Statement对象sql注入漏洞的问题

最新推荐文章于 2023-01-16 17:43:42 发布
最新推荐文章于 2023-01-16 17:43:42 发布
阅读量233 收藏
点赞数
文章标签: 数据库
原文链接:http://www.cnblogs.com/Joke-Jay/p/7339577.html
版权

现在通过mysql以及oracle来测试sql注入  漏洞  

mysql中的注释#    oracle中的注释为--

所以注入漏洞就产生了 

    //登录测试
    public void login()throws Exception{
        Scanner input=new Scanner(System.in);
        System.out.println("登录名:");
        String loginname=input.nextLine();
        System.out.println("密码:");
        String password=input.nextLine();
        
        getConn();
        /*
        String sql="select *from student where name=? and password=?";
        PreparedStatement ps=(PreparedStatement) conn.prepareStatement(sql);
        ps.setObject(1,loginname);
        ps.setObject(2,password);
        System.out.println(sql);
        ResultSet rs=ps.executeQuery();
        */
        
        // * sql注入漏洞
        String sql="select *from student where name='"+loginname+"' and password='"+password+"'";
        System.out.println(sql);
        Statement s=(Statement) conn.createStatement();
        ResultSet rs=s.executeQuery(sql);
        System.out.println(sql);

        boolean flag=false;
        if(rs.next()){
            flag=true;//如果进入到循环 说明有数据 则登录成功 
        }
        if(flag){
            System.out.println("登录成功");
        }else{
            System.out.println("登录失败");
        }
        rs.close();
        closeConn();
    }

就以上代码 ,执行main方法,调用该login()方法 进行验证登录

数据库

第一次 :输入正确的值  进行登录

结果很合理   

第二次:输入错误的账号和密码

结果很合理  登录失败  因为数据库中查询不到该信息

第三次:利用注入漏洞登录

怎么回事  随便输入的内容  竟然登录成功 

原因 :mysql中使用#作为了注释  所以 拼接的sql语句就发生了变化

红色和粉色的框子中 是查询条件  是永远成立的  #作为注释  那么它之后随便输入任何内容都相当于没写   所以这就是利用注释  然后出现的查询漏洞  

mysql注入漏洞语句:' or 1=1 #   所以oracle的注入漏洞语句就是:' or 1=1 --(他们中的恒等式x=x是永远成立的)

所以我们就需要使用PreparedStatement对象  他就是statement对象的增强版

 

