JAVA 基础之SQL注入防范

最新推荐文章于 2024-02-15 10:30:00 发布
最新推荐文章于 2024-02-15 10:30:00 发布
阅读量260 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/RAVEEE/article/details/80650129
版权

 

java之sql注入漏洞

以及如何防范

所谓SQL注入,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力

首先创建一个数据库工具类

package zr;

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.util.Scanner;

public class main2
{

public static void main(String[] args)
{
	Scanner sc = new Scanner(System.in);
	System.out.println("请输入用户名");
	String username = sc.nextLine();
	System.out.println("请输入密码");
	String password = sc.nextLine();
	try
	{
		Class.forName("com.mysql.jdbc.Driver");
	} catch (ClassNotFoundException e)
	{
		System.out.println("加载驱动失败"+e.getMessage());
		
	}
	Connection conn = null;
	PreparedStatement ps = null;
	ResultSet rs = null;
	try{
		conn = DriverManager.getConnection("jdbc:mysql://localhost/study1?seUnicode=true&characterEncoding=UTF8", "root", "root");
		String sql = "select count(*) c from T_Users where UserName='"+username+"' and PassWord = '"+password+"'";
		ps = conn.prepareStatement(sql);   
     /*
      * 存在注入漏洞   a' or 'a'='a
      * 需要对其过滤
      */
	        /*String sql ="select count(*) c from T_Users where UserName=? and PassWord =?";
		
		ps = conn.prepareStatement(sql); 
		ps.setString(1, username);
		ps.setString(2, password);*/
		rs = ps.executeQuery();
       rs.next();
       int c = rs.getInt("c");	
       System.out.println(c);
   
		
		
		
		if(c<=0){
    	   System.out.println("登录失败");
    	   
       }
       else{
    	  System.out.println("登陆成功");
       }
	}catch(SQLException ex){
		System.out.println("执行数据库出错"+ ex);
		}
	finally{
			JDBCGB.closeQuiety(ps);
			JDBCGB.closeQuiety(conn);
			JDBCGB.closeQuiety(rs);
		}
		}
	}

然后使用navicat工具在数据库里创建一个账号,再使用上面的代码进行登录

 

账号为任意值密码为

 a' or 'a'='a

都可以登录成功原因是因为

 

password的值永远为真值

所以where整个的数据也为真

这样就可以成功执行sql语句

 

 


需要对sql语句进行过滤

 

ps = conn.prepareStatement(sql); 
ps.setString(1, username);
ps.setString(2, password);

 

