2. 程式人生 > 實用技巧 >SQL注入漏洞的解決PreparedStetament

SQL注入漏洞的解決PreparedStetament

阿新 發佈:2020-10-07

JDBCUtil 工具集

package com.imooc.jdbc.utils;

import java.io.IOException;
import java.io.InputStream;
import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;
import java.util.Properties;

public class JDBCUtil {
    
    
 
private static final String CLASSLOAD;
    private static final String MYSQLURL;
    private static final String USERNAME;
    private static final String PASSWORD;
    
    
    static {
        //使用properties來載入類配置檔案
        //先例項化properties物件
        
        Properties p = new Properties();
        
 
//使用class.getClassLoader()所得到的java.lang.ClassLoader的
        //getResourceAsStream()方法
        //getResourceAsStream(name)方法的引數必須是包路徑+檔名+.字尾
        //否則會報空指標異常
        
        InputStream dataLoad = JDBCUtil.class.getClassLoader().getResourceAsStream("mysql.properties");
        try {
            p.load(dataLoad);
            
            
        } 
 
catch (IOException e) {
            // TODO Auto-generated catch block
            e.printStackTrace();
        }
        //從properties檔案中提取配置引數
        CLASSLOAD = p.getProperty("classLoad").trim();
        MYSQLURL = p.getProperty("MYSQLURL").trim();
        USERNAME = p.getProperty("USERNAME").trim();
        PASSWORD = p.getProperty("passWord").trim();
        
        System.out.println(CLASSLOAD);
        System.out.println(MYSQLURL);
        System.out.println(USERNAME);
        System.out.println(PASSWORD);
    }
    
    public static void loadClass() throws ClassNotFoundException {
        Class.forName(CLASSLOAD);
    }
    
    
    public static Connection getConnection() throws ClassNotFoundException, SQLException {
        loadClass();
        Connection conn = DriverManager.getConnection(MYSQLURL, USERNAME,PASSWORD);
        return conn;
    }
    
    /**
     * 資料過載解決使用者自己寫入
     * @param CLASSLOAD  驅動匯入
     * @param MYSQLURL   資料連線url和資料名
     * @param USERNAME   使用者名稱
     * @param PASSWORD   密碼
     * @return
     * @throws ClassNotFoundException
     * @throws SQLException
     */
    
//    public static Connection getConnection(
//            String CLASSLOAD,String MYSQLURL,String USERNAME, String PASSWORD
//            ) throws ClassNotFoundException, SQLException {
//        
//        Class.forName(CLASSLOAD);
//        Connection conn = DriverManager.getConnection(MYSQLURL, USERNAME, PASSWORD);
//        return conn;
//        
//    }
    
    
    public static void release(Connection conn,Statement stmt) {
        if(stmt != null) {
            try {
                stmt.close();
            } catch (SQLException e) {
                // TODO Auto-generated catch block
                e.printStackTrace();
            }
            
            stmt = null;
        }
        
        if(conn != null) {
            try {
                conn.close();
            } catch (SQLException e) {
                // TODO Auto-generated catch block
                e.printStackTrace();
            }
            conn = null;
        }
    }
    
    public static void release(Connection conn,Statement stmt,ResultSet resultSet) {
        if(stmt != null) {
            try {
                stmt.close();
            } catch (SQLException e) {
                // TODO Auto-generated catch block
                e.printStackTrace();
            }
            
            stmt = null;
        }
        
        if(conn != null) {
            try {
                conn.close();
            } catch (SQLException e) {
                // TODO Auto-generated catch block
                e.printStackTrace();
            }
            conn = null;
        }
        
        if(resultSet != null) {
            try {
                resultSet.close();
            } catch (SQLException e) {
                // TODO Auto-generated catch block
                e.printStackTrace();
            }
        }
    }
    
}

PreparedStetament 的使用:

          儲存資料:

            

