


Comment PreparedStatements en Java peut-il prévenir les vulnérabilités d'injection SQL ?
Jan 06, 2025 am 08:51 AM<h2>Atténuation des vulnérabilités d'injection SQL dans Java</h2>
Pour résoudre le problème de sécurité lié à la mise à jour des tables de base de données avec une entrée utilisateur non fiable, nous devons empêcher Attaques par injection SQL. L'injection SQL se produit lorsqu'un code malveillant est intégré dans les données fournies par l'utilisateur et exécuté dans le cadre d'une requête SQL.
Dans l'extrait de code donné :
String insert = "INSERT INTO customer(name,address,email) VALUES('" + name + "','" + addre + "','" + email + "');";
Les valeurs nom, adresse et l'e-mail provient de la saisie de l'utilisateur. Un attaquant pourrait exploiter cela en incluant du code malveillant, tel que DROP TABLE customer;, dans ces valeurs.
<h3>Utilisation de PreparedStatements pour la désinfection des entrées</h3>
Pour empêcher l'injection SQL , il est crucial d'utiliser la classe PreparedStatement de Java. Cette classe sépare la construction de requêtes de la définition des paramètres, empêchant ainsi l'inclusion directe de codes malveillants dans la requête.
String insert = "INSERT INTO customer(name,address,email) VALUES(?, ?, ?);"; PreparedStatement ps = connection.prepareStatement(insert); ps.setString(1, name); ps.setString(2, addre); ps.setString(3, email); ResultSet rs = ps.executeQuery();
En utilisant PreparedStatement, les valeurs fournies par l'utilisateur sont définies en tant que paramètres au lieu d'être ajoutées à la chaîne de requête. . De cette façon, ils sont traités comme des données et ne peuvent pas être exécutés comme du code malveillant.
<h3>Prévenir l'injection SQL dans les applications GUI</h3>
Dans le contexte d'une interface graphique Java où la saisie de l'utilisateur provient de JTextFields, le même principe s'applique. Les valeurs saisies dans ces champs doivent être transmises aux paramètres PreparedStatement pour une exécution en toute sécurité.
En mettant en œuvre cette pratique, vous pouvez atténuer efficacement les attaques par injection SQL et assurer la sécurité de votre application.
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!

Article chaud

Outils chauds Tags

Article chaud

Tags d'article chaud

Bloc-notes++7.3.1
Éditeur de code facile à utiliser et gratuit

SublimeText3 version chinoise
Version chinoise, très simple à utiliser

Envoyer Studio 13.0.1
Puissant environnement de développement intégré PHP

Dreamweaver CS6
Outils de développement Web visuel

SublimeText3 version Mac
Logiciel d'édition de code au niveau de Dieu (SublimeText3)

Sujets chauds

Réduisez l'utilisation de la mémoire MySQL dans Docker

Comment modifier une table dans MySQL en utilisant l'instruction ALTER TABLE?

Comment résoudre le problème de MySQL ne peut pas ouvrir la bibliothèque partagée

Exécutez MySQL dans Linux (avec / sans conteneur Podman avec phpmyadmin)

Exécuter plusieurs versions MySQL sur macOS: un guide étape par étape

Comment sécuriser MySQL contre les vulnérabilités communes (injection SQL, attaques par force brute)?

Comment configurer le cryptage SSL / TLS pour les connexions MySQL?
