SQL注入及解决办法

最新推荐文章于 2024-01-23 14:59:48 发布
最新推荐文章于 2024-01-23 14:59:48 发布
阅读量268 收藏
点赞数
分类专栏: 个人笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ShawnaVayne_/article/details/100086183
版权

SQL注入
就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容易受到SQL注入式攻击。
怎么理解sql注入呢?让我看下面的代码:

		Scanner reader = new Scanner(System.in);
        System.out.println("请输入用户名:");
        String userName = reader.nextLine();
        System.out.println("请输入密码:");
        String userPassword = reader.nextLine();

        Statement ps = conn.createStatement();
        String sql = "select username,password from users where username='"+userName+"'and password='"+userPassword+"';";
        //PreparedStatement ps = conn.prepareStatement("select username,password from users where username='"+userName+"'and password='"+userPassword+"';");
        ResultSet rs = ps.executeQuery(sql);
        if(rs.next()){
            System.out.println("登陆成功!");
        }else{
            System.out.println("登陆失败!");
        }
        rs.close();
        ps.close();
        conn.close();

	执行上面的代码块,得到结果:

这是正常情况下的输入
正常情况下的输入是没有任何问题的,但是如果换一种输入方式结果就不同了
在这里插入图片描述
我的数据库的用户名列里并没有“ zhangsan’ or 1=1# ”这个字段,但是照样是可以成功登录的,为什么呢?
换成sql语句就很清晰了。
在这里插入图片描述
这里的#号将后面的sql语句全部注释掉了,同时用 or 1=1 永远都是true,被恶意sql注入后的语句会查询该表的所有数据。
理解了什么是sql注入以后,让我们来学习一下解决办法

PreparedStatement
PreparedStatement的接口扩展了Statement接口,它为您提供了一个通用的Statement对象有两个优点附加功能。

作用:1预编译,效率高
2 安全,避免SQL注入

此语句使您可以动态地提供参数。

下面展示优化后的代码:

Scanner reader = new Scanner(System.in);
        System.out.println("请输入用户名:");
        String userName = reader.nextLine();
        System.out.println("请输入密码:");
        String userPassword = reader.nextLine();

        //Statement ps = conn.createStatement();
        //String sql = "select username,password from users where username='"+userName+"'and password='"+userPassword+"';";
        PreparedStatement ps = conn.prepareStatement("select username,password from users where username=? and password=? ;");
        ps.setString(1,userName);
        ps.setString(2,userPassword);
        ResultSet rs = ps.executeQuery();
        if(rs.next()){
            System.out.println("登陆成功!");
        }else{
            System.out.println("登陆失败!");
        }
        rs.close();
        ps.close();
        conn.close();

结果如下:
在这里插入图片描述

同样的输入方式,现在却登陆失败了。

原理是采用了预编译的方法,先将SQL语句中可被客户端控制的参数集进行编译,生成对应的临时变量集,再使用对应的设置方法,为临时变量集里面的元素进行赋值,赋值函数setString(),会对传入的参数进行强制类型检查和安全检查,所以就避免了SQL注入的产生。

JDBC中的所有参数都由**?**符号,这被称为参数标记。在执行SQL语句之前,必须为每个参数提供值。

所述的setXXX()方法将值绑定到所述参数,其中XXX代表要绑定到输入参数的值的Java数据类型。如果忘记提供值,将收到一个SQLException。

每个参数标记由其顺序位置引用。第一个标记表示位置1,下一个位置2等等。该方法与Java数组索引不同,Java是从0开始。

关闭PreparedStatement对象

就像关闭Statement对象一样,由于同样的原因,还应该关闭PreparedStatement对象。

一个简单的调用close()方法将执行该作业。如果先关闭Connection对象,它也会关闭PreparedStatement对象。但是,应始终显式关闭PreparedStatement对象,以确保正确清理。

ps.close();
unhappyX9
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SQL注入解决
sudo_feng的博客
10-28 157
SQL注入问题 问题描述:在设计登陆案例时,通过将输入的name与password作为关键词在数据库中检索匹配,将获取的结果作为身份验证的依据,当有一些特殊的密码时会产生绕过密码直接登陆的问题 如下代码: package com.JDBCDemo.demo2; import com.JDBCUtils.JDBCUtils; import java.sql.Connection; import java.sql.ResultSet; import java.sql.SQLException; import
SQL注入的一些示例及解决SQL注入的方法
weixin_43618785的博客
03-09 8622
解决SQL注入的方法
SQL注入以及解决方法
阳young的博客
01-26 8007
目录 SQL注入: 用例子说明: 1.创建user表,其中表中有三个字段,分别是id(有自增功能), username, password。并插入三条数据。 2.将数据库和Java连接并进行登录测试 3.运行代码:​ ​​这就是SQL注入的现象, 为什么会出现这样的现象? 那我们怎么该避免这种情况呢?这时候就需要用到PreparedStatement对象。 SQL注入: 由于jdbc程序在执行的过程中,sql语句在拼接时使用了由页面传入参数。如果用户恶意传入一些sql中的特殊关键字,就会.
常见安全漏洞及其解决方案
A_991128a的博客
06-17 6214
执行时,此后的文本将被忽略。但这并不是无代价的,受到损失最大的就是被控制的网站,往往随着暗链所指向的网站的权重不断提高,存在暗链的网站的权重将不断下降,搜索引擎排名也必然一再下降,严重影响网站的影响力。漏洞危害:该漏洞是通过版本号探测的,可能存在误报Apache HTTP Server是一款开源的流行的HTTPD服务程序.当处理包含大量Ranges头的HTTP请求时,ByteRange过滤器存在一个错误,攻击者可以向服务器发送特制HTTP请求,消耗大量内存,造成应用程序崩溃CVE-2011-3192。
SQL 注入漏洞原理以及修复方法
it知识分享 free for nothing..
01-23 7528
SQL 注入漏洞原理以及修复方法
SQL 注入问题的解决(PreparedStatement)
一切随缘的博客
11-19 8275
上篇博客结尾提到了代码的不足:存在SQL注入问题。下面演示一下什么是SQL注入问题。(就拿上篇的代码举个例子)以上为正常现象,但有些“不法分子”抓住了代码的漏洞,干了一些不为人知的事情。What!竟然登录成功了!发生了甚么?让我们Debug一下,一探究竟。‘1’='1’为true,从而导致了整个柿子返回结果为true。
sql注入解决方法.doc
12-29
SQL注入是一种严重的网络安全问题,它发生在Web应用程序未能正确过滤或验证用户输入,导致攻击者能够注入恶意的SQL代码,从而获取未经授权的数据库访问权限。这种攻击通常发生在应用程序将用户提供的数据直接拼接到...
SQL注入原理与解决方法代码示例
09-09
2. 解决SQL注入的方法: - **预编译语句(PreparedStatement)**:Java的JDBC提供预编译语句接口,可以有效地防止SQL注入。预编译语句将查询模板与用户输入分开,确保用户输入的数据不会被解释为SQL代码。例如: `...
MySQL解决SQL注入的另类方法详解
09-10
本文主要探讨一些非传统的、另类的方法来解决SQL注入问题。 首先,我们来看问题的本质。当用户输入被直接插入到SQL语句中时,就存在SQL注入的风险。例如,一个简单的查询模板是: ```sql select * from T where f1...
SQL注入漏洞过程实例及解决方案
09-08
本文将深入探讨SQL注入漏洞的过程,并提供具体的解决方案。 首先,让我们理解SQL注入漏洞是如何发生的。在上述代码示例中,`login`方法使用字符串拼接的方式构建SQL查询语句,如下所示: ```java String sql=...
pymysql如何解决sql注入问题深入讲解
09-09
本文将深入讲解如何使用pymysql有效地解决SQL注入问题。 首先,理解SQL注入的根本原因。当使用动态字符串拼接来构建SQL查询时,就容易受到SQL注入攻击。例如,在以下代码中,用户输入被直接用于SQL语句: ```...
最新SQL注入漏洞修复建议
Galaxy_0的博客
10-30 405
常用的SQL注入漏洞的修复方法有两种。
【网络安全】SQL注入漏洞的修复建议
Yb528970805的博客
09-25 1799
