防止Java程序中的SQL注入攻击-PHP中文网问答

搜索

微信公众号

首页文章专题 AI工具学习编程手册下载最近更新

文章 web3.0 后端开发 web前端数据库开发工具 php框架常见问题科技 Java 系统教程电脑教程硬件教程手机教程软件教程游戏教程自媒体新闻

专题后端开发 web前端数据库开发工具 php框架科技 Java 系统教程电脑教程硬件教程手机教程软件教程游戏教程新闻

AI工具 AI 聊天问答 Agent智能体 AI 文本写作 AI 绘画作图 AI 设计工具 AI 视频创作 AI 音频制作 AI 办公学习 AI 编程开发 Prompt指令

学习大前端后端开发数据库移动端运维开发 UI设计计算机基础

编程手册大前端 JavaScript 后端开发数据库移动端运维开发 UI设计计算机基础 XML Web Services

下载 js特效网站源码工具下载类库下载网站素材学习资源插件扩展手机/移动开发手机游戏

最近更新

防止Java程序中的SQL注入攻击

P粉328911308 2023-10-20 20:06:17

[MySQL讨论组]

914

我必须向我的 java 程序添加一条语句来更新数据库表：

String insert =
    "INSERT INTO customer(name,address,email) VALUES('" + name + "','" + addre + "','" + email + "');";

我听说这可以通过 SQL 注入来利用，例如：

DROP TABLE customer;

我的程序有一个 Java GUI，所有名称、地址和电子邮件值均从 Jtextfields 检索。我想知道黑如何将以下代码（DROP TABLE customer;）添加到我的插入语句中以及如何防止这种情况。

P粉328911308

全部回复(2)

P粉1949190822023-10-21 12:11:28 2楼

例如：

name = "'); DROP TABLE customer; --"

会将此值插入到插入中：

INSERT INTO customer(name,address,email)     VALUES(''); DROP TABLE customer; --"','"+addre+"','"+email+"');

使用准备好的语句和 SQL 参数（来自 Matt Fellows 的“窃取”示例）：

String insert = "INSERT INTO customer(name,address,email) VALUES(?, ?, ?);";
PreparedStament ps = connection.prepareStatment(insert);

还要解析此类变量的值，并确保它们不包含任何不允许的字符（例如名称中的“;”）。

赞 +0

添加回复

P粉0304790542023-10-21 09:25:32 1楼

您需要使用PreparedStatement。例如

String insert = "INSERT INTO customer(name,address,email) VALUES(?, ?, ?);";
PreparedStatement ps = connection.prepareStatement(insert);
ps.setString(1, name);
ps.setString(2, addre);
ps.setString(3, email);

ResultSet rs = ps.executeQuery();

这将防止注入攻击。

黑客将其放入其中的方式是，如果您插入的字符串来自某处的输入 - 例如网页上的输入字段，或者应用程序或类似应用程序中表单上的输入字段。

赞 +0

添加回复

专题推荐

更多>

热门话题

热门教程

更多>