1、SQL注入攻击:
     由于dao中执行的SQL语句是拼接出来的,其中有一部分内容是由用户从客户端传入,所以当用户传入的数据中包含sql关键字时,就有可能通过这些关键字改变sql语句的语义,从而执行一些特殊的操作,这样的攻击方式就叫做sql注入攻击
  
    PreparedStatement利用预编译的机制将sql语句的主干和参数分别传输给数据库服务器,从而使数据库分辨的出哪些是sql语句的主干哪些是参数,这样一来即使参数中带了sql的关键字,数据库服务器也仅仅将他当作参数值使用,关键字不会起作用,从而从原理上防止了sql注入的问题

PreparedStatement主要有如下的三个优点:
   1.可以防止sql注入
   2.由于使用了预编译机制,执行的效率要高于Statement
   3.sql语句使用?形式替代参数,然后再用方法设置?的值,比起拼接字符串,代码更加优雅.

PreparedStatement 与Statment比较

1)语法不同:PreparedStatement可以使用预编译的sql,而Statment只能使用静态的sql

2)效率不同: PreparedStatement可以使用sql缓存区,效率比Statment高

3)安全性不同: PreparedStatement可以有效防止sql注入,而Statment不能防止sql注入。

/**

 * PreparedStatement執行sql語句

 *

 *

 */

public class Demo1 {

    /**

     * 增加

     */

    @Test

    public void testInsert() {

        Connection conn = null;

        PreparedStatement stmt = null;

        try {

            //1.获取连接

            conn = JdbcUtil.getConnection();

            //2.准备预编译的sql

            String sql = "INSERT INTO student(NAME,gender) VALUES(?,?)"; //?表示一个参数的占位符

            //3.执行预编译sql语句(检查语法)

            stmt = conn.prepareStatement(sql);

            //4.设置参数值

            /**

             * 参数一: 参数位置  从1开始

             */

            stmt.setString(1, "李四");

            stmt.setString(2, "男");

            //5.发送参数,执行sql

            int count = stmt.executeUpdate();

            System.out.println("影响了"+count+"行");

        } catch (Exception e) {

            e.printStackTrace();

            throw new RuntimeException(e);

        } finally {

            JdbcUtil.close(conn, stmt);

        }

    }

    /**

     * 修改

     */

    @Test

    public void testUpdate() {

        Connection conn = null;

        PreparedStatement stmt = null;

        try {

            //1.获取连接

            conn = JdbcUtil.getConnection();

            //2.准备预编译的sql

            String sql = "UPDATE student SET NAME=? WHERE id=?"; //?表示一个参数的占位符

            //3.执行预编译sql语句(检查语法)

            stmt = conn.prepareStatement(sql);

            //4.设置参数值

            /**

             * 参数一: 参数位置  从1开始

             */

            stmt.setString(1, "王五");

            stmt.setInt(2, 9);

            //5.发送参数,执行sql

            int count = stmt.executeUpdate();

            System.out.println("影响了"+count+"行");

        } catch (Exception e) {

            e.printStackTrace();

            throw new RuntimeException(e);

        } finally {

            JdbcUtil.close(conn, stmt);

        }

    }

    /**

     * 删除

     */

    @Test

    public void testDelete() {

        Connection conn = null;

        PreparedStatement stmt = null;

        try {

            //1.获取连接

            conn = JdbcUtil.getConnection();

            //2.准备预编译的sql

            String sql = "DELETE FROM student WHERE id=?"; //?表示一个参数的占位符

            //3.执行预编译sql语句(检查语法)

            stmt = conn.prepareStatement(sql);

            //4.设置参数值

            /**

             * 参数一: 参数位置  从1开始

             */

            stmt.setInt(1, 9);

            //5.发送参数,执行sql

            int count = stmt.executeUpdate();

            System.out.println("影响了"+count+"行");

        } catch (Exception e) {

            e.printStackTrace();

            throw new RuntimeException(e);

        } finally {

            JdbcUtil.close(conn, stmt);

        }

    }

    /**

     * 查询

     */

    @Test

    public void testQuery() {

        Connection conn = null;

