【Java编程】JDBC注入攻击-Statement 与 PreparedStatement

最新推荐文章于 2022-06-03 08:59:30 发布
最新推荐文章于 2022-06-03 08:59:30 发布
阅读量3.3k 收藏 6
点赞数 1
分类专栏: Java Java编程 文章标签: java 注入攻击 mysql Statement PreparedStatement
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/andie_guo/article/details/25775163
版权

在上一篇【Java编程】建立一个简单的JDBC连接-Drivers, Connection, Statement and PreparedStatement我们介绍了如何使用JDBC驱动建立一个简单的连接,并实现使用Statement和PreparedStatement进行数据库查询,本篇blog将接着上篇blog通过SQL注入攻击比较Statement和PreparedStatement。当然这两者还有很多其他方面的不同,在之后的blog中会继续更新。

【Statement查询】

1、在DBHelper.java中新增一个通过username和password查询user的方法。

	public static void queryByUser(String username,String password) {
		Connection conn = DBConnection.getConnection();
		Statement stmt = null;
		ResultSet rs = null;
		try {
			stmt = conn.createStatement();
			rs = stmt.executeQuery("select * from user where username = '" + username+"' and password='"+password+"'");
			while (rs.next()) {
				User user = new User();
				user.setId(rs.getInt("id"));
				user.setUsername(rs.getString("username"));
				user.setPassword(rs.getString("password"));
				user.setGender(rs.getBoolean("gender"));
				user.setRegtime(rs.getDate("regtime"));
				System.out.println(user.toString());
			}
		} catch (SQLException e) {
			e.printStackTrace();
		}finally {
			DBConnection.closeResultSet(rs);
			DBConnection.closeStatement(stmt);
			DBConnection.closeConnection(conn);
		}
	}

2、在DBHelperTest.java中新增一个测试方法进行测试 

	public void queryByUserTest(){
		DBHelper.queryByUser("jack", "jack");
	}

Java端测试结果:

User [id=2, username=jack, password=jack, gender=true, regtime=2014-05-14]

测试结果表明:通过一个有效的用户名和密码,成功获取到了该用户的所有信息。

3、 通过MySQL日志信息,跟踪查询sql语句。具体方法参考 MySQL如何跟踪sql语句

打开mysql.log日志,跟踪查看最新的日志,如下所示:

140514 10:16:13	   15 Query	SET character_set_results = NULL
		   15 Query	SHOW VARIABLES
		   15 Query	SHOW WARNINGS
		   15 Query	SHOW COLLATION
		   15 Query	SET autocommit=1
		   15 Query	select * from user where username = 'jack' and password='jack'
		   15 Quit

日志信息表明:数据库端执行了正常的查询语句。

4、在DBHelperTest.java中新增一个注入攻击测试,用户名输入:hack(任意字符串),密码输入:' or '1'='1

	public void queryByUserInjectTest(){
		DBHelper.queryByUser("hack", "' or '1'='1");
	}

Java端测试结果:

User [id=1, username=andy, password=andy, gender=true, regtime=2014-05-13]
User [id=2, username=jack, password=jack, gender=true, regtime=2014-05-14]
User [id=3, username=rose, password=rose, gender=false, regtime=2014-05-13]

测试结果表明:通过注入攻击,一个非法的用户可以获取到user表中的所有用户信息,太可怕了!

5、通过MySQL日志信息,跟踪查询sql语句,分析数据端到底发生了什么事情。

140514 10:23:14	   16 Connect	root@localhost on db_bbs
		   16 Query	SET NAMES latin1
		   16 Query	SET character_set_results = NULL
		   16 Query	SHOW VARIABLES
		   16 Query	SHOW WARNINGS
		   16 Query	SHOW COLLATION
		   16 Query	SET autocommit=1
		   16 Query	select * from user where username = 'hack' and password='' or '1'='1'
		   16 Quit
数据库端执行了一条语句:

select * from user where username = 'hack' and password='' or '1'='1'

因为where条件恒为真,相当于执行了:

select * from user 

通过这条语句获取到了所有的用户信息。

【PreparedStatement查询】

1、在DBHelper.java中新增一个通过username和password查询user的方法。 

public static void queryPrepareByUser(String username,String password) {
		Connection conn = DBConnection.getConnection();
		PreparedStatement ps = null;
		ResultSet rs = null;
		try {
			ps = conn.prepareStatement("select * from user where username = ? and password = ?");
			ps.setString(1,username);// 设置占位符参数
			ps.setString(2, password);
			rs = ps.executeQuery();
			while (rs.next()) {
				User user = new User();
				user.setId(rs.getInt("id"));
				user.setUsername(rs.getString("username"));
				user.setPassword(rs.getString("password"));
				user.setGender(rs.getBoolean("gender"));
				user.setRegtime(rs.getDate("regtime"));
				System.out.println(user.toString());
			}
		} catch (SQLException e) {
			e.printStackTrace();
		} finally {
			DBConnection.closeResultSet(rs);
			DBConnection.closeStatement(ps);
			DBConnection.closeConnection(conn);
		}
	}
2、在DBHelperTest.java中新增一个测试方法进行测试 

public void queryByPreparedUserTest(){
		DBHelper.queryPrepareByUser("jack", "jack");
	}
Java端测试结果:

User [id=2, username=jack, password=jack, gender=true, regtime=2014-05-14]

测试结果表明:通过一个合法的用户名和密码,得到了该用户的所有信息。

3、 通过MySQL日志信息,跟踪查询sql语句。

140514 10:37:04	   17 Connect	root@localhost on db_bbs
		   17 Query	SET NAMES latin1
		   17 Query	SET character_set_results = NULL
		   17 Query	SHOW VARIABLES
		   17 Query	SHOW WARNINGS
		   17 Query	SHOW COLLATION
		   17 Query	SET autocommit=1
		   17 Prepare	select * from user where username = ? and password = ?
		   17 Execute	select * from user where username = 'jack' and password = 'jack'
		   17 Close stmt	
		   17 Quit
日志信息表明:数据库端首先执行了 预编译,并执行了正常的查询语句。

4、在DBHelperTest.java中新增一个注入攻击测试:

	public void queryByPreparedUserInjectTest(){
		DBHelper.queryPrepareByUser("hack", "' or '1'='1");
	}

Java端测试结果:

没有打印出任何消息,即没有获取到用户的信息,难道注入攻击无效

5、通过MySQL日志信息,跟踪查询sql语句,为什么注入攻击无效了?

140514 10:42:42	   19 Query	SET character_set_results = NULL
		   19 Query	SHOW VARIABLES
		   19 Query	SHOW WARNINGS
		   19 Query	SHOW COLLATION
		   19 Query	SET autocommit=1
		   19 Prepare	select * from user where username = ? and password = ?
		   19 Execute	select * from user where username = 'hack' and password = '\' or \'1\'=\'1'
		   19 Close stmt	
		   19 Quit

原来是执行了:select * from user where username = 'hack' and password = '\' or \'1\'=\'1'

【参考】

JDBC Statement vs PreparedStatement – SQL Injection Example(推荐)

JDBC为什么要使用PreparedStatement而不是Statement

【你可能感兴趣】

建立一个简单的JDBC连接-Drivers, Connection, Statement and PreparedStatement

转载请注明出处:http://blog.csdn.net/andie_guo/article/details/25775163,谢谢!