修复SQL注入漏洞需要仔细过滤危险字符和使用参数化查询或预编译语句。这两种方法可以有效地保护您的应用程序免受SQL注入攻击的威胁。在编写代码时,请始终考虑安全性,以确保您的应用程序和用户的数据都得到充分的保护。如果你也需要学网络安全,成为一名白帽黑客,可以看这份2023年最详细最全面的教程资料合集内容【戳下文链接即可学习】自学网络安全(黑客)技术多长时间能达到就业的水平?t=N7T8自学网络安全(黑客)技术多长时间能达到就业的水平?
Sql注入
m0_60715541的博客
12-04 2163
Sql注入是通过拼接sql查询语句,使Sql查询的时候发生歧义,导致攻击者可以查询数据库的全部信息​ 攻击对象是数据库。存在威胁:SQL注入漏洞对于数据安全的影响: sql注入防范 解决SQL注入问题的关键是对所有可能来自用户输入的数据进行严格的检查、对数据库配置使用最小权限原则。通常修复使用的方案有:代码层面: ​ 没有进行PDO预处理的SQL,在输入SQL语句进行执行的时候,web服务器自己拼凑SQL的时候有可能会把危险的SQL语句拼凑进去。但如果进行了PDO预处理的SQL,会让MYSQL自己
sql注入及一些处理方法
qq_40624650的博客
09-07 1842
SQL注入是什么,如何避免SQL注入
sql注入:万能钥匙注入
qq_25987491的博客
04-17 3930
  根据提示,这道题使用sql输入,题目中说已经使用过滤,但是我们还是要试试,看看是不是所有特殊字符都被过滤了,如图,进行尝试之后,得到结果:可知,引号没有被过滤。所以我们可以使用万能密码。万能密码:也就是使用逻辑语句使结果返回。普通的select语句为:select * from user where username = 'user' and password = 'passwd'  因为引号...
安全攻防六:SQL注入,明明设置了强密码,为什么还会被别人登录
运维大湿兄的博客
04-11 1323
在正文之前,让我们先来看一个案例。某天,当你在查看应用的管理后台时,发现有很多异常的操作。接着,你很快反应过来了,这应该是黑客成功登录了管理员账户。于是,你立刻找到管理员,责问他是不是设置了弱密码。管理员很无辜地表示,自己的密码非常复杂,不可能泄漏,但是为了安全起见,他还是立即修改了当前的密码。奇怪的是,第二天,黑客还是能够继续登录管理员账号。问题来了,黑客究竟是怎么做到的呢?你觉得这里面的问题究...
MongoDB的Linux安装、基本操作、可视化、实验源码与报告文档
最新发布
07-10
MongoDB的Linux安装 在Linux上安装MongoDB,通常可以通过包管理器(如apt-get、yum等)或从MongoDB官网下载压缩包进行手动安装。以下是通过包管理器安装MongoDB的简要步骤(以Ubuntu为例): 更新系统: 打开终端,使用sudo apt-get update命令更新系统包列表。 安装MongoDB: 使用sudo apt-get install -y mongodb命令安装MongoDB。这将自动处理依赖关系,并安装MongoDB服务器。 启动MongoDB服务: 安装完成后,可以使用sudo systemctl start mongod命令启动MongoDB服务。 验证安装: 使用mongo命令连接到MongoDB shell,如果能够成功连接并显示MongoDB的shell提示符,则表示MongoDB已成功安装并正在运行。 注意:以上步骤是基于Ubuntu系统的示例。对于其他Linux发行版,安装命令可能有所不同。此外,也可以从MongoDB官网下载.tgz压缩包进行手动安装,具体步骤包括下载、解压、配置环境变量、创建数据存储目录等。 M
sql注入解决方法
04-27
SQL注入是一种常见的安全漏洞,攻击者通过在用户输入的数据中插入恶意的SQL代码,从而获取、修改或删除数据库中的数据。为了防止SQL注入攻击,可以采取以下几种解决方法: 1. 使用参数化查询(Prepared Statements):参数化查询是一种将SQL语句与参数分开的方法,通过将用户输入的数据作为参数传递给数据库,而不是将其直接拼接到SQL语句中,从而避免了注入攻击。 2. 输入验证和过滤:对用户输入的数据进行验证和过滤,确保只接受符合预期格式的数据。可以使用正则表达式或其他验证方法来检查输入数据的合法性,并拒绝包含特殊字符或SQL关键字的输入。 3. 最小权限原则:为数据库用户分配最小权限,限制其对数据库的操作范围。这样即使发生注入攻击,攻击者也只能在有限的权限范围内进行操作,减少了损失。 4. 输入编码:对用户输入的数据进行编码,将特殊字符转义或编码成安全的形式。例如,可以使用转义函数或编码库来处理用户输入,确保输入数据不会被误解为SQL代码。 5. 定期更新和维护:及时更新数据库软件和相关组件,修复已知的安全漏洞。同时,定期审查和修复应用程序中的代码漏洞,以防止新的注入攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值