Java模拟SQL注入问题及解决方案

最新推荐文章于 2024-08-22 21:31:23 发布
最新推荐文章于 2024-08-22 21:31:23 发布
阅读量717 收藏
点赞数
分类专栏: java 文章标签: sql java 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Yukies/article/details/128837813
版权
1. 代码模拟SQL注入问题
@Test
public void testLogin() throws  Exception {
    //2. 获取连接:如果连接的是本机mysql并且端口是默认的 3306 可以简化书写
    String url = "jdbc:mysql:///db1?useSSL=false";
    String username = "root";
    String password = "1234";
    Connection conn = DriverManager.getConnection(url, username, password);

    // 接收用户输入 用户名和密码
    String name = "sjdljfld";
    String pwd = "' or '1' = '1";
    String sql = "select * from tb_user where username = '"+name+"' and password = '"+pwd+"'";
    // 获取stmt对象
    Statement stmt = conn.createStatement();
    // 执行sql
    ResultSet rs = stmt.executeQuery(sql);
    // 判断登录是否成功
    if(rs.next()){
        System.out.println("登录成功~");
    }else{
        System.out.println("登录失败~");
    }

    //7. 释放资源
    rs.close();
    stmt.close();
    conn.close();
}

上面代码是将用户名和密码拼接到sql语句中,拼接后的sql语句如下

select * from tb_user where username = 'sjdljfld' and password = ''or '1' = '1'

从上面语句可以看出条件 username = 'sjdljfld' and password = '' 不管是否满足,而 or 后面的 '1' = '1' 是始终满足的,最终条件是成立的,就可以正常的进行登陆了。

接下来我们来学习PreparedStatement对象.

2. PreparedStatement概述

PreparedStatement作用:

  • 预编译SQL语句并执行:预防SQL注入问题

  • 获取 PreparedStatement 对象

    // SQL语句中的参数值,使用?占位符替代
String sql = "select * from user where username = ? and password = ?";
// 通过Connection对象获取,并传入对应的sql语句
PreparedStatement pstmt = conn.prepareStatement(sql);

  • 设置参数值

    上面的sql语句中参数使用 ? 进行占位,在之前之前肯定要设置这些 ? 的值。

    PreparedStatement对象:setXxx(参数1,参数2):给 ? 赋值

    • Xxx:数据类型 ; 如 setInt (参数1,参数2)

    • 参数:

      • 参数1: ?的位置编号,从1 开始

      • 参数2: ?的值

  • 执行SQL语句

    executeUpdate(); 执行DDL语句和DML语句

    executeQuery(); 执行DQL语句

    注意:

    • 调用这两个方法时不需要传递SQL语句,因为获取SQL语句执行对象时已经对SQL语句进行预编译了。
3. 使用PreparedStatement改进
 @Test
public void testPreparedStatement() throws  Exception {
    //2. 获取连接:如果连接的是本机mysql并且端口是默认的 3306 可以简化书写
    String url = "jdbc:mysql:///db1?useSSL=false";
    String username = "root";
    String password = "1234";
    Connection conn = DriverManager.getConnection(url, username, password);

    // 接收用户输入 用户名和密码
    String name = "zhangsan";
    String pwd = "' or '1' = '1";

    // 定义sql
    String sql = "select * from tb_user where username = ? and password = ?";
    // 获取pstmt对象
    PreparedStatement pstmt = conn.prepareStatement(sql);
    // 设置?的值
    pstmt.setString(1,name);
    pstmt.setString(2,pwd);
    // 执行sql
    ResultSet rs = pstmt.executeQuery();
    // 判断登录是否成功
    if(rs.next()){
        System.out.println("登录成功~");
    }else{
        System.out.println("登录失败~");
    }
    //7. 释放资源
    rs.close();
    pstmt.close();
    conn.close();
}

执行上面语句就可以发现不会出现SQL注入漏洞问题了。那么PreparedStatement又是如何解决的呢?它是将特殊字符进行了转义,转义的SQL如下:

select * from tb_user where username = 'sjdljfld' and password = '\'or \'1\' = \'1'
4. PreparedStatement原理

PreparedStatement 好处:

  • 预编译SQL,性能更高
  • 防止SQL注入:将敏感字符进行转义

Java代码操作数据库流程如图所示:

  • 将sql语句发送到MySQL服务器端

  • MySQL服务端会对sql语句进行如下操作

    • 检查SQL语句

      检查SQL语句的语法是否正确。

    • 编译SQL语句。将SQL语句编译成可执行的函数。

      检查SQL和编译SQL花费的时间比执行SQL的时间还要长。如果我们只是重新设置参数,那么检查SQL语句和编译SQL语句将不需要重复执行。这样就提高了性能。

    • 执行SQL语句

接下来我们通过查询日志来看一下原理。

  • 开启预编译功能

    在代码中编写url时需要加上以下参数。而我们之前根本就没有开启预编译功能,只是解决了SQL注入漏洞。

    useServerPrepStmts=true

  • 配置MySQL执行日志(重启mysql服务后生效)

    在mysql配置文件(my.ini)中添加如下配置

    log-output=FILE
general-log=1
general_log_file="D:\mysql.log"
slow-query-log=1
slow_query_log_file="D:\mysql_slow.log"
long_query_time=2

  • java测试代码如下:

     /**
   * PreparedStatement原理
   * @throws Exception
   */
@Test
public void testPreparedStatement2() throws  Exception {

    //2. 获取连接:如果连接的是本机mysql并且端口是默认的 3306 可以简化书写
    // useServerPrepStmts=true 参数开启预编译功能
    String url = "jdbc:mysql:///db1?useSSL=false&useServerPrepStmts=true";
    String username = "root";
    String password = "1234";
    Connection conn = DriverManager.getConnection(url, username, password);

    // 接收用户输入 用户名和密码
    String name = "zhangsan";
    String pwd = "' or '1' = '1";

    // 定义sql
    String sql = "select * from tb_user where username = ? and password = ?";

    // 获取pstmt对象
    PreparedStatement pstmt = conn.prepareStatement(sql);

    Thread.sleep(10000);
    // 设置?的值
    pstmt.setString(1,name);
    pstmt.setString(2,pwd);
    ResultSet rs = null;
    // 执行sql
    rs = pstmt.executeQuery();

    // 设置?的值
    pstmt.setString(1,"aaa");
    pstmt.setString(2,"bbb");
    // 执行sql
    rs = pstmt.executeQuery();

    // 判断登录是否成功
    if(rs.next()){
        System.out.println("登录成功~");
    }else{
        System.out.println("登录失败~");
    }

    //7. 释放资源
    rs.close();
    pstmt.close();
    conn.close();
}

  • 执行SQL语句,查看 D:\mysql.log 日志如下:

请添加图片描述

上图中第三行中的 Prepare 是对SQL语句进行预编译。第四行和第五行是执行了两次SQL语句,而第二次执行前并没有对SQL进行预编译。

小结:

