JDBC:使用Statement引发SQL注入

最新推荐文章于 2022-12-22 21:39:21 发布
最新推荐文章于 2022-12-22 21:39:21 发布
阅读量1.1k 收藏 5
点赞数 7
文章标签: jdbc java mysql 数据库 sql注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SoULikeMe/article/details/110704813
版权

1. 什么是 SQL 注入?

jdbc程序执行时, sql语句在拼接时由页面传入参数,如果用户恶意传入一些sql中的特殊关键字,会导致sql语句意义发生变化,这种攻击方式就叫做sql注入。

2. 引子:

sql注入的危害: 黑客可以一行代码登录超管账户,对数据库造成不可挽回的损失。

参考用户注册登录案例:

// 用户登录验证(字符串拼接)
String sql = "select * from s_user where loginName = '"+ loginName +"' and loginPwd = '"+ loginPwd +"'";

// 正常用户:
用户名:admin
密  码:123456
可以正常登录
 ---------------------------------------------
 // 恶意用户:
 用户名: aaa   
 密  码: aaa' or '1'='1  
 也可以登陆成功, 这叫做SQL注入,

由于 恶意用户 输入的密码被当作sql语句,编译时,1=1,返回true, 所以验证通过,登陆成功。

3. 具体实例

下方的登录实例,运行成功后,后台输入恶意sql语句,就可以登陆成功。

public class JDBCTest02 {
    public static void main(String[] args) {
        // 初始化界面,(返回用户名/密码)
        Map<String,String> userLoginInfo = initUi();
        // 验证用户名和密码:(传入登录信息)
        boolean loginSuccess = login(userLoginInfo);
        // 登陆成功/失败 ==> 布尔值
        // 最后输出结果
        System.out.println(loginSuccess ? "登陆成功": "登陆失败");
    }

    /*
    * 用户登录:
    * @param userLoginInfo 用户登录信息
    * @return false 登陆失败, true 登陆成功
    */
    private static boolean login(Map<String, String> userLoginInfo) {
        // JDBC 代码
        Connection conn = null;
        Statement stmt = null;
        ResultSet rs = null;
        // 单独定义变量
        String loginName = userLoginInfo.get("loginName");
        String loginPwd  = userLoginInfo.get("loginPwd");
        // 打标记意识
        boolean loginSuccess = false;

        try {
            // 1. 注册驱动
            Class.forName("com.mysql.jdbc.Driver");
            // 2. 获取数据库连接
            // 使用时,把school改为你自己的数据库名
            conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/school", "root","root");
            // 3. 获取数据库操作对象
            stmt = conn.createStatement();
            // 4. 执行SQL
            // 注意: s_user是school里的用户表,记得改为你自己定义的的用户表!!
            String sql = "select * from s_user where loginName = '"+ loginName +"' and loginPwd = '"+ loginPwd +"'";
            rs = stmt.executeQuery(sql);
            // 5. 处理结果集
            if (rs.next()){
                // 登陆成功
                loginSuccess = true;
            }
        } catch (Exception e) {
            e.printStackTrace();
        }finally {
            // 6. 释放资源
            if (rs !=null){
                try {
                    rs.close();
                } catch (SQLException e) {
                    e.printStackTrace();
                }
            }
            if (stmt !=null){
                try {
                    rs.close();
                } catch (SQLException e) {
                    e.printStackTrace();
                }
            }
            if (conn !=null){
                try {
                    rs.close();
                } catch (SQLException e) {
                    e.printStackTrace();
                }
            }
        }
        // return false;
        return loginSuccess;
    }
    /*
    * 初始化用户界面
    * @return 用户输入的用户名和密码等登录信息
    *
    */
    private static Map<String, String> initUi() {
        Scanner s = new Scanner(System.in);
        System.out.println("用户名: ");
        String loginName = s.nextLine();
        System.out.println("密码: ");
        String loginPwd = s.nextLine();
        // 用键值对存储输入信息
        Map<String,String> userLoginInfo = new HashMap<>();
        // 传值
        userLoginInfo.put("loginName", loginName);
        userLoginInfo.put("loginPwd", loginPwd);
        return userLoginInfo;
    }
}

4. 如何防止sql注入?

