[数据库]JDBC&SQL注入攻击&预编译SQL

最新推荐文章于 2023-09-25 13:56:57 发布
最新推荐文章于 2023-09-25 13:56:57 发布
阅读量187 收藏
点赞数
分类专栏: 数据库 文章标签: sql 数据库 mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/YJH000_/article/details/129975511
版权

SQL注入攻击

拼接SQL语句存在SQL注入攻击

方式

表现为通过输入aaa' OR '1'='1改变后台SQL语句语义,不需要正确密码即可获取数据资料

比如以下登录代码中:

public class JDBCDemo6 {
    public static void main(String[] args) {
        System.out.println("欢迎登录");
        Scanner scanner = new Scanner(System.in);
        System.out.println("请输入用户名");
        String username = scanner.nextLine();
        System.out.println("请输入密码");
        String password = scanner.nextLine();

        try (
                Connection connection = DBUtil.getConnection();
        ){
            Statement statement = connection.createStatement();
           
            String sql = "SELECT id,username,password,nickname,age " +
                         "FROM userinfo " +
                         "WHERE username='"+username+"' " +
                         "AND password='"+password+"'";
            ResultSet rs = statement.executeQuery(sql);
            if(rs.next()){//根据该用户名和密码作为过滤条件查询到记录,说明登录成功
                String nickname = rs.getString("nickname");
                System.out.println("登录成功!欢迎回来:"+nickname);
            }else{
                System.out.println("登录失败,用户名或密码错误");
            }

        } catch (SQLException throwables) {
            throwables.printStackTrace();
        }
    }
}

sql语句WHERE筛选条件正常语义判断为满足正常用户名和密码正确可登录,不满足失败

 String sql = "SELECT id,username,password,nickname,age " +
                         "FROM userinfo " +
                         "WHERE username='"+username+"' " +
                         "AND password='"+password+"'";
            ResultSet rs = statement.executeQuery(sql);

此时我正常输入不满足的值,登录失败。

 如果注入攻击输入,即:

 登录成功了,并获取到了数据。

因为它此时的SQL语句是:

SELECT id,username,password,nickname,age
FROM userinfo
WHERE username='aaa' AND password='aaa' OR '1'='1'

AND优先级比OR高,那么WHERE中为A OR B满足其中一条就可通过,而‘1’=‘1’是恒定为true的,所以WHERE失效。

针对这个问题,JAVA提供了预编译。

预编译SQL

当SQL中含有变量时,通常我们不能直接拼接SQL语句,因为这存在SQL注入攻击。

  • 我们可以使用预编译SQL语句,在预编译SQL语句中变量部分先用"?"代替。
  • 然后将整条预编译SQL传给数据库使其生成执行计划(此时数据库就已经确定了SQL语义),然后等待我们传入"?"对应的值然后执行这条SQL。
  • 此时无论我们传入的值是什么,数据库都仅会将其当做值看待,并不会在改变SQL语义。

例如:

为登录逻辑编写预编译SQL语句

 SELECT id,username,password,nickname
 FROM userinfo
 WHERE username=? AND password=?

先将这个SQL发送给数据库,此时数据库就理解了这个SQL的语义。但是还不能执行,因为缺少?表达的两个值

当我们需要执行这条SQL时,我们仅需要再传入两个值给数据库即可:

public class JDBCDemo7 {
    public static void main(String[] args) {
        try (
                Connection connection = DBUtil.getConnection();
        ){
            String sql = "SELECT id,username,password,nickname,age " +
                         "FROM userinfo " +
                         "WHERE username=? AND password=?";
            //创建PrepareStatement是要现将预编译SQL传入,此时该方法会将该SQL传给数据库
            PreparedStatement ps = connection.prepareStatement(sql);
            //为?指定值
            //给第一个"?"(用户名的值)指定值,由于用户名为VARCHAR类型,因此这里要设定字符串
            //参数1:第几个"?".下标从1开始.
//            ps.setString(1,"张三");
//            ps.setString(2,"123456");
            ps.setString(1,"abbaba");
            ps.setString(2,"a' OR '1'='1");//不会改变语义,仅将其当做密码的值看待
            //执行该DQL,此时不需要再传入SQL语句了.执行时会将上述设置的"?"表达的值传递给数据库
            ResultSet rs = ps.executeQuery();
            if(rs.next()){
                String nickname = rs.getString("nickname");
                System.out.println("登录成功!欢迎回来:"+nickname);
            }else{
                System.out.println("登录失败,用户名或密码错误");
            }