  • 在获取PreparedStatement对象时,将sql语句发送给mysql服务器进行检查,编译(这些步骤很耗时)
  • 执行时就不用再进行这些步骤了,速度更快
  • 如果sql模板一样,则只需要进行一次检查、编译
毫无感情的吃瓜群众
关注
专栏目录
SQL注入现象及其解决方案
weixin_55782195的博客
06-16 907
一、SQL注入 1.1、SQL注入产生的原因 导致SQL注入的根本原团是:用户不是一般的用户, 用户是懂得程序的,输入的用户名信息以及密码信息中含有SQL语句的关键字,这个SQL语句的关键字和底层的SQL语句进行“字符串拼接”,导致原SQL语旬的含义被扭曲了。最最最主要的原因是:用户提供的信息参与了SQL语句的编译。 根本原因:先进行了字符串拼接,然后再进行编译 举个例子! 数据库信息表t_user为: 连接数据库模拟用户登录 package resource; import java.sql.*;
java回顾:JDBC、工具类、事务、SQL注入
m0_56678122的博客
10-11 461
JDBC、工具类、事务、SQL注入
SQL注入安全问题解决方案-JAVA
11-25
SQL注入安全问题解决方案-JAVA SQL注入安全问题解决方案-JAVA
JavaSQL注入的防范与解决方法
hymua的博客
02-05 1489
SQL注入是一种常见而危险的安全漏洞,但通过采取适当的防范措施,可以有效地保护应用程序免受这种类型的攻击。在编写Java应用程序时,遵循上述的最佳实践是确保数据库安全的关键步骤。通过使用预编译语句、ORM框架、输入验证和过滤以及最小化数据库权限,可以显著提高应用程序的安全性,保护用户的数据不受损害。
Java使用JDBC开发 之 SQL注入攻击和解决方案
最新发布
2401_85958150的博客
08-22 675
在用户登录的时候,我们往往需要输入账号和密码,通过账号和密码和数据库中保存的账号密码进行匹配,匹配成功则登录成功,但是在匹配的时候会存在注入攻击的安全隐患,在输入账号和密码的时候,在末尾加上 “or” 再接上任何为真的语句,这样一来,有真就为真,这样也能登录成功。//url: 数据库地址 jdbc:mysql://连接主机IP:端口号//数据库名字。//url: 数据库地址 jdbc:mysql://连接主机IP:端口号//数据库名字。//1.注册驱动 反射技术,将驱动类加入到内容。
Java使用JDBC开发 之 SQL注入攻击和解决方案,linux应用开发面试题
m0_64383449的博客
12-08 639
public static void main(String[] args) throws ClassNotFoundException, SQLException { //1.注册驱动 反射技术,将驱动类加入到内容 Class.forName(“com.mysql.jdbc.Driver”); //2.获得数据库连接 DriverManager类中静态方法 //static Connection getConnection(String url, String user, String password
Java-Sql注入以及如何解决
ngczx的博客
07-08 362
Javasql注入
Java程序员从笨鸟到菜鸟之(一百零二)sql注入攻击详解(三)sql注入解决办法...
红太阳照大地
11-05 868
在前面的博客中,我们详细介绍了: sql注入攻击详解(二)sql注入过程详解 sql注入攻击详解(一)sql注入原理详解 我们了解了sql注入原理和sql注入过程,今天我们就来了解一下sql注入解决办法。怎么来解决和防范sql注入,由于本人主要是搞javaweb开发的小程序员,所以这里我只讲一下有关于javaweb的防止办法。其实对于其他的,思路基本相似。下面我们先...
java web Xss及sql注入过滤器.zip
04-22
本项目"java web Xss及sql注入过滤器.zip"就是针对这两种威胁提供的一种解决方案,基于流行的Spring Boot 2.0框架进行开发。 XSS 攻击是通过在网页中插入恶意脚本,当其他用户访问该页面时,这些脚本会被执行,从而...
一个基于java开发的漏洞测试环境,其中包括了sql注入,csrf,任意文件上传,越权等等.zip
03-24
这些漏洞包括SQL注入、CSRF(跨站请求伪造)、任意文件上传以及权限越权,这些都是网络安全领域中至关重要的知识点。 **SQL注入**是一种攻击手段,攻击者通过在输入数据中嵌入恶意的SQL语句,欺骗数据库执行非预期...
SQL注入漏洞检测原型工具
11-06
总的来说,"SQL注入漏洞检测原型工具"是一个综合性的解决方案,旨在帮助开发者和安全专家识别和修复SQL注入问题。它结合了动态检测和静态分析两种策略,覆盖了从运行时到开发阶段的整个过程。通过学习和使用这个工具...
java防止SQL注入
11-19
java防止SQL注入对一个系统十分的重要,系统没有安全保障,那再好的系统也是扯淡。在平时系统开发中一定注意安全漏洞。
Java防止SQL注入的几个途径
12-14
JavaSQL注入,最简单的办法是杜绝SQL拼接,经验和技巧之谈,不错推荐。
SQL注入过滤 (Java版)
11-17
SQL 安全注入漏洞过滤器类 Java实现 Java类实现,以及配置文件web.xml
关于java程序SQL注入的解析以及解决方法
lvkemitu的博客
06-04 924
SQL注入的解析: SQL注入解决方法:
JAVA】如何解决SQL注入
热门推荐
阳阳的博客
11-02 1万+
如何解决SQL注入? 面试中经常问到,SQL注入是什么?又怎么防止SQL注入?为了不再尴尬得只回答出使用PreparedStatement,我们还是有必要了解一下其他的方式。 一、什么是SQL注入? 说简单点,就是部分用户在表单中输入sql语句的片段,对没有输入检验的网站可能带来毁灭性的打击,轻则绕过登录,重则...
java修复sql注入问题常用方法
BHSZZY的博客
10-10 1705
1.把xml里的$换成#2.部分不好换的地方,尝试使用bind标签,看能否实现需求。
java程序中sql注入分析及优化方案
weixin_33709609的博客
02-28 86
先来看看百度百科的解释:所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。比如先前...
浅谈JavaSQL注入问题
weixin_42603304的博客
03-07 2465
SQL注入什么是SQL注入Mybatis下SQL注入如何解决SQL注入 什么是SQL注入 所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 Mybatis下SQL注入 Mybatis的SQL语句可以基于注解的方式写在类方法上面,更多的是以xml的方式写到xml文件。Mybatis中SQL语句需要我们自己手动编写或者用generator自动生成。 编写xml文件时,Mybatis支持两种参数符号,一种是#,另一种是$。 Java
Java实现SQL解析器:Tokenizer类详解
在实际开发中,Java解析SQL语句常常用于SQL注入防护、SQL动态生成、SQL优化等领域。对于复杂的SQL解析,使用成熟的解析库如JSqlParser能大大简化工作,因为它处理了许多细节和复杂性,如支持多种SQL方言、处理嵌套...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值