JDBC的SQL注入漏洞分析和解决

雨点打透心脏的1/2处 2023-10-07 08:40 8阅读 0赞

#### **SQL注入漏洞分析** ####

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly96aGFuZ3h1ZWxpYW5nLmJsb2cuY3Nkbi5uZXQ_size_16_color_FFFFFF_t_70][]

#### **SQL注入漏洞解决** ####

需要采用PreparedStatement对象解决SQL注入漏洞。这个对象将SQL预先进行编译，使用?作为占位符。?所代表内容是SQL所固定。再次传入变量（包含SQL的关键字）。这个时候也不会识别这些关键字。

public class UserDao {
    	
    	public boolean login(String username,String password){
    		Connection conn = null;
    		PreparedStatement pstmt = null;
    		ResultSet rs = null;
    		// 定义一个变量:
    		boolean flag = false;
    		try{
    			// 获得连接:
    			conn = JDBCUtils.getConnection();
    			// 编写SQL语句:
    			String sql = "select * from user where username = ? and password = ?";
    			// 预编译SQL
    			pstmt = conn.prepareStatement(sql);
    			// 设置参数:
    			pstmt.setString(1, username);
    			pstmt.setString(2, password);
    			// 执行SQL语句:
    			rs = pstmt.executeQuery();
    			if(rs.next()){
    				// 说明根据用户名和密码可以查询到这条记录
    				flag = true;
    			}
    		}catch(Exception e){
    			e.printStackTrace();
    		}finally{
    			JDBCUtils.release(rs, pstmt, conn);
    		}
    		return flag;
    	}

[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly96aGFuZ3h1ZWxpYW5nLmJsb2cuY3Nkbi5uZXQ_size_16_color_FFFFFF_t_70]: https://img-blog.csdnimg.cn/20200126200823726.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly96aGFuZ3h1ZWxpYW5nLmJsb2cuY3Nkbi5uZXQ=,size_16,color_FFFFFF,t_70

发表评论取消回复

表情：

评论列表（有 0 条评论，8人围观）

还没有评论，来说两句吧...

相关阅读

相关 JDBC+BDUtil的扩展和SQL注入问题 +事务

JDBC+BDUtil的扩展和SQL注入问题 +事务一、JDBC > JDBC:java database connectivity SUN公司提供的一套操作...

以你之姓@/ 2024年04月20日 11:24/ 0 赞/ 69 阅读

相关 JDBC、ORM、SQL注入、DBUtil

一、如何操作数据库使用客户端工具访问数据库，需要手工建立连接，输入用户名和密码登录，编写 SQL 语句，点击执行，查看操作结果（结果集或受影响行数）。 ![45b4

谁借莪１个温暖的怀抱￠/ 2024年03月25日 22:47/ 0 赞/ 47 阅读

相关 JDBC学习（一）--------SQL注入

一、JDBC的开发步骤 1.注册驱动 2.获得连接 3.获得语句执行者 4.执行sql语句 5.处理结果 ’ 二、导入驱动jar包 1.创建li

本是古典何须时尚/ 2024年02月19日 21:35/ 0 赞/ 54 阅读

相关 SQL 注入漏洞攻击

文章目录 1. 介绍 2. 无密码登录 3. 无用户名无密码登录 4. 合并表获取用户名密码 1. 介绍 !

不念不忘少年蓝@/ 2023年10月15日 20:37/ 0 赞/ 55 阅读

相关 SpringBoot 安全漏洞之SQL注入解决方案

1. SQL盲注、SQL注入风险：可能会查看、修改或删除数据库条目和表。原因：未对用户输入正确执行危险字符清理。固定值：查看危险字符注入的可能解

墨蓝/ 2023年10月10日 13:26/ 0 赞/ 75 阅读

相关 JDBC的SQL注入漏洞分析和解决

SQL注入漏洞分析 ![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly96aGFuZ3h1ZWx

雨点打透心脏的1/2处/ 2023年10月07日 08:40/ 0 赞/ 9 阅读

相关 JDBC的SQL注入漏洞

在实现某些业务时，许多SQL语句中的参数都需要通过变量拼接而成，而这些参数大多都是通过用户输入而来，这样就存在了用户恶意输入SQL关键字来影响JDBC中SQL语句的查询。例

ゝ一世哀愁。/ 2023年10月04日 08:06/ 0 赞/ 10 阅读

相关若依管理系统后台sql注入漏洞分析

本文以RuoYi为例学习并整理了基于Mybatis框架的sql注入原理和场景，为高效快速挖掘基于Mybatis框架的sql注入提供一种思路和参考。若依管理系统是基于Spring

系统管理员/ 2023年09月24日 20:07/ 0 赞/ 300 阅读

相关使用preparedStatement来解决sql注入漏洞

使用Statement来执行sql语句，如果语句中连接的有变量，那么可以对变量进行一些修改使绕过sql语句的判断条件。比如： public static boolea

￡神魔★判官ぃ/ 2022年05月18日 23:56/ 0 赞/ 266 阅读

相关代码审计——sql注入漏洞常规挖掘分析/实战

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ub

柔情只为你懂/ 2021年07月25日 20:25/ 0 赞/ 477 阅读