JavaWeb开发sql注入详细实例讲解

最新推荐文章于 2024-04-17 03:27:57 发布
最新推荐文章于 2024-04-17 03:27:57 发布
阅读量2.6k 收藏 7
点赞数 1
分类专栏: 数据库 文章标签: javaweb sql sql注入 数据库安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Boxzhang/article/details/82706085
版权

一、在数据库中插入一条用户记录

二、用mysql-connector-java-5.1.15-bin.jar连接数据库。

创建返回数据库conn连接的类Db

package com.mysql.zhang;
import java.sql.Connection;
import java.sql.DriverManager;
public class Db {	
private Db() {	
};
private static Connection conn=null;
public static Connection getConn() {
	try {
		String password="root";
		String user="root";
		String url="jdbc:mysql://localhost:3306/test";	
		Class.forName("com.mysql.jdbc.Driver");
		conn=DriverManager.getConnection(url, user, password);
	} catch (ClassNotFoundException e) {
		e.printStackTrace();
	} catch (Exception e) {	
		e.printStackTrace();
	}
	return conn;	
   }
}

测试类

package com.mysql.zhang;

import java.sql.Connection;
import java.sql.PreparedStatement;
public class Test {
public static void main(String[] args) throws Exception {
    Connection conn=Db.getConn();    
    String sql = "select *from user where name= 'shuibianxie' and password='or1=1'";  
    //name值可以随便写
    PreparedStatement pt=conn.prepareStatement(sql);
    System.out.println( "返回查询结果bool值:"+pt.execute());
    conn.close();
    }
}

三、String sql = "select *from user where name= 'shuibianxie' and password='or1=1'";  

由于数据库缺陷导致这条语句是恒等的,所以返回true。

试想想一下,如果一个人在用户登录页面表单中用户名随便输入

密码输入or1=1  并且你在服务器中拼接sql语句,依靠返回的boolean值( pt.execute() )判断用户是否登录成功。

那么就会导致不用数据库中存在的用户名+密码就能够登录成功。

 

