Java使用JDBC开发 之 SQL注入攻击和解决方案

于 2024-08-22 21:31:23 发布
阅读量675 收藏 9
点赞数 25
文章标签: java sql 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_85958150/article/details/141438526
版权

一、注入攻击

======

在用户登录的时候,我们往往需要输入账号和密码,通过账号和密码和数据库中保存的账号密码进行匹配,匹配成功则登录成功,但是在匹配的时候会存在注入攻击的安全隐患,在输入账号和密码的时候,在末尾加上 “or” 再接上任何为真的语句,这样一来,有真就为真,这样也能登录成功。

现有 mylogon 数据库,里面有 users 数据表,存储了账号和密码,使用Java通过JDBC操作数据库来模拟一下注入攻击:

public static void main(String[] args) throws ClassNotFoundException, SQLException {

//1.注册驱动 反射技术,将驱动类加入到内容

Class.forName(“com.mysql.jdbc.Driver”);

//2.获得数据库连接 DriverManager类中静态方法

//static Connection getConnection(String url, String user, String password)

//返回值是Connection接口的实现类,在mysql驱动程序

//url: 数据库地址 jdbc:mysql://连接主机IP:端口号//数据库名字

String url = “jdbc:mysql://localhost:3306/mylogon”;

String username = “root”;

String password = “123456”;

Connection con = DriverManager.getConnection(url,username,password);

//3.获得语句执行平台

//Statement createStatement() 获取Statement对象,将SQL语句发送到数据库

Statement stat = con.createStatement();

//4.从控制台输入用户名和密码

Scanner sc = new Scanner(System.in);

String user = sc.nextLine();

String key = sc.nextLine();

//String sql1 = “select * from users where username=‘qwer’ and password=‘1234535’ or 1=1”;

String sql2 = “select * from users where username='”+ user +“‘and password=’”+ key +“'”;

System.out.println(sql2);

ResultSet res = stat.executeQuery(sql2);

while (res.next())

{

System.out.println(res.getString(“username”) + " " + res.getString(“password”));

}

con.close();

res.close();

stat.close();

}

当从控制台输入正确的账号和密码时,可以登录成功,但当输入任意账号和密码后,在密码后面加上 ‘or’ 1=1,也能够登录成功,这样就存在安全隐患

二、注入攻击解决方案

==========

可以使用 PrearedStatement 来解决注入攻击的问题,在Statement 接口的子接口中,有一个 PrearedStatement 接口,可以使 SQL 预编译存储,多次高效地执行 SQL,并能防止注入攻击。使用PreparedStatement pst =  con.prepareStatement(sql):调用Connection接口的方法prepareStatement,获取PrepareStatement接口的实现类

  1. 执行SQL语句,数据表,查询用户名和密码,如果存在,登录成功,不存在登录失败

  2. 调用Connection接口的方法prepareStatement,获取PrepareStatement接口的实现类

  3. 调用PreparedStatement对象set方法,设置问号占位符上的参数

  4. 调用方法,执行SQL,获取结果集

public static void main(String[] args) throws SQLException, ClassNotFoundException {

//1.注册驱动 反射技术,将驱动类加入到内容

Class.forName(“com.mysql.jdbc.Driver”);

//2.获得数据库连接 DriverManager类中静态方法

//static Connection getConnection(String url, String user, String password)

//返回值是Connection接口的实现类,在mysql驱动程序

//url: 数据库地址 jdbc:mysql://连接主机IP:端口号//数据库名字

String url = “jdbc:mysql://localhost:3306/mylogon”;

String username = “root”;

String password = “123456”;

Connection con = DriverManager.getConnection(url,username,password);

