关于防止SQL注入的理解,提高系统安全性(学以致用)

最新推荐文章于 2021-10-25 17:12:58 发布
最新推荐文章于 2021-10-25 17:12:58 发布
阅读量3.2k 收藏 2
点赞数 7
分类专栏: JAVA
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cselmu9/article/details/7852802
版权
这篇文章讲述的是关于SQL注入的问题,防止非法进入系统,提高系统安全性。

在开发项目的过程中,登录是几乎所有的系统都必须具备的功能,但是有的系统在开发的时候可能就没有注意到SQL注入的情况,导致用户非法登录系统。为了让用户登录确保都是系统的合法用户,那么就得防止非法用户进行SQL注入进入系统。

下面先来看一下下面这样两种登录系统的方式吧:

方式一:

登录查询数据库java代码:

/**
	 * 通过用户代码和密码查询数据库进行判断是否登录成功
	 * @param userId
	 * @param password
	 * @return
	 */
	public boolean login(String userId,String password){
		boolean flag = false; 
		String sql = "select * from t_user where user_id='"+userId+"' and password='" + password+"'"; 
		System.out.println(sql);
		Connection conn = null;
		Statement stmt = null;
		ResultSet rs = null;
		try {
			conn = DbUtil.getConnection();
			stmt = conn.createStatement(); 
			rs = stmt.executeQuery(sql);
			if (rs.next()) { 
				flag = true;
			}
		} catch (SQLException e) {
			e.printStackTrace();
		} finally { 
			DbUtil.close(stmt);// 关闭prepareStatementd对象
			DbUtil.close(conn);// 关闭数据库连接
		}
		return flag;
	}
登录端的jsp页面中的java代码如下: 

String command = request.getParameter("command");
	if ("login".equals(command)) {
		String userId = request.getParameter("userId");
		String password = request.getParameter("password"); 
	
		//演示SQL注入----begin
		boolean success = UserManager.getInstance().login(userId, password);
		if (success) {
			response.sendRedirect(request.getContextPath() + "/main.jsp");
		}
		//演示SQL注入----end	
	}
方式二: 
/**
	 * 先通过用户代码查出用户信息,然后判断密码是否正确 
	 * @param userId
	 * @param password
	 * @return
	 */  
 	public User login(String userId,String password){
		User user = findUserById(userId); 
		if(user==null){
			throw new UserNotFoundException("用户代码不存在");//这是自定义的异常类,继承了RuntimeException
		}
		if(!user.getPassword().equals(password)){
			throw new PasswordNotCorrectException("用户名或密码不正确");//这是自定义的异常类,继承了RuntimeException
		}
		return user;
	}
/**
     * 根据用户ID查找用户
     * 
     * @param userId
     * @return
     */
    public User findUserById(String userId) {
        User user = null;
        String sql = "select user_name,password,contact_tel,email,create_date from t_user where user_id=?";
        Connection conn = null;
        PreparedStatement pstmt = null;
        ResultSet rs = null;
        try {
            conn = DbUtil.getConnection();
            pstmt = conn.prepareStatement(sql);
            pstmt.setString(1, userId);
            rs = pstmt.executeQuery();
            if (rs.next()) {
                user = new User();
                user.setUserId(userId);
                user.setUserName(rs.getString(1));
                user.setPassword(rs.getString(2));
                user.setContactTel(rs.getString(3));
                user.setEmail(rs.getString(4));
                user.setCreateDate(rs.getTimestamp(5));
            }
        } catch (SQLException e) {
            // TODO Auto-generated catch block
            e.printStackTrace();
        } finally {
            DbUtil.close(conn);// 关闭数据库连接
            DbUtil.close(pstmt);// 关闭prepareStatementd对象
        }
        return user;
    }

登录端的jsp页面中的java代码如下: 
String command = request.getParameter("command");
	if ("login".equals(command)) {
		String userId = request.getParameter("userId");
		String password = request.getParameter("password");

		try {
			User user = UserManager.getInstance().login(userId, password);			 
			//将用户信息设置到session中
			session.setAttribute("user_info", user);	 		
			//重定向到主控页面
			response.sendRedirect(request.getContextPath() + "/main.jsp");
		}catch(UserNotFoundException e) {
			out.println("<script>alert('"+e.getMessage()+"')</script>");
		}catch(PasswordNotCorrectException e) {
			out.println("<script>alert('"+e.getMessage()+"')</script>");
		}
       }

上面分别使用了两种方式来进行登录操作,登录其实就是查询数据库中的用户信息,并进行用户合法性的验证,两种方式按照正常的方式都能登录(即用户有合法的用户代码和密码)。但是对于第一种情况的的话,用户可以不是用合法的用户信息就能进行登录,也就是说用户可以进行SQL的注入使其达到登录系统的目的。

谈到SQL注入,那是怎样的一个注入法呢?

对于第一种情况,不管是对用户代码还是密码,可以写这样的语句进行登录,比如密码吧,随便乱写一个用户名 ,然后写下面这样的SQL语句作为密码,然后进行登录:

比如:用户代码为:yyyyy,用做密码的SQL语句:

1' OR '1'='1

此时查询数据库的SQL语句实际上为:

select * from t_user where user_id='yyyyy' and password='1' OR '1'='1'

使用该语句查询数据库,肯定是可以查询到结果的,如果判断不合理的话就会出现安全性问题,上面的第一种实现方式如果使用刚才的SQL注入就会随意的登录系统,导致不安全的问题产生。