原理: 让用户输入信息不参与SQL语句的编译过程,问题就解决了。
即使用户提供的信息中含有SQL语句的关键字,但是无法参与编译,也不起作用。

这里引入 StatementPreparedStatement

  1. 上面的案例使用了数据库操作对象 Statement ,让sql语句直接参与编译。
  2. SUN公司发明了 PreparedStatement 来让sql语句预编译,然后再传值,间接的阻止了恶意的sql注入。

5. PreperedStatement 相对 Statement 的优点:

  1. 没有SQL注入的问题。
  2. Statement会使数据库频繁编译SQL,可能造成数据库缓冲区溢出。
  3. 数据库和驱动可以对PreperedStatement进行优化(只有在相关联的数据库连接没有关闭的情况下有效)。

6. 总结

SQL注入虽然十几年前就被淘汰了,但是现在仍然有一些程序员偷懒,粗心大意,写了一些带有漏洞的代码,让黑客有机可乘,显得程序猿很不专业,奉劝在座的各位,耗子喂汁。

赵博林
关注
JDBC使用Statement操作数据库时产生的SQL注入问题原因分析
weixin_45873215的博客
12-16 614
SQL注入问题简单介绍 1.JDBC使用Stement对数据库增删改查, 执行sql语句时使用拼接字符串导致SQL注入 2.JDBC使用PreaparedStement可以有效避免SQL注入问题 应用实例:创建一个login数据表且设置好其用户名与密码,然后使用jdbc连接该数据库,其中登录数据库的账号和密码在java控制台中由键盘输入。 建表语句(本人使用数据库mysql数据库) create datebase basketball; use basketball; create table l
JDBC Statement验证sql注入时控制台报错MySQLSyntaxErrorException: You have an error in your SQL syntax; check...
韩大能耐的博客
04-04 565
在进行JDBCstatement验证sql注入问题时,控制台报错: com.mysql.jdbc.exceptions.jdbc4.MySQLSyntaxErrorException: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for ...
使用statment引发恶意sql(侵入)注入数据库问题
dianmo9374的博客
11-14 115
学过编程的人都基本知道sql注入问题,废话不多说,直接进入代码部分,代码注释已经够详细了,此处不罗嗦! 1 package edu.test; 2 3 import java.sql.Connection; 4 import java.sql.DriverManager; 5 import java.sql.ResultSet; 6 import ja...
JDBC中关于StatementSql注入问题
发光吖的博客
09-11 1128
sql注入攻击指的是通过构建特殊的输入作为参数传入web应用程序,而这些输入大都是sql语法里的一些组合,通过执行sql语句进而执行攻击者所要做的操作,其产生的主要原因在于应用程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。 我们通过一个用户登录的小案例来大致了解sql注入的情况:(Oracle数据库环境) 首先准备一张表t_user: create table t_user( name varchar2(10) primary key, password varchar2(10) not n
jdbcStatement产生的SQL语句注入问题解决办法
qq_42160112的博客
08-09 365
问题描述 用户输入一个城市编号,根据该城市编号,删除数据库中city表对应的记录。 正常执行: 注意,由于依赖于用户输入,用户就可以随便输入内容,拼接到sql语句中,假如用户的输入是: 100 or 1=1 请问,出现什么结果? 以上这就称为sql注入问题 这种问题产生的根本原因就是,将用户输入的内容直接拼接到sql语句中执行!!! 解决办法 Preparement代替Statement 再次输入一直成立的id,它的结果只删除掉id为12的城市,这样就解决了sql语句注入问题 使用以上这种占位符
jdbcStatement接口的sql注入
programmer_trip的博客
05-25 275
jdbcStatement接口的sql注入 代码实践 下面用最原始的jdbc连接代码演示一下 -- 环境 -- musql 8.0.12 -- jdbc jar包 mysql-connector-java-8.0.19.jar --第一步 使用navicate创建数据库和表 -- 创建数据库 create database my_first; -- 创建表 create table temp_user( u_id int primary key auto_increment, u_name var
JDBC:使用SQL请求从数据库创建排序列表
03-08
`PreparedStatement`更安全,因为它可以防止SQL注入。这里以`Statement`为例: ```java Statement stmt = conn.createStatement(); ResultSet rs = stmt.executeQuery("SELECT * FROM employees ORDER BY salary ...
JDBC如何有效防止SQL注入
12-14
使用`PreparedStatement`代替`Statement`是防止SQL注入的基本方法。预编译的SQL语句将参数化查询与实际值分离,从而阻止恶意SQL代码注入。例如,而不是拼接字符串形成SQL: ```java String sql = "SELECT * FROM ...
SQL-JDBC:SQL教程的家庭练习5-使用JDBC
05-24
- 预编译的PreparedStatement:对于经常重复执行的SQL语句,使用PreparedStatement可以提高效率并防止SQL注入攻击。 -批处理:通过`addBatch()`和`executeBatch()`方法,可以一次性执行多个SQL语句,提高性能。 -...
