sql注入的原因
语句和用户输入的内容举行拼接,发送给数据库编译的时候,数据库将用户输入的内容当成sql语句编译了。从而从根本上改变了我们开发者所盼望sql语句原有的寄义。导致步伐受到sql攻击。
sql注入的代码
这案例用户名暗码均错误也可以登岸,就是发生了sql注入
- public static void main(String[] args) throws Exception { //假设这里的用户名和暗码是前端页面通报过来的。 String username = "admin' -- "; String password = "1234"; //注册驱动 Class.forName("com.mysql.jdbc.Driver"); //获取毗连 Connection con = DriverManager.getConnection("jdbc:mysql://localhost:3306/day05", "root", "123"); //创建statement对象 Statement statement = con.createStatement(); //向数据库发送sql语句,查察该用户是否存在。这条sql语句查询的该用户名和暗码的用户有多少个。 String sql = "select count(*) from user where name = '" + username + "' and password = '" + password + "'"; ResultSet rs = statement.executeQuery(sql); int count = 0; while (rs.next()) { //获取count(*)的值 count = rs.getInt(1); } if(count==1){ //只有一个同时满足用户名和暗码的用户,可以登录 System.out.println("登录乐成"); }else if(count==0){ //不存在该用户 System.out.println("不能登录"); } }
复制代码 执行代码,可以发现用户名为 admin’ – ,暗码为 1234 这样的用户是不存在的,但是尽然可以登录乐成。那么这是什么原因造成的呢?
将字符串拼接后的sql语句放在可视化工具中查察发现如下情况,可以发现,反面暗码的验证被注释掉了。这样岂不是谁都可以登录了?
管理方法
首先将sql语句所代表的寄义确定下来,然后再向编译好的sql语句中填充用户输入的内容。这样用户输入的内容就不会再被编译了。所以需要我们学习preparedStatement向数据库发送预编译的sql语句。
就是preparedStatement + 占位符 ?搭配使用(先编译再传参数)
管理sql注入之后的代码
- public static void main(String[] args) throws Exception { String username = "wangwu' -- "; String password = "5555"; //注册驱动 Class.forName("com.mysql.jdbc.Driver"); //获取毗连 Connection con = DriverManager.getConnection("jdbc:mysql://localhost:3306/day09_1","root","123"); //创建preparedStatement对象 //要让sql语句举行预编译,需要保证sql语句的完整。所以需要首先使用?来占位。 String sql = "select count(*) from user where username=? and password=?"; PreparedStatement ps = con.prepareStatement(sql); //将用户填写的值填充到编译好的sql语句中 ps.setString(1, username); ps.setString(2, password); //执行sql语句 ResultSet rs = ps.executeQuery(); int count = 0; while(rs.next()){ count = rs.getInt(1); } if(count==1){ System.out.println("登录乐成"); }else{ System.out.println("登录不乐成"); } rs.close(); ps.close(); con.close(); }
复制代码 PreparedStatement管理sql注入的原理
PreparedStatement 管理SQL注入原理,运行在SQL中参数以?占位符的方式表示
select * from user where username = ? and password = ? ;
将带有 ? 的SQL 发送给数据库完成编译 (不能执行的SQL 带有?的SQL 举行编译 叫做预编译),在SQL编译后发现缺少两个参数
PreparedStatement 可以将? 取代参数 发送给数据库服务器,因为SQL已经编译过,参数中特殊字符不会当做特殊字符编译,无法到达SQL注入的目标
** PreparedStatement优点**
相对于Statement对象而言:
1、PreperedStatement可以制止SQL注入的问题。
2、Statement对象每次执行SQL语句时,都会对其举行编译。当相同的SQL语句被执行被执行多次时,Statement对象就会使数据库频仍编译相同的SQL语句,从而低沉数据库的效率。
PreparedStatement对象可对SQL语句举行预编译。也就是说,当相同的SQL语句再次执行时,数据库只需使用缓冲区中的数据,而不需要对SQL语句在次编译,从而提高访问效率。
3、并且PreperedStatement对于sql中的参数,允许使用占位符的形式举行替换,简化sql语句的编写。可读性变强。
来源:https://blog.csdn.net/weixin_43548518/article/details/111959914
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |