SQL注入问题

最新推荐文章于 2024-09-06 21:00:16 发布
最新推荐文章于 2024-09-06 21:00:16 发布
阅读量97 收藏
点赞数
分类专栏: JDBC 文章标签: jdbc mysql sql java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/GiantApe/article/details/109007427
版权

SQL注入问题

SQL注入攻击:

  • SQL注入攻击是指利用SQL漏洞越权获取数据的黑客行为
  • SQL注入攻击根源是为对原始SQL中的敏感字符作特殊处理
  • 解决方法:放弃Statement改用PreparedStatement处理SQL

实例代码:

package com.imooc.jdbc.hrapp.command;

import java.sql.*;
import java.util.Scanner;

/**
 * @author CubeMonkey
 * @create 2020-10-09 13:59
 */
public class QueryCommand implements Command {
    @Override
    public void execute() {
        System.out.println("请输入部门名称:");
        Scanner in = new Scanner(System.in);
        String pdname = in.nextLine();
        Connection connection = null;
        Statement stmt = null;
        ResultSet rs = null;
        try {
            //1.加载并注册JDBC驱动
            Class.forName("com.mysql.cj.jdbc.Driver");
            String url = "jdbc:mysql://localhost:3306/imooc?useSSL=false&useUnicode=true&characterEncoding=UTF-8&serverTimezone=Asia/Shanghai&allowPublicKeyRetrieval=true";
            String username = "root";
            String password = "root";
            //2.创建数据库连接
            connection = DriverManager.getConnection(url, username, password);
            //创建Statement对象
            stmt = connection.createStatement();
            //结果集
            rs = stmt.executeQuery("select * from employee where dname = '" + pdname + "'");
            System.out.println("select * from employee where dname = '" + pdname + "'");
            //4.遍历查询结果
            /**
             * rs.next()返回布尔值,代表是否存在下一条记录
             * 如果有,返回true,同时结果集提取下一条记录
             * 如果没有,返回false,循环停止
             */
            while(rs.next()){
                int eno = rs.getInt("eno");
                String ename = rs.getString("ename");
                float salary = rs.getFloat("salary");
                String dname = rs.getString("dname");
                System.out.println(dname + "-" + eno + "-" + ename + "-" +salary);
            }
        } catch (ClassNotFoundException e) {
            e.printStackTrace();
        } catch (SQLException e) {
            e.printStackTrace();
        } finally {
            //5.关闭连接,释放资源
            if (rs != null){
                try {
                    rs.close();
                } catch (SQLException e) {
                    e.printStackTrace();
                }
            }
            if (stmt != null){
                try {
                    stmt.close();
                } catch (SQLException e) {
                    e.printStackTrace();
                }
            }
            try {
                if (connection != null && !connection.isClosed()){
                    connection.close();
                }
            } catch (SQLException e) {
                e.printStackTrace();
            }
        }
    }
}

执行结果:

在这里插入图片描述

案例原理:

​ 再输入’ or 1=1 or 1=‘后,查询的语句就变成了select * from employee where dname = ‘’ or 1=1 or 1=’’ ,这里的where条件dname = “” or 1 = 1 or 1 = ""是很成立的,所以再查询的结果中会输出所有的信息。出现这种情况的根本原因在于没有对单引号这样的特殊字符进行处理,单引号会作为sql语句的一部分出现,MySQL也会对其进行解析