    /**
     * 學習PreparedStatement的資料儲存
     */
    public void insert() {
        Connection conn = null;
        PreparedStatement pstmt = null;
        boolean flag = false;
        
        try {
            //連線資料庫
            conn = JDBCUtil.getConnection();
            //編寫插入的sql資料
            String sql = "insert emp(username,age,sex,addr,depId) values(?,?,?,?,?)";
            //建立執行sql的物件
            pstmt = conn.prepareStatement(sql);
            
            pstmt.setString(1, "無上");
            pstmt.setInt(2, 26);
            pstmt.setString(3, "女");
            pstmt.setString(4, "香港");
            pstmt.setInt(5, 2);
            flag = pstmt.execute();
            
            if(flag) {
                System.out.print("資料新增成功");
            }
            
        } catch (ClassNotFoundException e) {
            // TODO Auto-generated catch block
            e.printStackTrace();
        } catch (SQLException e) {
            // TODO Auto-generated catch block
            e.printStackTrace();
        }finally {
            //釋放資源
            JDBCUtil.release(conn, pstmt);
        }
        
    }

修改資料

  

    @Test
    /**
     * 修改資料
     */
    public void update() {
        Connection conn = null;
        PreparedStatement pstmt = null;
        
        
        try {
            //連線資料
            conn = JDBCUtil.getConnection();
            //編寫sql
            String sql = "update emp set username=?,sex=? where id=?";
            //預處理sql
            pstmt = conn.prepareStatement(sql);
            
            //設定引數
            pstmt.setString(1, "小天");
            pstmt.setString(2, "男");
            pstmt.setInt(3, 7);
            
            //提交資料
            int num = pstmt.executeUpdate();
            if(num > 0) {
                System.out.println("資料修改成功");
            }
            
        } catch (ClassNotFoundException e) {
            // TODO Auto-generated catch block
            e.printStackTrace();
        } catch (SQLException e) {
            // TODO Auto-generated catch block
            e.printStackTrace();
        } finally {
            //釋放資源
            JDBCUtil.release(conn, pstmt);
        }
    }

查詢資料

  

    @Test
    /**
     * 查詢一條資料
     */
    public void first() {
        Connection conn = null;
        PreparedStatement pstmt = null;
        ResultSet rs = null;
        try {
            //連線資料
            conn = JDBCUtil.getConnection();
            //編寫
            String sql = "select id,username from emp where id=?";
            //預編譯
            pstmt = conn.prepareStatement(sql);
            //設定引數
            pstmt.setInt(1, 7);
            //查詢結果集
            rs = pstmt.executeQuery();
            if(rs.next()) {
                System.out.print(rs.getInt("id")+"----"+rs.getString("username"));
            }
            
        } catch (ClassNotFoundException | SQLException e) {
            // TODO Auto-generated catch block
            e.printStackTrace();
        }finally {
            JDBCUtil.release(conn, pstmt, rs);
        }
    }

相關推薦

SQL注入漏洞解決PreparedStetament

JDBCUtil 工具集 package com.imooc.jdbc.utils; import java.io.IOException; import java.io.InputStream;

SQL注入漏洞過程例項及解決方案

程式碼示例: public class JDBCDemo3 { public static void demo3_1(){ boolean flag=login(\"aaa\' OR \' \",\"1651561\");//若已知使用者名稱,用這種方式便可不用知道密碼就可登陸成功

Drupal<7.32“Drupalgeddon”SQL注入漏洞(CVE-2014-3704)

一、漏洞簡介 Drupal 是一款用量龐大的CMS,其7.0~7.31版本中存在一處無需認證的SQL漏洞。通過該漏洞,攻擊者可以執行任意SQL語句,插入、修改管理員資訊,甚至執行任意程式碼。

Web安全-Joomla核心SQL注入漏洞利用

實驗宣告:本實驗教程僅供研究學習使用,請勿用於非法用途,違者一律自行承擔所有風險!

