登录防注入最简单的实现

最新推荐文章于 2024-08-11 13:28:35 发布
最新推荐文章于 2024-08-11 13:28:35 发布
阅读量1.8k 收藏
点赞数
分类专栏: java 文章标签: sql注入 防注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SicongFu/article/details/78179214
版权 
原来是这样写的,当我登录时输入:' or 1=1 -- 会导致登录成功!这样让我必须要做防注入。




    /**
     * 获取登录用户
     * @param userName
     * @param md5password
     * @return
     */
    @SuppressWarnings("unchecked")
    public Map<String, Object> getFabaoUser(String userName, String md5password) {
        String loginSQL="select * from CM_CONF_User where Login_Name='"+userName+"' and Password='"+md5password+"'";
        Map<String, Object> u=null;
        try {
            //List<FabaoUser> list = this.findPojoBySqlToBean(loginSQL, FabaoUser.class);
            List<Map<String, Object>> list = this.DBSelect(loginSQL);
            if (list!=null && list.size()>0)  {
                u = list.get(0);
            }
        } catch (Exception e) {
            e.printStackTrace();
        }
        return u;
    }
后来参考了别人的写法,使用了预编译的方法进行防sql注入!


@SuppressWarnings("unchecked")
    public Map<String, Object> getFabaoUser(String userName, String md5password) throws SQLException {
        Connection conn = ConnectionUtil.getConnection();
        String loginSQL="select User_ID from CM_CONF_User where Login_Name= ? and Password=? ";
        PreparedStatement preState = conn.prepareStatement(loginSQL); 
    preState.setString(1, userName); 
    preState.setString(2, md5password);
    ResultSet rs = preState.executeQuery();
        if (rs.next()) {
            String userId = rs.getObject("User_ID").toString();
            Map<String, Object> u=new HashMap<String, Object>();
            u.put("User_ID", userId);
            return u;
        }
        return null;
    }





                

        

        

    

  


    

      

        

            

              
                
                  SicongFu
                
              
            

            

                关注
              
            

        

        

          
      

      

            

                专栏目录
          









                



	

		

			

				
					
php简单实现sql注入的方法

				
			

			

				

					12-18
				

			

		

		

			
				
本文实例讲述了php简单实现sql注入的方法。分享给大家供大家参考,具体如下:
这里没有太多的过滤,主要是针对php和mysql的组合。
一般性的注入,只要使用php的 addslashes 函数就可以了。
以下是一段copy来的代码:
PHP代码:

$_POST = sql_injection($_POST);
$_GET = sql_injection($_GET);
function sql_injection($content)
{
if (!get_magic_quotes_gpc()) {
if (is_array($content)) {
foreach ($content

			
		

	



                

              
                



	

		

			

				
					
WEB登录sql注入 url注入 脚本注入

				
			

			

				

					12-05
				

			

		

		

			
				
WEB登录sql注入 url注入 脚本注入

			
		

	



                


  
              

                


	

		

			

				
					
第四章 SQL注入

					
最新发布

				
			

			

				

					weixin_51186121的博客
				

				

					08-11
					
					274
					
				

			

		

		

			
				
SQL注入问题说的是:用户输入的信息中含有SQL语句关键字,和程序中的SQL语句进行字符串拼接,导致程序中的SQL语句改变了原意。原因是:用户提供的信息中有SQL语句关键字,并且和底层的SQL字符串进行了拼接,变成了一个全新的SQL语句。,也就是说:用户提供的信息中即使含有SQL语句的关键字,那么这个信息也只会被当做一个值传递给SQL语句,用户提供的信息不再参与SQL语句的编译了,这样就解决了SQL注入问题。如果以上的SQL语句能够查询到结果,说明用户名和密码是正确的,则登录成功。

			
		

	





	

		

			

				
					
解决登录页面SQL注入问题

				
			

			

				

					weixin_46609492的博客
				

				

					06-09
					
					1609
					
				

