在 Java 中防止 SQL 注入攻击(SQL Injection)的方法
2012-02-09 09:52
731 查看
SQL 注入(SQL Injection)是最常见的数据库攻击方式,和其它开发环境一样, Java 也提供了防止 SQL 注入攻击的方法。由于 JDBC 都是基于接口的设计,所以对于不同的数据库,代码基本一样,下面给出一个查询范例:
...
Connection conn = DriverManager.getConnection(url, user, password);
String query = "select * from table_user where user_name=?";
PreparedStatement preState = conn.prepareStatement(query);
preState.setString(1, "aaa");
ResultSet rs = preState.executeQuery();
...
在上面的这一段代码中,我们查询了表 table_user 中字段 user_name 为 "aaa" 的数据,由于采用了参数化查询的方式, JDBC 底层已经防止了 SQL 注入攻击。在 Java 中,对于所有的数据库,参数化查询的方式都和上面类似,区别在于数据库连接字符串。
连接 MySql 数据库,代码如下:
Class.forName("com.mysql.jdbc.Driver");
String url = "jdbc:mysql://127.0.0.1/myDatabase";
String user = "user";
String password = "password";
Connection conn = DriverManager.getConnection(url, user, password);
连接 oracle 数据库,代码如下:
Class.forName("oracle.jdbc.driver.OracleDriver");
String url = "jdbc:oracle:thin:@127.0.0.1:1521:myOracleSID";
String user = "user";
String password = "password";
Connection conn = DriverManager.getConnection(url, user, password);
连接 MS SQL Server 数据库,代码如下:
Class.forName("com.microsoft.jdbc.sqlserver.SQLServerDriver");
String url = "jdbc:microsoft:sqlserver://127.0.0.1:1433;DatabaseName=myDbName";
String user = "user";
String password = "password";
Connection conn = DriverManager.getConnection(url, user, password);
在上面的代码中,我们分别连接了 MySql, oracle, MS SQL Server 三种主流数据库。可以看到,在 JDBC 中,对于不同数据库的连接和查询功能的代码基本上相同,对于开发人员非常的友好。
...
Connection conn = DriverManager.getConnection(url, user, password);
String query = "select * from table_user where user_name=?";
PreparedStatement preState = conn.prepareStatement(query);
preState.setString(1, "aaa");
ResultSet rs = preState.executeQuery();
...
在上面的这一段代码中,我们查询了表 table_user 中字段 user_name 为 "aaa" 的数据,由于采用了参数化查询的方式, JDBC 底层已经防止了 SQL 注入攻击。在 Java 中,对于所有的数据库,参数化查询的方式都和上面类似,区别在于数据库连接字符串。
连接 MySql 数据库,代码如下:
Class.forName("com.mysql.jdbc.Driver");
String url = "jdbc:mysql://127.0.0.1/myDatabase";
String user = "user";
String password = "password";
Connection conn = DriverManager.getConnection(url, user, password);
连接 oracle 数据库,代码如下:
Class.forName("oracle.jdbc.driver.OracleDriver");
String url = "jdbc:oracle:thin:@127.0.0.1:1521:myOracleSID";
String user = "user";
String password = "password";
Connection conn = DriverManager.getConnection(url, user, password);
连接 MS SQL Server 数据库,代码如下:
Class.forName("com.microsoft.jdbc.sqlserver.SQLServerDriver");
String url = "jdbc:microsoft:sqlserver://127.0.0.1:1433;DatabaseName=myDbName";
String user = "user";
String password = "password";
Connection conn = DriverManager.getConnection(url, user, password);
在上面的代码中,我们分别连接了 MySql, oracle, MS SQL Server 三种主流数据库。可以看到,在 JDBC 中,对于不同数据库的连接和查询功能的代码基本上相同,对于开发人员非常的友好。
相关文章推荐
- 防止sql 注入攻击方法
- sql防止注入攻击的方法
- node.js sql 注入攻击防御方法 (sql Injection)
- 微软发布3款SQL Injection(SQL 注入)攻击检测工具
- 最近sql注入数据库被更改泛滥,以下提供一个.net程序防止sql注入的方法
- 简单高效防注入攻击的动态多参数、动态SQL语句拼接方法,提高网站的安全性
- C#和SQl 注入字符串的攻击 和 防止注入字符转的攻击
- java防止XSS(跨站脚本攻击)攻击的常用方法总结
- 简单高效防注入攻击的动态多参数、动态SQL语句拼接方法,提高网站的安全性
- java 防止SQL注入
- java使用jsp servlet来防止csrf 攻击的实现方法(二)
- JavaWeb开发防止SQL、XSS注入
- java 防止 XSS 攻击的常用方法总结
- 登录方法及防止sql注入
- java防止xss注入攻击
- java 防止 XSS 攻击的常用方法总结.
- 简单高效防注入攻击的动态多参数、动态SQL语句拼接方法,提高网站的安全性
- java 防止 XSS 攻击的常用方法总结
- java使用jsp servlet来防止csrf 攻击的实现方法
- 如何防止 PHP SQL 注入攻击