一条SQL语句: "SELECT * FROM test WHERE name = 'admin' ANDpassword = admin";
Statement的SQL语句是这样写的: ""SELECT * FROM testWHERE name = '" + name + "' AND password ='" + password + "'";
PreparedStatement的SQL语句是这样写的: "SELECT * FROM test WHERE name = ? and password = ?"; 然后对应?赋值
这样我们就发现输入用户名:'or'1=1'#,密码随意输
Statement是将这个和SQL语句做字符串连接到一起执行,变成了SELECT * FROM admin WHERE `name` = ''OR'1=1'# AND `password` ='admin',而#后面的在MySQL中会被当做注释,所以这句话就是SELECT * FROM admin WHERE `name` = ''OR'1=1',永远都能登陆成功。
PreparedStatement是将'or'1=1'# 作为一个字符串赋值给?,做为"用户名"字段的对应值,显然这样SQL注入无从谈起了.
实现机制不同,注入只对SQL语句的准备(编译)过程有破坏作用,而PreparedStatement已经准备好了,执行阶段只是把输入串作为数据处理,不再需要对SQL语句进行解析,准备,因此也就避免了SQL注入问题.
两个源代码:
运行时需建立名字为test1的数据库,里面有名字为test的表,表里面有name,password列,值分别为admin,admin。
一:Statement的SQL注入:
import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.ResultSet;
import java.sql.Statement;
import java.util.Scanner;
public class Test {
}
二:PreparedStatement的防SQL注入
import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.util.Scanner;
public class Test1 {
}
- 使用PreparedStatement防止SQL注入
- 使用PreparedStatement防止SQL注入
- 使用PreparedStatement防止SQL注入
- 使用PreparedStatement防止SQL注入
- 使用PreparedStatement防止SQL注入
- 使用PreparedStatement防止SQL注入
- 使用PreparedStatement防止SQL注入
- PreparedStatement 防止sql注入
- SQL注入的防止--使用preparedStatement
- Oracle 使用PreparedStatement防止SQL注入
- JDBC:使用PreparedStatement防止SQL注入
- Oracle 使用PreparedStatement防止SQL注入
- Oracle 使用PreparedStatement防止SQL注入
- JDBC:使用PreparedStatement防止SQL注入
- 验证preparedStatement防止SQL注入
- jdbc防止sql注入-PreparedStatement
- jdbc防止sql注入-PreparedStatement
- 验证preparedStatement防止SQL注入
- Scan / Detect New Luns In Redhat Linux & Outputs To Remember
- 7.2趣味递归法若干问题
- Storyboard实现界面跳转
- 第五周编程题-完数(看了很多别人的代码)
- HDU-ACM2054
- 使用PreparedStatement防止SQL注入
- BaseAdapter 自定义适配器的使用以及优化
- HDU 3394Railway 点双连通分量 + 桥
- SecureCRT WIN7下详细图文破解方法
- Loadrunner中java Vuser协议脚本开发
- CSS样式表
- [Inspiration]Book List To Read
- HDU-ACM2055
- 箱式布局(BoxLayout)与 Box类