SQL注入漏洞--報錯注入

報錯注入 報錯注入在沒法用union聯合查詢時用,但前提還是不能過濾一些關鍵的函式。

SQL注入漏洞--盲注和寬位元組注入

盲注是注入的一種,指的是在不知道資料庫返回值的情況下對資料中的內容進行猜測,實施SQL注入。盲注一般分為布林盲注和基於時間的盲注和報錯的盲注。

【從入門到放棄系列學習筆記8】web應用安全基礎整理-SQL注入漏洞利用

一、SQL簡介   結構化查詢語言(structured Query language),是一種特殊的程式語言,用於資料庫中的標準資料查詢。

Django GIS SQL注入漏洞復現(CVE-2020-9402)

漏洞概述: Django是Django基金會的一套基於Python語言的開源Web應用框架。該框架包括面向物件的對映器、檢視系統、模板系統等。 Django 1.11.29之前的1.11.x版本、2.2.11之前的2.2.x版本和3.0.4之前的3.0.x

vulhub漏洞復現-Django JSONField SQL注入漏洞復現 (CVE-2019-14234)

Django JSONField SQL注入漏洞復現 (CVE-2019-14234) 漏洞概述: Django通常搭配postgresql資料庫,而JSONField是該資料庫的一種資料型別。該漏洞的出現的原因在於Django中JSONField類的實現,Django的mode

基於機器學習的 SQL 注入漏洞挖掘技術的 分析與實現——論文研究學習

論文研究學習 總體介紹和概括 這篇文章,首先從介紹SQL注入的背景入手,這裡點到了產生原因、影響、攻擊型別和傳統的漏洞注入技術。然後提出基於機器學習的 SQL 注入漏洞挖掘方法,這裡的指的是利用S

可怕的漏洞SQL注入漏洞實戰演習

簡介 在owasp釋出的top10排行榜裡,注入漏洞一直是危害排名第一的漏洞,其中注入漏洞裡面首當其衝的就是資料庫注入漏洞(在最新的型別中:命令注入、程式碼注入、xss注入sql注入等已經合併統稱注入漏洞)。一個

徹底幹掉噁心的 SQL 注入漏洞, 一網打盡!

來源: b1ngz b1ngz.github.io/java-sql-injection-note/ 簡介 文章主要內容包括: Java 持久層技術/框架簡單介紹 不同場景/框架下易導致 SQL 注入的寫法 如何避免和修復 SQL 注入

Magento 2.2 SQL注入漏洞

技術標籤:WEB安全漏洞復現magento安全漏洞 宣告 好好學習,天天向上 漏洞描述 Magento(麥進鬥)是一款新的專業開源電子商務平臺,採用php進行開發,使用Zend Framework框架。設計得非常靈活,具有模組化架構體

SQL注入漏洞基礎拓展

文章目錄 一、SQL盲注 在有些情況下,應用查詢後臺使用了錯誤訊息遮蔽方法(比如@)遮蔽了報錯, 此時無法再根據報錯資訊來進行注入的判斷。 這種情況下的注入,稱為“盲注” 根據表現形式的不同,盲

HW常見攻擊方式 -- SQL注入漏洞

一、產生原因 程式碼與資料不區分。程式把使用者輸入的惡意內容傳入SQL語句中執行,導致SQL注入漏洞產生。

phpcms_v9.6.0 SQL注入漏洞分析

環境: phpstudy本地搭建phpcms apache2.4.39+php5.3.29+mysql8.0.12 漏洞影響版本: PHPCMS 9.6.0

mysql SQL注入攻擊 解決Orm工具Hibernate,Mybatis, MiniDao 的 sql 預編譯語句 ;解決非Orm工具JDBCTemplate的

sql 預編譯語句_牛客部落格 https://blog.nowcoder.net/n/198be55df4a4406d8eb9dc2482272061?from=nowcoder_improve

Java JDBC 控制檯使用者登入測試 及 登入存在SQL注入解決

實現功能: 1.使用者登入 2.java連線資料庫驗證,控制檯顯示成功或失敗 idea 新建java空專案,新建測試類LoginTest

4 個單詞,谷歌返回 16 個 SQL 注入漏洞...

文 | 局長 出品 | OSC開源社群(ID:oschina2013) 一名開發者出於好奇在 Google 使用php mysql email register作為關鍵詞進行了搜尋。很顯然,這是在查詢如何使用 PHP 和 MySQL 實現郵箱註冊的功能。

某團購CMS的SQL注入漏洞程式碼審計

0x00 SQL注入漏洞: 簡單介紹一下SQL語句:通俗來理解就是開發者盲目相信使用者,沒有嚴格檢查使用者輸入,導致使用者可以輸入惡意引數進入程式邏輯,最終拼接惡意引數改變原本的SQL語句邏輯,造成SQL注入漏洞