JAVA如何防止数据越界 java怎么防止sql注入

转载

mob64ca1419e0cc 2024-08-09 17:44:28

文章标签 JAVA如何防止数据越界 SQL sql java 文章分类 Java 后端开发

PreparedStatement可以实现Statement的所有功能,但是之所以叫它预编译指令,是因为在创建它的一个对象时可以给定具有一定格式的SQL字符串,然后用它的setXXX方法给指定的SQL语句以填空的方式赋值,具有这样的特性后,它在多次执行一条固定格式的字符串时就很方便,也更效率.不像Statement那样每次执行都要先编译字符串在执行SQL了.

SQL注入攻击是利用设计上的漏洞,在目标服务器上运行SQL语句进行攻击,动态生成SQL语句时没有对用户输入的数据进行验证是SQL注入攻击得逞的主要原因.

对于JDBC而言,SQL注入攻击只对Statement有效,对PreparedStatement是无效的,这是因为PreparedStatement不允许在插入时改变查询的逻辑结构绕过验证,但这种手段只对Statement有效,对PreparedStatement无效.

如果有一条SQL语句: "SELECT * FROM test WHERE name = 'admin'

ANDpassword = admin";

Statement的SQL语句是这样写的: ""SELECT * FROM testWHERE name = '"

+ name + "' AND password ='" +

password + "'";

PreparedStatement的SQL语句是这样写的: "SELECT * FROM test WHERE name = ? and password

= ?"; 然后对应?赋值

这样我们就发现输入用户名：'or'1=1'#，密码随意输

Statement是将这个和SQL语句做字符串连接到一起执行，变成了SELECT * FROM admin WHERE `name` = ''OR'1=1'# AND

`password` ='admin'，而#后面的在MySQL中会被当做注释，所以这句话就是SELECT * FROM admin WHERE `name` =

''OR'1=1'，永远都能登陆成功。

PreparedStatement是将'or'1=1'# 作为一个字符串赋值给?,做为"用户名"字段的对应值,显然这样SQL注入无从谈起了.

实现机制不同,注入只对SQL语句的准备(编译)过程有破坏作用,而PreparedStatement已经准备好了,执行阶段只是把输入串作为数据处理,不再需要对SQL语句进行解析,准备,因此也就避免了SQL注入问题.

两个源代码：

运行时需建立名字为test1的数据库，里面有名字为test的表，表里面有name，password列，值分别为admin，admin。

一：Statement的SQL注入：

import
java.sql.Connection;
import
java.sql.DriverManager;
import
java.sql.ResultSet;
import
java.sql.Statement;
import
java.util.Scanner;
public class Test
{
publicstatic void main(String[] args) throws Exception {
Scannerinput = new Scanner(System.in);
Class.forName("com.mysql.jdbc.Driver");
Connectionconn = DriverManager.getConnection(
"jdbc:mysql://localhost:3306/test1","root", "root");
System.out.println("请输入用户名：");
Stringname = input.next();
//用户名：'or'1=1'#密码：随意
System.out.println("请输入密码：");
Stringpassword = input.next();
Statementstat = conn.createStatement();
Stringsql = "SELECT * FROM test WHERE name = '" + name
+ "' ANDpassword = '" + password + "'";
ResultSetrs = stat.executeQuery(sql);
if(rs.next()) {
System.out.println("登陆成功！");
}else {
System.out.println("登录失败！");
}
rs.close();
stat.close();
conn.close();
}
}
二：PreparedStatement的防SQL注入
import
java.sql.Connection;
import
java.sql.DriverManager;
import
java.sql.PreparedStatement;
import
java.sql.ResultSet;
import
java.util.Scanner;
public
class Test1 {
public static void main(String[] args) throws Exception
{
Scanner input = new Scanner(System.in);
Class.forName("com.mysql.jdbc.Driver");
Connection conn = DriverManager.getConnection(
"jdbc:mysql://localhost:3306/test1", "root",
"root");
System.out.println("请输入用户名：");
String name = input.next();
System.out.println("请输入密码：");
String password = input.next();
String sql = "SELECT
*FROM test WHERE name = ? and password = ?";
PreparedStatement stat = conn.prepareStatement(sql);
stat.setString(1, name);
stat.setString(2, password);
ResultSet rs = stat.executeQuery();
if (rs.next()) {
System.out.println("登陆成功！");
} else
{
System.out.println("登录失败！");
}
rs.close();
stat.close();
conn.close();
}
}

本文章为转载内容，我们尊重原作者对文章享有的著作权。如有内容错误或侵权问题，欢迎原作者联系我们进行内容更正或删除文章。