这里采用的是setstring的方法实现预编译处理

最终提升系统的安全性

一杯丶冰美式
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Java代码审计篇:SQL注入
hackzkaq的博客
12-01 1172
前期与常规注入代码审计一样,找sql语句看是否存在字符串拼接,如果存在,通过查找参数的调用逻辑,理清逻辑,在构造payload时,先注册一个正常的用户名,但是用户名是带有sql语句的,比如 “ ‘union select user(),2.3# “,此时在登陆的时候就可以显示对应的信息。MyBatis 的 like 子句中使用#{}程序会报错,所以为了避免报错,在开发的时候使用${},当使用like ‘#%{name}%’时,会报错。而使用like ‘$%{name}%’,时会正常执行。
JavaSQL注入防范与解决方法
最新发布
02-18
JavaSQL注入防范与解决方法
Java项目SQL注入的方式总结
睡竹的博客
03-02 9483
Java项目SQL注入的方式总结 springboot配置请求过滤器SQL注入 nginxSQL注入 mybatisSQL注入
Java项目SQL注入的四种方案
学IT,找陈寒
10-10 8806
SQL注入是一种严重的安全漏洞,但通过采取适当的预措施,可以有效地止它。在Java项目中,使用预编译语句、输入验证和过滤、ORM框架以及安全的数据库访问库是SQL注入攻击的四种常见方法。选择适合你的项目的方法,并始终保持警惕,以确保你的应用程序免受潜在的威胁。😊🙏Java面试技巧Java面试八股文 - 掌握面试必备知识(目录篇)Java学习路线2023年完整版Java学习路线图AIGC人工智能Chat GPT是什么,初学者怎么使用Chat GPT,需要注意些什么Java实战项目。
Java如何预SQL注入(通俗易懂)
sjs52406的博客
11-30 1082
本篇文章主要在于了解SQL注入攻击原理及御策略
JAVA代码审计之SQL注入
06-14
本章节课程主要从以下三方面详细的介绍了如何针对java代码中sql注入的审计方法及黑盒验证: 1、JDBC连接方式下sql注入的存在的形态及修复方法,like、in情况在如何安全使用预处理来防范sql注入 2、在使用Mybatis框架...
Java Web防范SQL注入攻击.pdf
09-19
Java Web防范SQL注入攻击.pdf
java持久层框架mybatissql注入的方法
09-01
下面小编就为大家带来一篇java持久层框架mybatissql注入的方法。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
JavaSQL注入的几个途径
12-14
JavaSQL注入,最简单的办法是杜绝SQL拼接,经验和技巧之谈,不错推荐。
javaSQL注入
11-19
javaSQL注入对一个系统十分的重要,系统没有安全保障,那再好的系统也是扯淡。在平时系统开发中一定注意安全漏洞。
sql注入工具类l
03-22
NULL 博文链接:https://kaka100.iteye.com/blog/1004594
java实战:SQL注入常用方法及代码示例
oandy0的博客
02-15 1244
本文将介绍几种在JavaSQL注入的常用方法,并提供详细的代码示例。我们将探讨使用预编译的SQL语句(Prepared Statements)、使用ORM框架、使用SQL模板引擎和参数化查询等方法。通过本文,可以了解到如何在Java应用程序中实施有效的安全措施,以防范SQL注入攻击。
JavaSQL注入的一些途径
主题模板站的博客
01-31 2213
javaSQL注入,最简单的办法是杜绝SQL拼接,SQL注入攻击能得逞是因为在原有SQL语句中加入了新的逻辑,如果使用PreparedStatement来代替Statement来执行SQL语句,其后只是输入参数,SQL注入攻击手段将无效,这是因为PreparedStatement不允许在不同的插入时间改变查询的逻辑结构 ,大部分的SQL注入已经挡住了, 在WEB层我们可以过滤用户的输入来SQL注入比如用Filter来过滤全局的表单参数。35 //TODO这里发现sql注入代码的业务逻辑代码。
javasql注入 策略_java sql注入(转)
weixin_32602727的博客
02-13 74
//: 止一般SQL注入// 调用方法:PreventInfusion.sqlInfusion(str);public class PreventInfusion {private static final String inj_str = "'@and@exec@insert@select@delete@update@count@*@%@chr@mid@master@truncate@cha...
【加强】sql注入的prepareStatement,连接池DataSource,工具类DataSourceUtil
weixin_52226593的博客
01-15 367
实现类 package datasource; import com.alibaba.druid.pool.DruidDataSourceFactory; import utils.DataSourceUtil; import javax.sql.DataSource; import java.io.IOException; import java.io.InputStream; import java.sql.Connection; import java.sql.PreparedStatemen
Java如何避免sql注入详解
weixin_47390965的博客
01-12 9008
sql注入是web开发中最常见的一种安全漏洞。可以用它来从数据库获取敏感信息、利用数据库的特性执行添加用户、导出文件等一系列恶意操作,甚至有可能获取数据库乃至系统用户最高权限。 造成sql注入的原因: 程序没有有效过滤用户的输入,使攻击者成功的向服务器提交恶意的SQL脚本,程序在接收后错误的将攻击者的输入作为SQL语句的一部分执行,导致原始的查询逻辑被改变,执行了攻击者精心构造的恶意SQL语句。 如从用户表根据用户名admin和密码123查用户信息 select * from User where
如何在Java应用程序中预SQL注入
allway2的博客
07-22 1548
这背后的主要原因是预准备语句的本质数据库服务器使用它们来缓存拉取结果集所需的查询计划,这对于任何可能的值通常都是相同的。在本文中,我们介绍了Java应用程序中的SQL注入漏洞——对任何依赖数据进行业务的组织来说都是一个非常严重的威胁——以及如何使用简单的技术来止它们。主要思想是,即使我们无法在代码中找到所有可能的漏洞——这是处理遗留系统时的常见情况——我们至少应该尝试限制攻击可能造成的损害。如果在生成此代码的过程中,我们使用未经适当清理的不受信任的数据,我们就会为黑客利用敞开大门。...
JavaSQL注入
三千弱水的专栏
09-23 4070
JavaSQL注入 SQL 注入简介:         SQL注入是最常见的攻击方式之一,它不是利用操作系统或其它系统的漏洞来实现攻击的,而是程序员因为没有做好判断,被不法 用户钻了SQL的空子,下面我们先来看下什么是SQL注入:         比如在一个登陆界面,要求用户输入用户名和密码:         用户名:     ' or 1=1
java网站sql注入检查和
07-08
Java网站中,预SQL注入攻击是非常重要的安全措施。下面是一些常见的检查和护方法: 1. 使用参数化查询:使用预编译的SQL语句和参数绑定来执行数据库操作,而不是直接将用户输入的数据拼接到SQL语句中。这可以...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值