        } catch (SQLException throwables) {
            throwables.printStackTrace();
        }


    }
}

代码思路:

获得连接对象connection

通过连接对象获得ps预编译执行对象,并在此时将预编译SQL传入(没有预编译时是在调用执行对象方法是传入)

调用setString给?赋值

在调用执行方法ps.executeQuery()执行(此时不用传SQL了)

判断是否有满足WHERE语句的记录并输出

同理在其他语言中也是如此,比如DML语言中:

 

万物更新_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java 预编译sql_JDBC编程之预编译SQL与防注入
weixin_26875109的博客
02-21 1369
JDBC编程中,常用Statement、PreparedStatement和CallableStatement三种方式来执行查询语句,其中Statement用于通用查询,PreparedStatement用于执行参数化查询,而CallableStatement则是用于存储过程。1、Statement该对象用于执行静态的 SQL 语句,并且返回执行结果。 此处的SQL语句必须是完整的...
JDBC小记——SQL注入预编译操作对象、批处理
m0_63138660的博客
06-25 807
首先建一个工具包,在里面定义JBDC工具类但是,数据库、用户名和密码总不是固定不变的,当我们需要去改变时,需要打开这个工具类来改变数据,不如我们创建一个配置文件,使用配置文件来读取数据、修改数据来的方便。1.创建配置文件2.配置3.在工具类中使用配置文件。
预编译sql注入
weixin_54855337的博客
12-05 2848
预编译sql注入
sql注入预编译
qq_61109509的博客
02-25 1832
sql预处理就是提前告诉sql语法处理器,提前声明且编译特定格式的sql语句,将所有用户的输入视为纯字符串参数,最后组成查询语句 php使用预处理的步骤 1,连接到数据库 2,设置预处理语句的结构 3,用户输入 4,执行sql语句 $stmt=$conn->prepare('SELECT 1 FROM user WHERE username=? AND password=?'); //设置预处理的语句结构,?表示要填入的用户输入 $input_username="root"; $.
现在SQL注入死透了吗?
2301_77147676的博客
03-30 1307
就算是有经验的程序员,在快速上线的压力下,也没有时间再去考虑信息安全的问题。1.预编译不能解决所有SQL注入:比如表名/列名/排序动态传入的场景,原因是这些地方不能预编译,因此很多人还是直接拼接的,且囿于对预编译的信赖,从外到里没有过滤。需要对所有的异常情况进行捕获,切记接口直接返回异常信息,因为有些异常信息中包含了sql信息,包括:库名,表名,字段名等。最后,其实我想说的是,就新开发的系统来说,SQL注入漏洞确实越来越少了,做到这一点的不是大家的安全意识增强,都知道使用预编译了,而是。
SQL注入——预编译CASE注入
来日可期的博客
09-25 1627
预编译 CASE(Prepared CASE)是一种数据库查询语言(如SQL)中的控制语句,它可以根据条件表达式的值来选择执行不同的语句块,类似于编程语言中的 switch 语句。预编译 CASE 注入则是一种基于预编译 CASE 语句的安全漏洞攻击预编译 CASE 注入攻击的漏洞原理与其他类型的注入攻击相似,即攻击者尝试构造特定的输入数据来绕过应用程序的输入验证和过滤机制,从而能够执行未经授权的操作或获得敏感信息等。在预编译 CASE 注入攻击中,攻击者通常会针对应用程序中存在的具有条件判断语句
适用SQL Server 2016版本的数据库加载驱动包jdbc
最新发布
03-19
或者使用预编译的`PreparedStatement`以提高性能和安全性: ```java PreparedStatement pstmt = conn.prepareStatement("INSERT INTO yourTable VALUES (?, ?)"); pstmt.setString(1, "value1"); pstmt.setInt...
JAVA使用JDBC技术操作SqlServer数据库实例代码
08-31
- 插入数据:在`GetInsert()`方法中,创建`PreparedStatement`对象,预编译SQL插入语句,设置参数,然后调用`executeUpdate()`执行插入操作。 - 查询数据:在`GetSelect()`方法中,创建`Statement`或`...
