sql注入

使用PreparedStatement的参数化的查询可以阻止大部分的SQL注入。在使用参数化查询的情况下，数据库系统不会将参数的内容视为SQL指令的一部分来处理，而是在数据库完成SQL指令的编译后，才套用参数运行，因此就算参数中含有破坏性的指令，也不会被数据库所运行。因为对于参数化查询来说，查询SQL语句的格式是已经规定好了的，需要查的数据也设置好了，缺的只是具体的那几个数据而已。所以用户能提供的只是数据，而且只能按需提供，无法更进一步做出影响数据库的其他举动来。 来源： https://www.cnblogs.com/shenzhichipingguo/p/10032871.html

说明 越来越晕了，教程和代码示范来自黑马程序员。用了再看吧。 JDBC JDBC（Java数据库连接的接口）用于统一java代码操作各种数据库。（需要实现类，是数据库厂商提供jar包完成）。 步骤为，导入jar包（可以使用idea的右键添加到库），注册驱动，获取连接对象，定义sql，获取对象，执行语句，处理结果，释放资源。 Class.forName("com.mysql.jdbc.Driver");Connection conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/db3", "root", "root"); String sql = "update account set balance = 2000 where id = 1";Statement stmt = conn.createStatement(); int count = stmt.executeUpdate(sql);System.out.println(count);stmt.close();conn.close(); DriverManager :驱动管理对象，Connection :数据库连接对象，Statement :执行sql的对象，ResultSet :结果集对象，Preparedstatement :执行sql的对象

DVWA-SQL注入 DVWA是一个基于PHP和MySQL开发的漏洞测试平台 测试环境 应用程序: phpStudy(apache，php，mysql) 测试程序: firefox， new hacker， burpsuite，sqlmap，中国菜刀 一、 SQL注入 SQL 注入是指攻击者通过注入恶意的 SQL 命令，破坏 SQL 查询语句的结构，从而达到恶意 SQL 语句的目的。 二、 手工注入常规思路 1. 判断是否存在注入，注入是字符型还是数字型 2.猜解SQL查询语句中的字段数 3.确定回显位置 4.获取当前数据库 5.获取数据库中的表 6.获取表中的字段名 7.得到数据 三、DVWA注入分析 先将 DVWA 的级别设置为 LOW 1. 分析源码，可以看到没有对参数做任何的过滤，直接带入数据库进行查询，分析sql查询语句，可能存在字符型sq1注入 2. 判断 sql 是否存在注入，以及注入的类型。 1 ’ and ’ 1 ’ = ’ 1 3. 猜测 SQL 查询语句中的字段数， 1 ’ order by 1# 1 ’ order by 2# 1 ’ order by 3# 从上面两个图可以看出， SQL 语句查询的表字段数是 2 ，确定显示的位置（ SQL 语句查询之后的回显位置） 1 ’ union select 1,2# 从下图中可以看到有两个回显 查询当前的数据库

1. #将传入的数据都当成一个字符串，会对自动传入的数据加一个双引号。如：order by #user_id#，如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id，则解析成的sql为order by "id". 　　 2. $将传入的数据直接显示生成在sql中。如：order by $user_id$，如果传入的值是111,那么解析成sql时的值为order by user_id, 如果传入的值是id，则解析成的sql为order by id. 　　 3. #方式能够很大程度防止sql注入。 　　 4.$方式无法防止Sql注入。 5.$方式一般用于传入数据库对象，例如传入表名. 　　 6.一般能用#的就别用$. MyBatis排序时使用order by 动态参数时需要注意，用$而不是# 字符串替换 默认情况下，使用#{}格式的语法会导致MyBatis创建预处理语句属性并以它为背景设置安全的值（比如?）。这样做很安全，很迅速也是首选做法，有时你只是想直接在SQL语句中插入一个不改变的字符串。比如，像ORDER BY，你可以这样来使用： ORDER BY ${columnName} 这里MyBatis不会修改或转义字符串。 重要：接受从用户输出的内容并提供给语句中不变的字符串，这样做是不安全的。这会导致潜在的SQL注入攻击

选择开源核心组件的一个非常重要的考虑通常是社区活跃性，一旦项目团队无法进行自己后续维护和扩展的情况下更是如此。 至于为什么选择sharding-jdbc而不是Mycat，可以参考知乎讨论帖子https://www.zhihu.com/question/64709787。 还可以参考https://blog.csdn.net/u013898617/article/details/79615427。 关于分库分表和读写分离、主从 一般来说，需要分库分表的系统是流量比较大的，而且比较容易出现峰值的比如说打折/活动的时候；其次，当单机扛不住业务流量的时候，分库分表一定不是第一选择，在分库分表之前，应该先保证垂直拆分完成了，子系统内都是高内聚的，其次基于Master-Slave的读写分离或者模糊查询很多的，可能NoSQL比如elastic就引流去很大一部分了。当读写分离也做完了，主库只剩下关键业务逻辑之后，流量还是很高，这个时候才开始考虑分库分表。因为相对于读写分离、垂直拆分，分库分表对开发和运维的要求多得多，如果确定业务一两年内不会剧增的，盲目引入只会导致成本高昂（尤其是各种SQL限制）。 其次，分库分表会增加N倍的数据库服务器，一般来说是4的倍数，如果某个应用说要做分库分表，又只有两台机器，那完全就是凑热闹。 读写分离和分库分表应该来说是前后的两件事比较合理