			

		

		

			
				
1.新建一个java项目:
(1) 在项目中建一个properties文件

#配置连接数据库信息(动态生效) 键值对的形式 写数据库连接信息
 driverclass= com.mysql.jdbc.Driver
 url=jdbc:mysql://localhost:3306/db2019
 username=root
 password=sa123456

(2)新建一个JDBCUtil 类
 package com.*;
import java.io.FileInputStream;
import 

			
		

	



		

			
		



	

		

			

				
					
5种方法止 jsp被sql注入

				
			

			

				

					收集盒  Book box
				

				

					09-22
					
					6606
					
				

			

		

		

			
				
一、 SQL注入简介

SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。
===========================================

			
		

	





	

		

			

				
					
SQL注入攻击的10种有效方法

				
			

			

				

					qq_28245087的博客
				

				

					06-29
					
					4万+
					
				

			

		

		

			
				
本文介绍了10种SQL注入攻击的方法,包括使用参数化查询、输入验证和过滤、存储过程、最小权限原则、ORM框架、准备语句、安全的数据库连接、避免动态拼接SQL语句、使用火墙和入侵检测系统以及定期更新和维护数据库软件。输入验证和过滤是一种用于确保用户输入数据的安全性和有效性的技术。需要注意的是,具体的代码实现可能因使用的数据库驱动库而有所不同,但核心思想是相同的:使用PreparedStatement来执行参数化查询,将用户输入作为参数传递给查询,而不是直接拼接到查询字符串中,以提高应用程序的安全性。

			
		

	





	

		

			

				
					
SQL注入的四种方案

				
			

			

				

					dehuisun的专栏
				

				

					09-05
					
					9925
					
				

			

		

		

			
				
SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。SQL案列这个id从请求参数中获取,若参数被拼接为:1001 or  1 = 1此时,数据库的数据都会被清空掉,后果非常严重.

			
		

	





	

		

			

				
					
怎么SQL注入

				
			

			

				

					。。。。
				

				

					03-21
					
					7165
					
				

			

		

		

			
				
SQL注入攻击的方法是使用参数化查询,也就是使用预编译语句(Prepared Statement)或者存储过程(Stored Procedure)来处理 SQL 查询语句。

使用预编译语句的好处是,它会将 SQL 查询语句和参数分开,从而避免了恶意用户通过参数注入恶意 SQL 代码的风险。同时,预编译语句可以有效地缓存 SQL 查询语句,提高查询性能。

			
		

	





	

		

			

				
					
如何SQL注入

				
			

			

				

					m0_49521873的博客
				

				

					05-23
					
					2356
					
				

			

		

		

			
				
例如,Web应用程序通常只需要对数据库进行查询和插入操作,应该限制Web应用程序对数据库的访问权限,不允许Web应用程序执行删除、修改等操作。1. 输入合法性验证:在应用程序中对用户输入的内容进行检查和验证,仅允许输入合法的数据,如数字、字母等。SQL注入攻击是一种常见的网络攻击方式,攻击者通过构造恶意SQL语句,将恶意代码注入到应用程序的数据库中,从而对数据库进行非法操作,如删除、修改、泄露数据等。2. 参数化查询:使用参数化查询,将SQL语句与查询参数分离,避免在SQL语句中直接拼接用户输入的数据。

			
		

	





	

		

			

				
					
简单的PHP注入类库.zip

				
			

			

				

					07-11
				

			

		

		

			
				
"简单的PHP注入类库"提供了一个有效的解决方案,帮助开发者止这种攻击。这个类库的目标是过滤GET、POST等请求中的恶意输入,确保SQL查询的安全性。  首先,我们需要理解SQL注入的概念。当用户输入的数据未经验证...

			
		

	





	

		

			

				
					
php SQL注入代码集合

				
			

			

				

					10-30
				

			

		

		

			
				
PHP作为广泛使用的服务器端脚本语言,在实现SQL注入方面有多种方法,以下是从文档中提炼出的PHP SQL注入的关键技术知识点。  ### 注入代码一  首先介绍的是注入代码一,这里有两个关键函数:quote和hash_num...