        PreparedStatement stmt = null;

        ResultSet rs = null;

        try {

            //1.获取连接

            conn = JdbcUtil.getConnection();

            //2.准备预编译的sql

            String sql = "SELECT * FROM student"; 

            //3.预编译

            stmt = conn.prepareStatement(sql);

            //4.执行sql

            rs = stmt.executeQuery();

            //5.遍历rs

            while(rs.next()){

                int id = rs.getInt("id");

                String name = rs.getString("name");

                String gender = rs.getString("gender");

                System.out.println(id+","+name+","+gender);

            }

        } catch (Exception e) {

            e.printStackTrace();

            throw new RuntimeException(e);

        } finally {

            //关闭资源

            JdbcUtil.close(conn,stmt,rs);

        }

    }

}

eg:模拟登陆

/**

 * 模拟用户登录效果

 *

 *

 */

public class Demo2 {

    //模拟用户输入

    //private String name = "ericdfdfdfddfd' OR 1=1 -- ";

    private String name = "eric";

    //private String password = "123456dfdfddfdf";

    private String password = "123456";

    /**

     * Statment存在sql被注入的风险

     */

    @Test

    public void testByStatement(){

        Connection conn = null;

        Statement stmt = null;

        ResultSet rs = null;

        try {

            //获取连接

            conn = JdbcUtil.getConnection();

            //创建Statment

            stmt = conn.createStatement();

            //准备sql

            String sql = "SELECT * FROM users WHERE NAME='"+name+"' AND PASSWORD='"+password+"'";

            //执行sql

            rs = stmt.executeQuery(sql);

            if(rs.next()){

                //登录成功

                System.out.println("登录成功");

            }else{

                System.out.println("登录失败");

            }

        } catch (Exception e) {

            e.printStackTrace();

            throw new RuntimeException(e);

        } finally {

            JdbcUtil.close(conn, stmt ,rs);

        }

    }

    /**

     * PreparedStatement可以有效地防止sql被注入

     */

    @Test

    public void testByPreparedStatement(){

        Connection conn = null;

        PreparedStatement stmt = null;

        ResultSet rs = null;

        try {

            //获取连接

            conn = JdbcUtil.getConnection();

            String sql = "SELECT * FROM users WHERE NAME=? AND PASSWORD=?";

            //预编译

            stmt = conn.prepareStatement(sql);

            //设置参数

            stmt.setString(1, name);

            stmt.setString(2, password);

            //执行sql

            rs = stmt.executeQuery();

            if(rs.next()){

                //登录成功

                System.out.println("登录成功");

            }else{

                System.out.println("登录失败");

            }

        } catch (Exception e) {

            e.printStackTrace();

            throw new RuntimeException(e);

        } finally {

            JdbcUtil.close(conn, stmt ,rs);

        }

    }

}

jdbc之防sql注入攻击的更多相关文章

  1. PHP防SQL注入攻击

    PHP防SQL注入攻击 收藏 没有太多的过滤,主要是针对php和mysql的组合. 一般性的防注入,只要使用php的 addslashes 函数就可以了. 以下是一段copy来的代码: PHP代码 $ ...

  2. JDBC基础:JDBC快速入门,JDBC工具类,SQL注入攻击,JDBC管理事务

    JDBC基础 重难点梳理 一.JDBC快速入门 1.jdbc的概念 JDBC(Java DataBase Connectivity:java数据库连接)是一种用于执行SQL语句的Java API,可以 ...

  3. 【荐】PDO防 SQL注入攻击 原理分析 以及 使用PDO的注意事项

    我们都知道,只要合理正确使用PDO,可以基本上防止SQL注入的产生,本文主要回答以下几个问题: 为什么要使用PDO而不是mysql_connect? 为何PDO能防注入? 使用PDO防注入的时候应该特 ...

  4. PHP几个防SQL注入攻击自带函数区别

    SQL注入攻击是黑客攻击网站最常用的手段.如果你的站点没有使用严格的用户输入检验,那么常容易遭到SQL注入攻击.SQL注入攻击通常通过给站点数据库提交不良的数据或查询语句来实现,很可能使数据库中的纪录 ...