andie_guo
关注
专栏目录
JDBC入门七:SQL注入攻击:SQL注入攻击的解决策略:PreparedStatement预编译SQL;
小枯林的博客
04-11 613
的粉红色倒海翻江 1.PreparedStatemen简介 PreparedStatement:预编译Statement,其目的是解决SQL注入攻击的问题。 PreparedStatement: (1)PreparedStatement本质也是一个接口,只是其继承自Statement接口;专用于对SQL语句进行预处理以后再去执行; (2)在实际工作中,推荐使用PreparedStatement; 2.PreparedStatement和Sta...
Java-JDBC学习教程-由浅入深.doc
最新发布
06-27
JDBCJava Database Connectivity)是Java语言中用来对关系数据库进行访问的标准Java API,它由一组用Java编程语言编写的类和接口组成。JDBC提供了诸如查询执行、结果集处理、数据库连接管理等功能,使开发者能够...
java JDBC Sql注入攻击
feixde的博客
06-03 307
查询: sql注入攻击和PreparedStatement: 其实本质就是PreparedStatement会对参数中的特殊字符进行转义处理,而不是直接拼接。它使用一个?占位,代表一个参数。在设置参数时,如果参数是字符串,拼接sql语句时会自动为字符串加上引号以此表明这是一个字符串,同时对参数内自带的特殊符号会进行转义处理。...
JDBC-sql注入攻击
weixin_30613727的博客
09-18 87
10 SQL注入攻击 -- 早年登录逻辑,就是把用户在表单中输入的用户名和密码 带入如下sql语句. 如果查询出结果,那么 认为登录成功. SELECT * FROM USER WHERE NAME='' AND PASSWORD='xxx'; -- sql注入: 请尝试以下 用户名和密码. /* 用户名: 密码: xxx*/-- 将用户名和密码带入sql语句, 如下: ...
Injection Attacks-Log 注入
weixin_34272308的博客
03-11 367
日志注入(也称日志文件注入) 很多应用都维护着一系列面向授权用户、通过 HTML 界面展示的日志,因而成为了攻击者的首要目标,这些攻击者试图伪装其他攻击、误导日志读者,甚至对阅读和分析日志监测应用的用户安装后续攻击程序。 日志的脆弱性取决于对日志编写过程的控制,以及是否确保对日志条目进行任何监控或分析时,日志数据被看作非置信数据源。 简单的日志系统可能...
JDBC(PreparedStatement,sql注入)
各种西瓜的博客
03-23 626
sql注入SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。简单的说就是由于没有对用户输入进行充分检查,而SQL又是拼接而成,在用户输入参数时,在参数中添加一些SQL 关键字,达到改变SQL运行结果的目的,也可以完成恶意攻击。假设我的
掌握Java JDBC:基础、Statement、PreparedStatement与事务控制
- **PreparedStatement**:Statement的子接口,提供预编译的SQL语句,提高了性能和安全性,因为可以避免SQL注入攻击。 3. **事务基础知识** - 事务是数据库操作的基本单位,确保数据的一致性。SQL语句的事务控制...
jdbc-odbc-with-nevigation-facility.zip_Java编程_Java_
08-12
Java编程中的JDBCJava Database Connectivity)是一种标准的API,用于在Java应用程序中与各种数据库进行交互。ODBC(Open Database Connectivity)是另一个接口,它为应用程序提供了一种与多种数据库系统连接的...
JDBC的SQL注入攻击
qq_45061361的博客
06-05 705
SQL注入问题1、SQL注入原理1.1 SQL注入攻击:1.2 SQL注入案例1.3 SQL注入分析2、如何处理SQL注入问题2.1 PreparedStatement预编译的机制2.2 PreparedStatement的优点2.3 PerparedStatement的使用3、SQL防注入案例 1、SQL注入原理 1.1 SQL注入攻击: 上一篇文章所使用到的SQL语句是拼接出来的,其中有一部分内容是由用户从客户端传入,所以当用户传入的数据中包含sql关键字时,就有可能通过这些关键字改变sql语句的语义,
利用PreparedStatement 结果注入问题
zzcchunter的专栏
05-30 1759
//Statement st = conn.createStatement(); //PreparedStatement ps = conn.prepareStatement(sql); 上面两句话的区别在于 PreparedStatement 在创建的时候需要传入 sql语句,而 Statement的时候才需要传入sql语句 (ResultSet rs = st.executeQuery();
jdbc的学习4“关于sql注入攻击
单俞浩的博客
11-24 320
注入攻击,就是在sql语句传入数据值时做的引号修改 例:"select * from activity where userName = '+username+' and pwd = '+pwd+'" 在传入pwd的值时,传入 123’ or ‘a’ = 'a 这里就改变了sql语句原本的结构了,sql语句变成了 例:"select * from activity where userName = 'XXX' and pwd = '**123’ or 'a' = 'a**'" 所以这里查询是必定成功的。 原
SQL注入(PreparedStatement
zxiang248的专栏
06-16 372
public class Demo2 { //private String name = "ericdfdfdfddfd' OR 1=1 -- "; private String name= "ericdfdfdfddfd' OR 1=1 -- "; private String password="123456"; @Test public void test1
7. 使用 preparedStatement 解决 SQL 注入问题
DevOps海洋的渔夫@专栏
06-02 3009
7. 使用 preparedStatement 解决 SQL 注入问题前言在上一章节中,我们使用 statement 执行 sql 完成了用户登录的小案例,但是在这个案例中也发现了 SQL...
2.3 PreparedStatement&SQL注入
southdreams的博客
12-30 174
PreparedStatement 概述:执行SQL的对象. SQL注入 在拼接SQL语句的时候,如果有一些SQL的特殊关键字参与了字符串的拼接,会造成安全问题。 a' or 'a'='a 拼接后的SQL语句:select * from user where username = '任意字符' and password = 'a' or...
Statement注入问题浅谈
Stan的专栏
03-22 396
前天有人问我说,我知道用Statement可能会产生注入问题,但是啥是注入问题?其实我知道他了解过,但是现在忘记了….. 谁说不是呢,我也是有些遗忘了,我就知道如果在sql语句后直接拼接条件,是可能产生注入问题 ,当然了如果你设置的条件是你想要,肯定不会出现注入问题的 话不多说,既然说到了注入问题,就去看看这个传说中的“注入问题”…. 先让问题暴露出来,看下面的代码: 现在是这样,假设现...
SQL注入攻击与PreparedStatement
eve8888888的博客
12-31 328
这几天在学习JDBC,一开始用的是Statement,后来一位老师给我们讲课时用的是PreparedStatement,一开始只是觉得PreparedStatement方便了很多,不用反复拼接SQL语句,只需要用?占位就可以了。无聊时百度了一下这两个的区别,才发现PreparedStatement要比Statement强大很多,而且在程序中要使用PreparedStatement。 先来说说为什...
SQL 注入问题的解决(PreparedStatement)
一切随缘的博客
11-19 8483
上篇博客结尾提到了代码的不足:存在SQL注入问题。下面演示一下什么是SQL,注入问题。(就拿上篇的代码举个例子)以上为正常现象,但有些“不法分子”抓住了代码的漏洞,干了一些不为人知的事情。What!竟然登录成功了!发生了甚么?让我们Debug一下,一探究竟。‘1’='1’为true,从而导致了整个柿子返回结果为true。
JDBC-PreparedStatement类详解(解决SQL注入)
qq_43531919的博客
07-26 502
PreparedStatement:执行sql的对象 1. SQL注入问题:在拼接sql时,有一些sql的特殊关键字参与字符串的拼接。会造成安全性问题 1. 输入用户随便,输入密码:a' or 'a' = 'a 2. sql:select * from user where username = 'fhdsjkf' and password = 'a' or 'a' = 'a' 2. 解决sql注入问题:使用PreparedStatement对象来解决 3. 预编译的SQ
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值