Rex·Lin
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
JAVA高级】——吃透JDBC中的SQL注入问题和解决方案
不迁怒,不贰过。小知识,大智慧。
10-26 1万+
吃透JDBC中的SQL注入问题和解决方案
.NET数据库操作简单化组件
xxfaxy的专栏
12-16 1252
组件参考手册:使用范例:sql_execute方法使用参考.aspxcall db.sql_execute("delete from zc_table where id=5")%>sql_insert方法使用参考.aspxdim ht as new hashtable()ht.item("zc_name")="测试"ht.item("zc_sex")="男"ht.item("zc_age")="100"call db.sql_insert("zc_table",ht)%>sql_select方法使用参考.a
ASP.NET简单应用
johncools的博客
12-11 968
连接数据库  打开连接string connstr=System.Configuration.ConfigurationSettings.AppSettings["sqllink"];SqlConnection conn=new SqlConnection(connstr);conn.Open();添加DataGridSqlDataAdapter dr=new SqlDataAdapter(sql
sql注入详解
热门推荐
越努力 越自由
05-05 20万+
SQL注入SQL Injection)是一种常见的Web安全漏洞,主要形成的原因是在数据交互中,前端的数据传入到后台处理时,没有做严格的判断,导致其传入的“数据”拼接到SQL语句中后,被当作SQL语句的一部分执行。 从而导致数据库受损(被脱库、被删除、甚至整个服务器权限陷)。 即:注入产生的原因是后台服务器接收相关参数未经过滤直接带入数据库查询...
解决SQL注入问题
heliuerya的博客
01-23 1396
解决SQL注入问题
MyBatis-sql注入问题
java123456111的博客
03-18 7168
MyBatis sql注入问题 1、什么是SQL注入? ​ SQL注入攻击,简称SQL攻击或注入攻击,是发生于应用程序之数据库层的安全漏洞。简而言之,是在输入的字符串之中注入SQL指令,在设计不良的程序当中忽略了检查,那么这些注入进去的指令就会被数据库服务器误认为是正常的SQL指令而运行,因此遭到破坏或是入侵。 最常见的就是我们在应用程序中使用字符串联结方式组合 SQL 指令,有心之人就会写一些特殊的符号,恶意篡改原本的 SQL 语法的作用,达到注入攻击的目的。 举个栗子: 比如验证用户登录需要 user
SQL注入问题与解决
cppppt的博客
03-10 2061
sqL注入安全问题; 由于传入的参数在拼接sqL语句时,其中注入了sqL能执行的指令作为参数导致执行的结果数据不正确,这种状况称为sqL注入安全问题
SQL注入】关于GORM的SQL注入问题
面向生活编程
09-03 3237
所以说我们要避免使用字符串直接拼接的形式来进行SQL的查询。
使用JdbcTemplate解决SQL注入问题
m0_74582314的博客
04-22 1535
int affected =jdbcTemplate.update(sql, 11, "红孩儿 11", "红色头更大了");String sql = "INSERT INTO monster VALUES(10, '红孩儿', '红色头大')";方式一存在sql注入问题,使用方式二绑定参数的形式可有效解决sql注入问题
pymysql如何解决sql注入问题深入讲解
09-09
在Python的pymysql库中,处理SQL注入问题至关重要,因为如果不加以防范,可能会导致敏感数据泄露或系统破坏。本文将深入讲解如何使用pymysql有效地解决SQL注入问题。 首先,理解SQL注入的根本原因。当使用动态字符...
一次sql注入问题的筛查报告 ,主要 是sql 注入的问题
05-10
以下是对"一次SQL注入问题的筛查报告"的详细分析和相关知识点的介绍: 一、SQL注入的基础知识 1. SQL注入原理:当用户输入的数据未经处理就直接拼接到SQL查询语句中时,攻击者可以通过构造特殊输入,使得查询执行非...
通过ibatis解决sql注入问题
08-29
iBatis解决SQL注入问题 iBatis是一个流行的持久层框架,广泛应用于Java企业级开发中。然而,在使用iBatis时,开发人员经常面临着SQL注入问题SQL注入是一种常见的安全威胁,可能会导致数据泄露、数据篡改、系统...
华为云征文|Flexus云服务X实例应用,通过QT连接华为云MySQL,进行数据库的操作,数据表的增删改查
Arya的博客,专注后端领域
09-03 956
4核12G-100G-3M规格的Flexus X实例使用测评第3弹:Flexus云服务X实例应用,通过QT连接华为云MySQL,进行数据库的操作,数据表的增删改查
mysql用时间戳还是时间存储比较好
qq_42572322的博客
09-05 388
TIMESTAMP 通常占用的空间比 DATETIME 少,如果你对存储空间有限制,或者你需要存储大量的时间戳数据,TIMESTAMP 可能是更好的选择。- 如果你的应用需要在不同的时区中使用时间数据,或者需要自动处理夏令时的变化,使用 TIMESTAMP 可能更方便。- 考虑到不同的数据库系统和应用程序可能对时间类型的支持不同,选择一个能够满足你当前和未来需求的时间类型是很重要的。- 对于需要频繁进行日期和时间范围查询的场景,DATETIME 类型可能更适合,因为它允许更灵活的日期和时间计算。
MySQL递归获取商品分类以及所有下级分类商品
cl617287的博客
09-02 343
MySQL通过递归获取所有下级分类数据
MySQL数据库增删查改(基础)CRUD
chendemingxxx的博客
09-02 1222
比如说:创建一张学生表,有姓名,学号。插入两个学生。可能有点草率看看例子: 顺序不是问题,后面参数和前面括号参数对等就行。比如说上面的例子:把id和name参数倒过来了,后面参数一一对应也可以。不推荐使用全列查询原因:比如说上面例子我只要id或者说只要name;当然也可以查询多个列: 比如说我们创建一个这样的表命令:第一个 效果:第三个总分效果:拓展一个现象: 拓展:语法:比较运算符:逻辑运算符:解释:%在mysql这里代表的是多个任意字符,_代表的是 一个任意字符。揭晓来才是修改硬盘里面的内容。案例:
MySQL表操作及约束
最新发布
2301_77479435的博客
09-06 692
MySQL表操作及约束
MySQL Workbench 的入门指南
布说在见的博客
09-06 641
MySQL Workbench 是一个官方的图形化工具,用于开发、管理和设计 MySQL 数据库服务器。它提供了丰富的功能,可以帮助数据库管理员、开发者以及DBA们高效地工作。下面是一个MySQL Workbench的入门指南,介绍如何安装和使用它。
如何解决sql注入问题
05-25
SQL注入攻击是指攻击者通过构造恶意的SQL语句,来实现对数据库的非法访问和操作,从而造成数据泄露、数据篡改等危害。为了防范SQL注入攻击,可以采取以下措施: 1. 使用参数化查询:参数化查询是一种将SQL语句和参数分开的技术,可以有效地防止SQL注入攻击。 2. 对用户输入进行过滤和验证:对用户输入的数据进行过滤和验证,可以有效地防止SQL注入攻击。例如,可以对输入的数据进行转义处理,过滤掉敏感字符等。 3. 限制用户权限:限制用户对数据库的访问权限,可以避免攻击者通过注入恶意代码来获取敏感数据。 4. 更新数据库和应用程序:定期更新数据库和应用程序,可以修复已知的漏洞,从而提高系统的安全性。 5. 使用防火墙:使用防火墙可以对SQL注入攻击进行监控和过滤,从而保护数据库的安全。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Rex·Lin

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值