  5. 防sql注入攻击

    这两天看了个防sql注入,觉得有必要总结一下: 首先需要做一些php的安全配置: 1 在php.ini 中把display_errors改成OFF display_errors = OFF 或在php ...

  6. PDO防 SQL注入攻击 原理分析 以及 使用PDO的注意事项

    我们都知道,只要合理正确使用PDO(PDO一是PHP数据对象(PHP Data Object)的缩写),可以基本上防止SQL注入的产生,本文主要回答以下几个问题: 为什么要使用PDO而不是mysql_ ...

  7. 初学JDBC,防SQL注入简单示例

    在JDBC简单封装的基础上实现 public class UserDao{ public static void testGetUser(String userName) throws Excepti ...

  8. Java程序员从笨鸟到菜鸟之(一百)sql注入攻击详解(一)sql注入原理详解

    前段时间,在很多博客和微博中暴漏出了12306铁道部网站的一些漏洞,作为这么大的一个项目,要说有漏洞也不是没可能,但其漏洞确是一些菜鸟级程序员才会犯的错误.其实sql注入漏洞就是一个.作为一个菜鸟小程 ...

  9. 【数据库】SQL注入攻击

    背景: 机房收费系统验收的时候,师父提到SQL注入攻击.自己以前看过类似的博客大概知道一些这方面的事情,于是自己动手查了查. 定义: 所谓SQL注入,通过SQL命令插入到Web表单提交或者输入域名或页 ...

随机推荐

  1. 002-使用java类调用quartz

    一.工具类 package com.tech.jin.jobScheduler; import java.text.ParseException; import java.util.ArrayList ...

  2. CAS单点登录实践(spring cas client配置)

    前言: 最近的项目需要将多个站点统一登录,查阅了资料Jasig cas(Central Authentication Service)(官方站点:http://www.jasig.org/cas)使用 ...

  3. Redis的慢查询日志

    编辑配置文件/etc/redis.conf针对慢查询日志,可以设置两个参数,一个是执行时长,单位是毫秒,另一个是慢查询日志的长度.当一个新的命令被写入日志是,最老的一条会从命令日志队列中被移除slow ...

  4. 查看Oracle 基表的方法

    从  v$fixed_view_definition 视图中可以看到 性能视图所依赖的基表 SELECT view_definition FROM v$fixed_view_definition    ...

  5. 吴超老师课程--Sqoop的安装和介绍

    SQOOP是用于对数据进行导入导出的.    (1)把MySQL.Oracle等数据库中的数据导入到HDFS.Hive.HBase中    (2)把HDFS.Hive.HBase中的数据导出到MySQ ...

  6. 转:[NHibernate]视图处理

    转自:http://www.cnblogs.com/wolf-sun/p/4082899.html 目录 写在前面 文档与系列文章 视图 一个例子 总结 写在前面 前面的文章主要讲了对物理数据表的操作 ...

  7. Android位置权限以及数组寻找索引的坑

    填坑与求解惑来的. 一.Android 危险权限,来自官方文档的坑??? Android开发者都知道,Android 6.0 之前,权限申请只需要在 AndroidManifest.xml 文件中声明 ...

  8. iOS程序的启动过程介绍

    大家在学习iPhone开发时候,都会写HelloWorld程序.大家一般都是通过向导,生成项目,然后通过模拟器启动应用程序.但是大家知道其背后的启动过程吗?也就是当点击程序图标启动程序开始到退出程序整 ...

  9. PAT 天梯赛 L1-048. 矩阵A乘以B 【数学】

    题目链接 https://www.patest.cn/contests/gplt/L1-048 题意 给出两个矩阵,先判断两个矩阵能不能相乘,如果可以,就输出相乘 结果,如果不行 则按格式输出erro ...

  10. 关于获得MFC窗口其它类指针的方法(csdn)

    转自:http://tieba.baidu.com/p/252804018 访问应用程序的其它类 获得CWinApp: -在CMainFrame,CChildFrame,CDocument,CView ...