1. #将传入的数据都当成一个字符串，会对自动传入的数据加一个双引号。如：order by #user_id#，如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id，则解析成的sql为order by "id". 　　 2. $将传入的数据直接显示生成在sql中。如：order by $user_id$，如果传入的值是111,那么解析成sql时的值为order by user_id, 如果传入的值是id，则解析成的sql为order by id. 　　 3. #方式能够很大程度防止sql注入。 　　 4.$方式无法防止Sql注入。 5.$方式一般用于传入数据库对象，例如传入表名. 　　 6.一般能用#的就别用$. MyBatis排序时使用order by 动态参数时需要注意，用$而不是# 字符串替换 默认情况下，使用#{}格式的语法会导致MyBatis创建预处理语句属性并以它为背景设置安全的值（比如?）。这样做很安全，很迅速也是首选做法，有时你只是想直接在SQL语句中插入一个不改变的字符串。比如，像ORDER BY，你可以这样来使用： ORDER BY ${columnName} 这里MyBatis不会修改或转义字符串。 重要：接受从用户输出的内容并提供给语句中不变的字符串，这样做是不安全的。这会导致潜在的SQL注入攻击

区别： （1）#将传入的数据都当成一个字符串，会对自动传入的数据加一个双引号。如：order by #user_id#，如果传入的值是id，则解析成的sql为order by "id"。 （2）$将传入的数据直接显示生成在sql中。如：order by $user_id$，如果传入的值是id，则解析成的sql为order by id。 （3）#方式在很大程度上能够防止sql注入。 （4）$方式无法防止sql注入。 （5）$方式一般用于传入数据库对象，例如传入表名。（ 这里得注意SQL注入问题 ） （6）一般能用#的就别用$。 ps:在使用mybatis中还遇到<![CDATA[]]>的用法，在该符号内的语句，将不会被当成字符串来处理，而是直接当成sql语句，比如要执行一个存储过程。 总结区别：#{} 传入值时，sql解析时，参数是带引号的，而${}穿入值，sql解析时，参数是不带引号的。 举个例子： select * from ${table_Name} where name = #{name} 在这个例子中，如果表名为 　　 user; delete user; -- 　　则动态解析之后 sql 如下： select * from user; delete user; -- where name = ?; --之后的语句被注释掉，而原本查询用户的语句变成了查询所有用户信息

一、什么是JDBC 1、概念 JDBC由一组用Java语言编写的类和接口组成，是Java和数据库之间的一个桥梁，是一个规范，而不是一个实现，能够执行SQL语句。 2、各种不同类型的数据库都有相应的实现 所有不同类型数据库的开发商依照这这种规范编写了相应Java代码以提供相应的操作数据库的方法。 3、关于数据库的执行流程 二、用JDBC访问MySQL 1、配置 （1）导入相关依赖 < ! -- https : / / mvnrepository . com / artifact / mysql / mysql - connector - java -- > < dependency > < groupId > mysql < / groupId > < artifactId > mysql - connector - java < / artifactId > < version > 5.1 .31 < / version > < / dependency > （2）参数配置 pro = new Properties ( ) ; try { //参数配置 pro . load ( new FileInputStream ( "D:\\db.properties" ) ) ; jdbcDriver = pro . getProperty ( "jdbcDriver" ) ;

#将传入的数据都当成一个字符串，会对自动传入的数据加一个双引号。如：order by #user_id#，如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id，则解析成的sql为order by "id". 　　 2. $将传入的数据直接显示生成在sql中。如：order by $user_id$，如果传入的值是111,那么解析成sql时的值为order by user_id, 如果传入的值是id，则解析成的sql为order by id. 　　 3. #方式能够很大程度防止sql注入。 　　 4.$方式无法防止Sql注入。 5.$方式一般用于传入 数据库 对象，例如传入表名. 　　 6.一般能用#的就别用$. MyBatis排序时使用order by 动态参数时需要注意，用$而不是# 字符串替换 默认情况下，使用#{}格式的语法会导致MyBatis创建预处理语句属性并以它为背景设置安全的值（比如?）。这样做很安全，很迅速也是首选做法，有时你只是想直接在SQL语句中插入一个不改变的字符串。比如，像ORDER BY，你可以这样来使用： ORDER BY ${columnName} 这里MyBatis不会修改或转义字符串。 重要：接受从用户输出的内容并提供给语句中不变的字符串，这样做是不安全的。这会导致潜在的SQL注入攻击

1.PreparedStatement是预编译的,对于批量处理可以大大提高效率. 也叫JDBC存储过程 2.使用 Statement 对象。在对数据库只执行一次性存取的时侯，用 Statement 对象进行处理。PreparedStatement 对象的开销比Statement大，对于一次性操作并不会带来额外的好处。 3.statement每次执行sql语句，相关数据库都要执行sql语句的编译，preparedstatement是预编译得, preparedstatement支持批处理 4. Code Fragment 1: String updateString = "UPDATE COFFEES SET SALES = 75 " + "WHERE COF_NAME LIKE ′Colombian′"; stmt.executeUpdate(updateString); Code Fragment 2: PreparedStatement updateSales = con.prepareStatement("UPDATE COFFEES SET SALES = ? WHERE COF_NAME LIKE ? "); updateSales.setInt(1, 75); updateSales.setString(2, "Colombian"); updateSales