			
		

	





	

		

			

				
					
php中addslashes函数与sql注入

				
			

			

				

					10-25
				

			

		

		

			
				
SQL注入是数据库管理系统中非常常见的一种安全漏洞,攻击者通过在SQL语句中插入恶意SQL代码片段,可以实现对数据库的非授权操作。因此,如何避免SQL注入成为每个使用SQL的开发者都必须关注的问题。  addslashes函数...

			
		

	





	

		

			

				
					
java开发中推荐的sql注入方法_JAVA程序SQL注入的方法

				
			

			

				

					weixin_29858113的博客
				

				

					12-31
					
					321
					
				

			

		

		

			
				
第一种采用预编译语句集,它内置了处理SQL注入的能力,只要使用它的setString方法传值即可:Java代码  String sql= "select * from users where username=? and password=?;PreparedStatement preState = conn.prepareStatement(sql);preState.setString(1, ...

			
		

	





	

		

			

				
					
三种数据库的 SQL 注入详解

					
热门推荐

				
			

			

				

					YT的博客
				

				

					02-25
					
					11万+
					
				

			

		

		

			
				
SQL 注入原理
SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。

SQL 注入分类
1. 数字型注入
当输入的参数为整型时,则有可能存在数字型注入漏洞。
假设存在一条 URL 为:HTTP://www.aaa.com/test...

			
		

	





	

		

			

				
					
四种SQL注入的解决方案

				
			

			

				

					weixin_43702295的博客
				

				

					01-11
					
					5012
					
				

			

		

		

			
				
SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。这个id从请求参数中获取,若参数被拼接为:此时,数据库的数据都会被清空掉,后果非常严重PreparedStatementSQL注入mybatis中#{}SQL注入对请求参数的敏感词汇进行过滤。

			
		

	





	

		

			

				
					
浅谈SQL注入的四种御方法

				
			

			

				

					NLost
				

				

					04-10
					
					2万+
					
				

			

		

		

			
				
1.限制数据类型
2.正则表达式匹配传入参数
3.函数过滤转义
4.预编译语句

			
		

	





	

		

			

				
					
京东面试--总结

				
			

			

				

					chajinglong的专栏
				

				

					11-07
					
					6501
					
				

			

		

		

			
				
特别喜欢一句话:不是因为看到了希望才去坚持,而是因为坚持了才会看到希望。1、现在有T1、T2、T3三个线程,你怎样保证T2在T1执行完后执行,T3在T2执行完后执行?思路:多线程之间怎么协同工作,如何让一个线程执行完毕后处于什么状态。 
   Thread t1 = new Thread(new T1()); 
   Thread t2 = new Thread(new T2()); 
   Thr

			
		

	





	

		

			

				
					
mysql 处理大数据太慢_jdbc 大数据批量插入很慢问题解决

				
			

			

				

					weixin_39549852的博客
				

				

					12-30
					
					1666
					
				

			

		

		

			
				
普通的执行过程是:每处理一条数据,就访问一次数据库;而批处理是:累积到一定数量,再一次性提交到数据库,减少了与数据库的交互次数,所以效率会大大提高但是使用了addBatch() -> executeBatch() 还是很慢解决:a.需配置 参数在数据库连接URL后面加上这个参数:dbUrl"jdbc:mysql://localhost:3306/User?rewriteBatchedStat...

			
		

	





	

		

			

				
					
Java实现用户登录:LoginServlet代码详解

				
			

			

				

					
				

			

		

		

			
				
"该资源提供了一个用户登录案例的Java Servlet实现,主要涉及到处理用户输入、校验登录信息、以及利用Cookie和HttpSession管理用户状态。"  在Java Web开发中,用户登录是常见的功能之一,本示例展示了如何通过...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值