共计 1353 个字符,预计需要花费 4 分钟才能阅读完成。
自动写代码机器人,免费开通
丸趣 TV 小编给大家分享一下 SQL 注入指的是什么,相信大部分人都还不怎么了解,因此分享这篇文章给大家参考一下,希望大家阅读完这篇文章后大有收获,下面让我们一起去了解一下吧!
SQL 注入 1. 什么是 SQL 注入
看一下下面的案例场景,这是正常情况下的登陆场景:
而当我们使用 用户名‘:– 的时候,密码随便输入也可以登陆成功↓
这时候对比两条 sql 就能发现,其实用户通过在用户名写入的 sql 符号将内部 sql 提前结束,并且将后半句检索条件注释起来达到免密码登陆效果。
sql 注入就是本来我只有我能操作数据库,本来只是让你输入内容就走,而你却输入命令,从而在我不知情下操作数据库
2. 漏洞的修复
会产生上门面的情况是因为上面的 sql 是使用动态拼接的方式,所以 sql 传入的方式可能改变 sql 的语义。
动态拼接就是在 java 中 java 变量和 sql 语句混合使用:select * from user where userName=’”+userName+”’and password =‘”+password”’
所以要使用 preparedStatement 的参数化 sql,通过先确定语义,再传入参数,就不会因为传入的参数改变 sql 的语义。(通过 setInt,setString,setBoolean 传入参数)
3. 参数化 sql 使用案例
// 建立数据连接
conn=ds.getConnection();
//1. 设置 prepareStatement 带占位符的 sql 语句
PreparedStatement ptmt = conn.prepareStatement( select * from user where userName = ? and password = ?
ptmt.setString(1, 张三 //2. 设置参数
ptmt.setString(2, 123456
rs=ptmt.executeQuery();
while(rs.next()){
System.out.println( 登陆成功
return;
}
System.out.println(登陆失败
参数化特点:
1. 设置 preparedStatement 带占位符的 sql 语句
statement 执行 sql 语句的方式:
stmt=conn.createStatement();
rs=stmt.executeQuery(select userName from user2. 设置参数
PerparedStatement 继承于 Statement,这里主要使用的使他参数化 sql 的特性。
转:https://blog.csdn.net/qq_30258957/article/details/78145885
加:1. 都是用来执行 SQL 的 PreparedStatement extends Statement;
2.Statement 适合执行静态 (无条件)SQL PreparedStatement 适合执行动态 (有条件)SQL;
3.PreparedStatement 可以避免注入攻击;
以上是“SQL 注入指的是什么”这篇文章的所有内容,感谢各位的阅读!相信大家都有了一定的了解,希望分享的内容对大家有所帮助,如果还想学习更多知识,欢迎关注丸趣 TV 行业资讯频道!
向 AI 问一下细节