JDBC连接MySQL&sqlserver.zip
01-04
- `Statement`用于执行静态SQL语句,而`PreparedStatement`则用于预编译SQL语句,支持参数化查询,更安全且性能更好。 - `ResultSet`对象存储查询结果,提供遍历查询结果的方法。 2. **连接MySQL** - 首先需要在...
sqljdbcsqljdbc4 sqlserver最新驱动
04-21
在实际使用时,要注意安全最佳实践,比如避免SQL注入,使用预编译的PreparedStatement,及时关闭数据库连接,以及考虑使用连接池以提高性能和资源管理。 7. 兼容性: 这些驱动通常兼容各种SQL Server版本,包括...
java连接SQLServer数据库JDBC驱动
04-08
9. **性能优化**: 使用`PreparedStatement`可以避免SQL注入攻击,并且通常比`Statement`执行得更快。此外,考虑使用批处理(`addBatch()`和`executeBatch()`)来一次执行多个相似的SQL语句。 10. **连接池**: 在生产...
快速入门Jdbc原理+Jdbc实战
qq_40492693的博客
06-13 771
Java数据库连接,(Java Database Connectivity,简称JDBC)是Java语言中用来规范客户端程序如何来访问数据库的应用程序接口,提供了诸如查询和更新数据库中数据的方法。JDBC也是Sun Microsystems的商标。
JDBC的简单使用+SQL预编译使用+数据库连接池(阿里巴巴的)的使用
qq_53679247的博客
10-12 1580
JDBC的简单使用+SQL预编译使用+数据库连接池(阿里巴巴的)的使用
[疯狂Java]JDBC:PreparedStatement预编译执行SQL语句
热门推荐
Lirx_Tech的专栏
04-14 1万+
1. SQL语句的执行过程——Statement直接执行的弊病:     1) SQL语句和编程语言一样,仅仅就会普通的文本字符串,首先数据库引擎无法识别这种文本字符串,而底层的CPU更不理解这些文本字符串(只懂二进制机器指令),因此SQL语句在执行之前肯定需要编译的;     2) SQL语句的执行过程:提交SQL语句 -> 数据库引擎对SQL语句进行编译得到数据库可执行的代码 -> 执行S
JDBC连接执行SQL
weixin_73849581的博客
03-09 3571
JDBC
Java JDBC下执行SQL的不同方式、参数化预编译防御
weixin_34290631的博客
04-28 289
相关学习资料 http://zh.wikipedia.org/wiki/Java数据库连接 http://lavasoft.blog.51cto.com/62575/20588 http://blog.csdn.net/cxwen78/article/details/6863696 http://www.ibm.com/developerworks/cn/java/jdbc-objec...
预编译SQL注入
weixin_50968698的博客
09-23 953
预编译SQL注入
利用预编译技术防御SQL注入
sangfor_edu的博客
10-28 2697
预编译又称为预处理,顾名思义,就是为代码编译做的预备工作。预编译指令指示了在程序正式编译前就由编译器进行的操作,可以放在程序中的任何位置。对于数据库来说,通常一条SQL语句从传入到执行经历了以下过程:(1)词法和语义解析优化;(2)制定执行计划;(3)执行并返回结果。这种普通语句称为Immediate Statements。
java安全(二):JDBC|sql注入|预编译
weixin_45694388的博客
11-14 6166
1 JDBC基础 JDBC(Java Database Connectivity)是Java提供对数据库进行连接、操作的标准API。Java自身并不会去实现对数据库的连接、查询、更新等操作而是通过抽象出数据库操作的API接口(JDBC),不同的数据库提供商必须实现JDBC定义的接口从而也就实现了对数据库的一系列操作。 2 JDBCConnection 2.1连接 Java通过java.sql.DriverManager来管理所有数据库的驱动注册,所以如果想要建立数据库连接需要先在java.sql.Drive
Oracle开发人员防范SQL注入攻击指南
- **绑定变量**:使用预编译语句和绑定变量可以有效防止SQL注入。 - **输入有效性验证**:对用户输入进行严格的检查和过滤。 - **函数安全性**:限制对某些可能导致安全问题的函数的访问。 - **错误信息**:避免...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值