2401_85958150
关注
JDBC-SQL注入攻击问题及解决方案
Fly_Fly_Zhang的博客
07-07 774
什么是SQL注入: 由于dao层中执行的SQL语句是拼接出来的,其中一部分内容是用户从用户端输入的,当传入数据包含SQL关键字时,就有可能通过这些关键字来改变SQL的语义,从而执行一些特殊的操作,这就称为SQL注入问题。 SQL注入攻击演示: 首先我们创建一张用户表,里面包含用户名和密码。 mysql> select * from user; +----------+----------+ ...
SQL注入安全问题解决方案-JAVA
11-25
SQL注入安全问题解决方案-JAVA SQL注入安全问题解决方案-JAVA
Java使用JDBC开发SQL注入攻击解决方案,linux应用开发面试题
m0_64383449的博客
12-08 639
public static void main(String[] args) throws ClassNotFoundException, SQLException { //1.注册驱动 反射技术,将驱动类加入到内容 Class.forName(“com.mysql.jdbc.Driver”); //2.获得数据库连接 DriverManager类中静态方法 //static Connection getConnection(String url, String user, String password
Java程序员从笨鸟到菜鸟之(一百零二)sql注入攻击详解(三)sql注入解决办法...
红太阳照大地
11-05 868
在前面的博客中,我们详细介绍了: sql注入攻击详解(二)sql注入过程详解 sql注入攻击详解(一)sql注入原理详解 我们了解了sql注入原理和sql注入过程,今天我们就来了解一下sql注入解决办法。怎么来解决和防范sql注入,由于本人主要是搞javaweb开发的小程序员,所以这里我只讲一下有关于javaweb的防止办法。其实对于其他的,思路基本相似。下面我们先...
java JDBC Sql注入攻击
feixde的博客
06-03 295
查询: sql注入攻击和PreparedStatement: 其实本质就是PreparedStatement会对参数中的特殊字符进行转义处理,而不是直接拼接。它使用一个?占位,代表一个参数。在设置参数时,如果参数是字符串,拼接sql语句时会自动为字符串加上引号以此表明这是一个字符串,同时对参数内自带的特殊符号会进行转义处理。...
JDBCSQL注入攻击
qq_45061361的博客
06-05 681
SQL注入问题1、SQL注入原理1.1 SQL注入攻击:1.2 SQL注入案例1.3 SQL注入分析2、如何处理SQL注入问题2.1 PreparedStatement预编译的机制2.2 PreparedStatement的优点2.3 PerparedStatement的使用3、SQL防注入案例 1、SQL注入原理 1.1 SQL注入攻击: 上一篇文章所使用到的SQL语句是拼接出来的,其中有一部分内容是由用户从客户端传入,所以当用户传入的数据中包含sql关键字时,就有可能通过这些关键字改变sql语句的语义,
SQL注入漏洞过程实例及解决方案
12-14
这个修改后的查询语句总是返回至少一条记录,即使密码错误,用户也可以成功登录,这就是SQL注入攻击的后果。 为了解决这个问题,应当避免直接拼接SQL字符串。推荐使用预编译的`PreparedStatement`,它可以有效防止...
JDBC如何有效防止SQL注入
12-14
开发人员进行安全编码教育,使他们了解SQL注入的危害和预防措施。 总的来说,防止SQL注入的关键在于对用户输入的严格管理和控制,以及在数据库访问层面上采用安全的编程实践。结合这些方法,可以显著降低SQL注入...
SQL注入原理与解决方法代码示例
09-09
- **预编译语句(PreparedStatement)**:JavaJDBC提供预编译语句接口,可以有效地防止SQL注入。预编译语句将查询模板与用户输入分开,确保用户输入的数据不会被解释为SQL代码。例如: ```java String query = ...
使用JdbcTemplate解决SQL注入问题
m0_74582314的博客
04-22 1623
int affected =jdbcTemplate.update(sql, 11, "红孩儿 11", "红色头更大了");String sql = "INSERT INTO monster VALUES(10, '红孩儿', '红色头大')";方式一存在sql注入的问题,使用方式二绑定参数的形式可有效解决sql注入问题。
Java模拟SQL注入问题及解决方案
毫无感情的吃瓜群众的博客
02-01 717
Java模拟SQL注入问题及解决方案
JAVA】如何解决SQL注入
热门推荐
阳阳的博客
11-02 1万+
如何解决SQL注入? 面试中经常问到,SQL注入是什么?又怎么防止SQL注入?为了不再尴尬得只回答出使用PreparedStatement,我们还是有必要了解一下其他的方式。 一、什么是SQL注入? 说简单点,就是部分用户在表单中输入sql语句的片段,对没有输入检验的网站可能带来毁灭性的打击,轻则绕过登录,重则...
JavaSQL注入的防范与解决方法
hymua的博客
02-05 1489
SQL注入是一种常见而危险的安全漏洞,但通过采取适当的防范措施,可以有效地保护应用程序免受这种类型的攻击。在编写Java应用程序时,遵循上述的最佳实践是确保数据库安全的关键步骤。通过使用预编译语句、ORM框架、输入验证和过滤以及最小化数据库权限,可以显著提高应用程序的安全性,保护用户的数据不受损害。
Java-Sql注入以及如何解决
最新发布
ngczx的博客
07-08 362
Javasql注入
关于java程序SQL注入的解析以及解决方法
lvkemitu的博客
06-04 924
SQL注入的解析: SQL注入解决方法
Java应用开发中的SQL注入攻击
weixin_33963189的博客
09-17 153
1. 什么是SQL注入攻击SQL注入攻击是黑客对数据库进行攻击的常用手段之一。随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员越来越多。但是由于程序员的水平及经验参差不齐,相当一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得他想得知的数据,这就是所谓的SQL Injection. ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值