所以在编写用户登录的时候需要注意防止SQL注入的情况,你注意到了吗?如果没有就好好看一下吧。




mlinge-奋斗吧
关注
  • 7
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 8
    评论
专栏目录
Mybatis XML中 # 和 $ 哪个可以防止SQL注入
崔向阳@李晓的博客
05-22 879
SQL注入是常见的SQL安全问题,防止SQL注入的方式有很多: JDBC方式查询,我们可以利用PreparedStatement,这样不光能提升查询效率,而且他的set方法已经为我们处理好了sql注入的问题。 ibernate方式查询,我们利用name:parameter方式查询。 在查询方法中检查sql,将非法字符,导致sql注入的字符串,过滤掉或者转化。 在页面中限制,我们通过js设置,不让用户输入非法字符。 拦截请求的每一个参数,并将这个参数的非法字符转化。 SQL注入是通过把SQL命令插.
5种方法防止 jsp被sql注入
收集盒 Book box
09-22 6300
一、 SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 ===========================================
MyBatis 面试题 001 - 010
明月燃雨
12-06 189
001、#{} 和 ${} 的区别是什么? 本质区别:#{} 是预编译处理,可以有效地防止 sql 注入,提高系统安全性;${} 是静态文本替换,无法防止 sql 注入。 在 MyBatis 中,#{} 就是对 JDBC 中的 PrepareStatement 对象进行的封装处理,在处理 #{} 时,会将 sql 中的 #{} 替换为 ? 号,然后使用 PreparedStatement 对象的 set 方法来赋值;${} 就是对 Statement 对象进行的封装处理,而在处理 ${} 时,会直接把 $
为什么#{}可以有效的防止SQL注入
weixin_40939471的博客
07-29 7041
在数据库操作中都会有sql语句,而这个sql语句是String类型的,如果用+来拼接,表示的是直接操作这个String类型的字符串,这是改变了sql的具体内容了 如果用#{id},表示的是操作字改变里面字段的参数值。 用+拼接的:"select*fromuserwherecode="+code+"andpassword="+password; 那么c...
#{}和${}的区别
m0_53611007的博客
10-25 1万+
在使用mybatis的时候我们会使用到#{}和${}这两个符号来为sql语句传参数 那么这两者有什么区别呢? 1.#{}是预编译处理,是占位符,${}是字符串替换,是拼接符 2.Mybatis在处理#{}的时候会将sql中的#{}替换成?号,调用PreparedStatement来赋值 3.Mybatis在处理${}的时候就是把${}替换成变量的值,调用Statement来赋值 4.#{}的变量替换是在DBMS中、变量替换后,#{}对应的变量自动加上单引号 5.${}的变量替换是在DBMS外、变
C# MVC 过滤器防止SQL注入
09-15
C# MVC 过滤器防止SQL注入
使用Python防止SQL注入攻击的实现示例
09-16
主要介绍了使用Python防止SQL注入攻击的实现示例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
有效防止SQL注入的5种方法总结
09-09
SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的...下面这篇文章主要给大家介绍了关于防止SQL注入的5种方法,教大家有效的防止sql注入,需要的朋友可以参考学习。
mybatis防止SQL注入的方法实例详解
08-27
SQL注入是一种很简单的攻击手段,但直到今天仍然十分常见。那么mybatis是如何防止SQL注入的呢?下面脚本之家小编给大家带来了实例代码,需要的朋友参考下吧
Python中防止sql注入的方法详解
09-21
SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无...下面这篇文章主要给大家介绍了关于Python中防止sql注入的方法,需要的朋友可以参考下。
【面试】Mybatis常见面试题总结(收集于网络)
fcvtb的博客
04-08 2382
1、什么是Mybatis? mybatis是一个半ORM(对象关系映射)框架,它内部封装了JDBC,开发只需关注SQL语句本身,不需要花费时间去处理加载驱动,创建连接,创建statement对象等繁琐过程。直接编写原生态SQL,执行。 mybatis可以使用XML或者注解的形式来配置和映射原生信息,将POJO映射成数据库中的记录,避免了几乎所有的JDBC代码和手动设置参数以及获取结果集。 通...
sql语句注入漏洞及预防
hscvip的博客
01-22 1142
sql语句注入漏洞及预防 1,一般书写sql查询语句的时候可以这么写: Select  count(1) from user where username=’zs’ andpwd=’123’ 比如说我要进行登录操作:正常情况输入:zs  123就可以登录,但是当我在用户名中输入:‘or 1=1# 的时候,密码输什么都可以,因为此时的sql语句就成为下面这样: Select  c
#{}与${}的区别
热门推荐
q_all_is_well的博客
08-10 1万+
经常碰到这样的面试题目:#{}和${}的区别是什么? 网上的答案是:#{}是预编译处理,{}是字符串替换。mybatis在处理#{}时,会将sql中的#{}替换为?号,调用PreparedStatement的set方法来赋值;mybatis在处理{}是字符串替换。mybatis在处理#{}时,会将sql中的#{}替换为?号,调用PreparedStatement的set方法来赋值;mybatis...
面试汇总:#和$,为什么#能够防止SQL注入
m0_37627053的博客
06-05 4751
#相当于对数据 加上 双引号,$相当于直接显示数据1. #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。2.$将传入的数据直接显示生成在sql中。MyBatis排序时使用order by 动态参数时需要注意,用$而不是#字符串替换默认情况下,使用#{}格式的语法会导致MyBatis创建预处理语句属性并以它为背景设置安全的值(比如?)。这样做很安全,很迅速也是首选做法,有时你只是想直...
防止SQL注入安全性解决方案
weixin_30527423的博客
05-26 133
1.SQL注入了解及防范防SQL注入攻击2.解决方案因为项目中采用的是查询适配器方式,对输入的查询值,只有字符串值才有可能受到注入攻击(int等查询值,正常情况下在外界无人为攻击输入接口),所以我们只需要对查询条件中的字符型值的单引号(’)进行处理,方案如下所述。2.1单引用(’)2.1.1对采用Filter传入查询条件的在查询适配器中是用ToQueryFilterString方法生成SQL条...
sql防止sql注入
最新发布
08-22
在SQL中,可以采取以下措施来防止SQL注入攻击: 1. 使用参数化查询(Prepared Statements):这种方法通过将查询参数化,而不是直接将用户输入的值嵌入到查询语句中,来防止注入攻击。参数化查询使用占位符来表示...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值