jdbc-- StatementSQL注入演示
qq_43619461的博客
11-05 121
StatementSQL注入演示 解决方案: preparedStatement 测试用户名: 1' or 测试密码: or '1'='1 // StatementSQL注入演示 @Test public void statementSqlDemo() throws ClassNotFoundException, InstantiationException, IllegalAccessException, SQLException, IOException {
Statementsql注入问题
cnbird's blog
03-15 2160
SQL注入,PreparedStatementStatement * 在SQL中包含特殊字符或SQL的关键字(如:' or 1 or ')时Statement将出现不可预料的结果(出现异常或查询的结果不正确),可用PreparedStatement来解决。 * PreperedStatement(从Statement扩展而来)相对Statement的优点:       1.没有SQL注入
Statement 接口的应用(存在sql语句的注入风险)
weixin_30710457的博客
12-27 154
实现简单的登录功能 import java.sql.Connection; import java.sql.DriverManager; import java.sql.ResultSet; import java.sql.SQLException; import java.sql.Statement; public class JDBCFindAll { ...
使用Statement类执行SQL语句时存在SQL注入漏洞(黑客攻击数据库常用手段),及预防注入的方法(PrepareStatement类)
mayanni_blogs的博客
09-02 1005
什么是SQL注入 SQL注入攻击通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,它目前是黑客对数据库进行攻击的最常用手段之一。 SQL注入实例 绕过登录(只需知道用户名、无需知道密码即可登录成功) 实际userName=“zs”;password=“123”; //模拟用户输入userName和password St...
Java JDBC 使用Statement 产生sql注入问题
BLWY_1124的博客
05-18 813
#Java JDBC 使用Statement 产生sql注入问题 Statement 对象用于执行静态SQL语句并返回其生成的结果对象 Statement 对象执行SQL语句,存在SQL注入风险 代码演示: 先创建一张表 -- 演示 sql 注入 -- 创建一张表 CREATE TABLE admin ( -- 管理员表 NAME VARCHAR(32) NOT NULL UNIQUE, pwd VARCHAR(32) NOT NULL DEFAULT '') CHARACTER S
Statement 接口的应用(存在sql语句的注入风险)(转)
weixin_30487201的博客
12-28 107
实现简单的登录功能 import java.sql.Connection; import java.sql.DriverManager; import java.sql.ResultSet; import java.sql.SQLException; import java.sql.Statement; public class JDBCFindAll { ...
【大数据系列之JDBC】(四):Statement存在SQL注入问题
最新发布
CSDN 精品推荐
12-22 320
但是使用Statement存在SQL注入问题,SQL 注入是利用某些系统没有对用户输入的数据进行充分的检查,而在用户输入数据中注入非法的 SQL 语句段或命令(如:SELECT user, password FROM user_table WHERE user=‘a’ OR 1 = ’ AND password = ’ OR ‘1’ = ‘1’) ,从而利用系统的 SQL 引擎完成恶意行为的做法。正常来将要用户名和密码全部匹配成功才可查询到,但是经过SQL注入后,上面的SQL后面多一个。
SQL 注入问题的解决(PreparedStatement)
一切随缘的博客
11-19 8478
上篇博客结尾提到了代码的不足:存在SQL注入问题。下面演示一下什么是SQL,注入问题。(就拿上篇的代码举个例子)以上为正常现象,但有些“不法分子”抓住了代码的漏洞,干了一些不为人知的事情。What!竟然登录成功了!发生了甚么?让我们Debug一下,一探究竟。‘1’='1’为true,从而导致了整个柿子返回结果为true。
03. jdbc Statement sql注入风险
Java 程序源
08-27 479
1. Statement 用法 Statement 用法比较简单, 不需要设置参数. 创建了Statment对象之后, 直接执行sql即可. 执行步骤可总结如下: 获取数据库连接 创建Statment对象 执行sql 增删改: 执行executeUpdate(sql)方法, 返回sql影响的行数 查询: 执行executeQuery(sql)方法, 返回查询结果ResultSet, 然后解析结...
第七章 Statementsql注入问题
不知道干嘛的
02-16 364
package cn.itcast.jdbc; import java.sql.Connection; import java.sql.PreparedStatement; import java.sql.ResultSet; import java.sql.SQLException; import java.sql.Statement; public class SQLInject {
JDBC高级:Statement查询SQL数据详解
这个例子展示了如何在JDBC高级操作中使用`Statement`执行SQL查询,包括连接管理、SQL语句构建、结果集处理以及资源的妥善关闭,防止SQL注入风险。此外,它还演示了元数据(如字段名)的获取,以及如何将查询结果映射...
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值