上官绝岚
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java的SQL注入与XSS攻击
weixin_44976692的博客
01-15 2万+
通过了解和防范SQL注入和XSS攻击,我们能够提高Java应用的安全性,保护用户的信息免受威胁。大家好,欢迎来到本文!在Java开发中,安全问题一直备受关注,其中SQL注入和XSS攻击是两个常见的安全隐患。是一种攻击手段,通过在应用的用户输入中注入恶意的SQL代码,从而篡改、查询或者删除数据库中的数据。攻击者通过构造精巧的输入,使应用误认为这些输入是合法的SQL语句。**XSS攻击(跨站脚本攻击)**则是通过在Web页面中注入恶意脚本,使用户在浏览器上执行这些脚本,从而盗取用户信息或者执行一些恶意操作。
JavaWeb第五天
Prayer96的博客
02-19 142
JDBC 1、概念 JDBC(Java Database Connectivity) 概念   用Java语言操作数据库 本质   是官方(Sun公司)定义的一套操作所有关系型数据库的规则(接口),   不同的数据库厂商定义不同的接口实现类(数据库驱动)来实现这套接口,提供数据库驱动jar包   我们可以使用这套JDBC接口来编程,但实际上执行的代码是数据库驱动jar包中的实现类,   如接口Person 实现类Worker Person p = new Worker(); p.eat();使用接口对象调用
java开发api接口教程,SQL注入问题简介
最新发布
2401_83817392的博客
04-17 852
总体来说,如果你想转行从事程序员的工作,Java开发一定可以作为你的第一选择。但是不管你选择什么编程语言,提升自己的硬件实力才是拿高薪的唯一手段。如果你以这份学习路线来学习,你会有一个比较系统化的知识网络,也不至于把知识学习得很零散。我个人是完全不建议刚开始就看《Java编程思想》、《Java核心技术》这些书籍,看完你肯定会放弃学习。建议可以看一些视频来学习,当自己能上手再买这些书看又是非常有收获的事了。《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!
java web项目连接sql server数据库
qq_30347133的博客
01-10 8931
java web项目怎么连接sql server数据库 简单配置,还是与数据库的交互还是使用mybatis框架, 原理是一样的,连接sqlServer2008也需要驱动的。 改下配置jdbc的文件,然后把sqlserver驱动导入即可。 jdbc.properties: jdbc.driverClassName=com.microsoft.sqlserver.jdbc.SQLSe...
JavaWeb连接MySQL数据库最细图解
热门推荐
m0_67261762的博客
05-19 2万+
JavaWeb连接MySQL数据库的方式有很多,首先我们讲解JDBC的配置方法 一、JDBC的配置方法 1、什么是JDBC 什么是JDBC嘞?JDBC代表Java数据库连接(JavaDatabaseConnectivity),它是用于Java编程语言和数据库之间的数据库无关连接的标准Java API, 换句话说:JDBC是用于在Java语言编程中与数据库连接的API。 JDBC库包括通常与数据库使用相关,如下面提到的每个任务的API - 连接到数据库 创建SQL或MySQL语句 在数据库..
SQL注入专题
weixin_51276063的博客
09-04 1076
sql注入专题
sql注入思路(登录界面)和网络常用端口
u011975363的专栏
04-11 7363
当遇到如图的界面时,没有验证码,我们可以尝试以下几种方法进行SQL注入,以获得正确的登录账户和密码。 要搜索类似的页面可利用百度高级搜索语法:admin inurl:login.php/asp 注入的方法: 1、利用sqlmap (1)sqlmap 和burpsuite相结合,利用burpsuite捕获post数据包,保存为:packet.txt, 从用户名或者密码中任选一个...
javaweb 增删改查实例
01-31
在IT行业中,JavaWeb开发是构建企业级应用的重要技术之一,而MySQL则是一种广泛使用的开源关系型数据库管理系统。本教程将深入探讨如何结合两者实现数据的增删改查(CRUD)操作,这是任何Web应用的基本功能。我们将...
Java+sql孕婴网JavaWeb综合设计课程
04-22
本课程旨在通过实例讲解,使学习者掌握这两者的结合,以实现高效、安全的数据存储和交互。 1. **JavaWeb基础** - **Servlet与JSP**:作为JavaWeb开发的核心,Servlet负责处理HTTP请求,而JSP则用于生成动态网页...
JavaWeb应用与开发郭克华源代码
06-17
在实际项目中,还需要考虑安全性问题,如防止SQL注入、XSS攻击等,以及性能优化策略,如缓存机制、负载均衡等。 总的来说,这个压缩包提供的源代码涵盖了JavaWeb开发的多个方面,包括基础理论、核心技术以及实战...
JAVAWEB_(实例讲解)登陆程序实现
07-28
以上就是"JAVAWEB_实例讲解 登录程序实现"所涵盖的主要知识点。通过这个实例开发者可以学习到构建一个完整登录系统的各个步骤,理解前后端交互,以及如何处理与用户认证相关的各种问题。在实际开发中,还需要结合...
SQL注入实例讲解
03-29
通过一个实例讲解sql注入
JavaWeb整合开发综合实例源码
09-26
JavaWeb整合开发综合实例源码】是针对JavaWeb应用开发的一个重要学习资源,它包含了实际项目中的完整代码实现,通常用于辅助读者理解和实践书中所讲解的理论知识。这个源码包聚焦于一个具体的实例——电子商城系统...
SQL 注入攻击
icy_xm的专栏
01-13 885
一位客户让我们针对只有他们企业员工和顾客能使用的企业内网进行渗透测试。这是安全评估的一个部分,所以尽管我们之前没有使用过SQL注入来渗透网络,但对其概念也相当熟悉了。最后我们在这项任务中大获成功,现在来回顾一下这个过程的每一步,将它记录为一个案例。 “SQL注入”是一种利用未过滤/未审核用户输入的攻击方法(“缓存溢出”和这个不同),意思就是让应用运行本不应该运行的SQL代码。如果应用毫无防备地创
sql注入实例分析
weixin_30624825的博客
07-23 3433
什么是SQL注入攻击?引用百度百科的解释: sql注入_百度百科: 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执...
WEB-漏洞总结(sql注入详解)
qq_50643984的博客
03-24 1万+
SQL注入 sql注入分类 1.post注入,get注入,cookie注入,http头注入(可能user-agent存在注入) 2.数字型注入,字符型注入(类似一个int,一个chr) 3.盲注:布尔盲注,时间盲注 报错注入:利用报错函数,常见报错函数 ...
java专家之路(四)——Web安全之——SQL注入风险
softwareCraftsman
07-09 2997
简介: https://www.owasp.org/index.php/SQL_Injection SQL注入攻击(SQL Injection),简称注入攻击,是Web开发中最常见的一种安全漏洞。可以用它来从数据库获取敏感信息,或者利用数据库的特性执行添加用户,导出文件等一系列恶意操作,甚至有可能获取数据库乃至系统用户最高权限。 而造成SQL注入的原因是因为程序没有有效过滤用户的输入,使攻击...
Web安全实验:SQL注入
Study_2018的博客
10-31 376
一、实验要求 实验(2) 实验名称 SQL注入攻击 学时数 4时数 实验类型 V验证性 V设计性 □综合性 每组人数 2人 难度 中等 覆盖知识点 ...
java sql注入例子
nyhyn的专栏
04-14 4853
我着重强调几点:1、默认Statement和PreparedStatement,每次只能执行一条sql,对应mysql可以通过增加url参数&allowMultiQueries=true解决。2、mysql的注释,可以用#、"-- ",多行注释/* */。若使用"-- ",注意后面要有一个空格3、mysql的驱动已经修改为com.mysql.cj.jdbc.Driver,英文意思是之前的已...
采用JavawebSQL server开发电子商城的完整详细代码
05-30
抱歉,我无法提供完整详细的代码,因为这是一个非常复杂的项目,需要涉及到很多方面的知识和技能,而且代码的完整性和安全性也是非常重要的。...同时,也可以通过阅读相关书籍和教程来学习JavawebSQL server的开发

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值