转载于:https://www.cnblogs.com/Joke-Jay/p/7339577.html

awv94517
关注
浅析StatementSQL注入问题
slience_duya的博客
06-07 1802
浅析StatementSQL注入问题        Statement接口是java.sql包下的一个接口,是官方提供的用来操作数据库的标准接口之一。接口的实现一般在数据库驱动中。因为所有的与数据库之间的交互都是基于连接对象的,所以它也是由连接对象获取返回的。返回的Statement对象可以理解为是Java执行SQL语句的对...
《OWASP代码审计》学习——SQL注入漏洞审计
PICACHU+++的博客
08-04 653
注入攻击允许恶意用户向应用程序添加或注入内容和命令,以修改其行为。这些类型的攻击是常见且广泛的,黑客很容易测试网站是否易受攻击,攻击者也很容易利用这些攻击。如今,它们在尚未更新的遗留应用程序中非常常见。
Statement及其漏洞
weixin_43654274的博客
03-12 333
1、查询操作 SQL: select * from 表名 --> 原始数据表 --> 结果集 JDBC: 发送查询SQL语句 --> 数据库实现数据检索 —> 数据库将结果集反馈给java应用程序 --> 将结果集实现封装 API: ResultSet对象:结果集对象(数据表-记录、字段) 2、SQL注入攻击 在javaJDBC操作中Statemen...
【大数据系列之JDBC】(四):Statement存在SQL注入问题
CSDN 精品推荐
12-22 320
但是使用Statement会存在SQL注入问题SQL 注入是利用某些系统没有对用户输入的数据进行充分的检查,而在用户输入数据中注入非法的 SQL 语句段或命令(如:SELECT user, password FROM user_table WHERE user=‘a’ OR 1 = ’ AND password = ’ OR ‘1’ = ‘1’) ,从而利用系统的 SQL 引擎完成恶意行为的做法。正常来将要用户名和密码全部匹配成功才可查询到,但是经过SQL注入后,上面的SQL后面会多一个。
Statementsql注入问题
cnbird's blog
03-15 2160
SQL注入,PreparedStatementStatement * 在SQL中包含特殊字符或SQL的关键字(如:' or 1 or ')时Statement将出现不可预料的结果(出现异常或查询的结果不正确),可用PreparedStatement来解决。 * PreperedStatement(从Statement扩展而来)相对Statement的优点:       1.没有SQL注入
使用Statement类执行SQL语句时存在SQL注入漏洞(黑客攻击数据库常用手段),及预防注入的方法(PrepareStatement类)
mayanni_blogs的博客
09-02 1006
什么是SQL注入 SQL注入攻击通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,它目前是黑客对数据库进行攻击的最常用手段之一。 SQL注入实例 绕过登录(只需知道用户名、无需知道密码即可登录成功) 实际userName=“zs”;password=“123”; //模拟用户输入userName和password St...
SQL注入漏洞过程实例及解决方案
09-08
SQL注入漏洞是网络安全中的一个重要问题,它允许攻击者通过在输入字段中插入恶意SQL代码来操纵数据库查询,从而获取未经授权的数据或执行恶意操作。本文将深入探讨SQL注入漏洞的过程,并提供具体的解决方案。 首先...
防御SQL注入的方法总结
12-15
如Hibernate和MyBatis等对象关系映射框架,它们在底层处理了SQL的预编译和参数绑定,降低了SQL注入的风险。但使用时仍需注意框架的安全配置,避免框架的默认设置带来的潜在问题。 9. **持续更新与审计**: 定期...
java-sec-code sql注入漏洞分析
weixin_44687621的博客
08-14 531
之前在idea上搭建了项目java security code,并做了点简单的测试。发现虽然有Eureka组件的报错,但是还是能完美地实现简单命令执行漏洞的,今天尝试以下sql注入漏洞。 环境搭建 启动mysql服务,查看连接是否正常,并建立对应的数据库和数据表 如果出现time zone的错误,请提升mysql版本。或将jdbc连接改为 String url = "jdbc:mysql://localhost:3306/sectest?serverTimezone=UTC"; 接下来,开启服务,访问h
Statement的注入问题浅谈
Stan的专栏
03-22 395
前天有人问我说,我知道用Statement可能会产生注入问题,但是啥是注入问题?其实我知道他了解过,但是现在忘记了….. 谁说不是呢,我也是有些遗忘了,我就知道如果在sql语句后直接拼接条件,是可能产生注入问题 ,当然了如果你设置的条件是你想要,肯定不会出现注入问题的 话不多说,既然说到了注入问题,就去看看这个传说中的“注入问题”…. 先让问题暴露出来,看下面的代码: 现在是这样,假设现...
JDBC中关于StatementSql注入问题
发光吖的博客
09-11 1132
sql注入攻击指的是通过构建特殊的输入作为参数传入web应用程序,而这些输入大都是sql语法里的一些组合,通过执行sql语句进而执行攻击者所要做的操作,其产生的主要原因在于应用程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。 我们通过一个用户登录的小案例来大致了解sql注入的情况:(Oracle数据库环境) 首先准备一张表t_user: create table t_user( name varchar2(10) primary key, password varchar2(10) not n
jdbc中Statement接口的sql注入
programmer_trip的博客
05-25 275
jdbc中Statement接口的sql注入 代码实践 下面用最原始的jdbc连接代码演示一下 -- 环境 -- musql 8.0.12 -- jdbc jar包 mysql-connector-java-8.0.19.jar --第一步 使用navicate创建数据库和表 -- 创建数据库 create database my_first; -- 创建表 create table temp_user( u_id int primary key auto_increment, u_name var
Java JDBC 使用Statement 产生sql注入问题
BLWY_1124的博客
05-18 815
#Java JDBC 使用Statement 产生sql注入问题 Statement 对象用于执行静态SQL语句并返回其生成的结果对象 Statement 对象执行SQL语句,存在SQL注入风险 代码演示: 先创建一张表 -- 演示 sql 注入 -- 创建一张表 CREATE TABLE admin ( -- 管理员表 NAME VARCHAR(32) NOT NULL UNIQUE, pwd VARCHAR(32) NOT NULL DEFAULT '') CHARACTER S
PreparedStatement数据库注入漏洞攻击
SunShanai的博客
06-03 2387
以前看过一些C#关于数据库的操作,记得其中用@来防止数据库注入漏洞攻击,现在由于实习需要,转向Java,学习Jdbc,正好在做数据库这一块,联想到Jdbc要怎么防止数据库注入漏洞攻击呢,于是百度Jdbc防止注入漏洞攻击,找到PreparedStatement类,在这里记一下,以便以后复习,也给入门级需要的朋友做一下参考,如有不对之处,还请指正。 首先看一下什么是sql注入漏洞,见下面的sql语句
Statement和PreparedStatement的区别,SQL注入
在途中
07-01 1500
问题一:Statement和PreparedStatement的区别  先来说说,什么是java中的StatementStatement是java执行数据库操作的一个重要方法,用于在已经建立数据库连接的基础上,向数据库发送要执行的SQL语句。具体步骤:  1.首先导入java.sql.*;这个包。  2.然后加载驱动,创建连接,得到Connection接口的的实现对象,比如对象名叫做conn。 ...
【Java编程】JDBC注入攻击-Statement 与 PreparedStatement
andieguo的专栏
05-14 3378
在上一篇【Java编程】建立一个简单的JDBC连接-Drivers, Connection, Statement and PreparedStatement我们介绍了如何使用JDBC驱动建立一个简单的连接,并实现使用Statement和PreparedStatement进行数据库查询,本篇blog将接着上篇blog通过SQL注入攻击比较Statement和PreparedStatement。当然这两者还有很多其他方面的不同,在之后的blog中会继续更新。
Statement注入与PreparedStatement
ooiio的博客
01-16 76
Statement注入与PreparedStatement(预编译提高性能,防止注入),图3忘加上释放。
SQL注入攻击例子及Statement和PreparedStatement的比较
a8366的专栏
03-19 174
SQL injection is a technique that exploits a security vulnerability occurring in the database layer of an application . The vulnerability is present when user input is either incorrectly filtered for ...
JDBC介绍及编程流程&Statement与PreparedStatement对比&SQL注入攻击
weixin_44480874的博客
08-21 268
JDBC编程 JDBC简介: JDBC(Java Data Base Connection):Java数据库连接。是一种标准Java应用编程接口(Java API),将数据库和Java程序连接起来,是开发人员可以通过Java程序访问数据库。 常见的JDBC组件(JDBC开发中主要用到的类): DriverManager :这个类管理一系列数据库驱动程序。 匹配连接使用通信子协议从 JAVA 应用...
mysql sql注入漏洞修复
最新发布
10-24
MySQL SQL注入漏洞修复可以采用以下几种方法: 1. 使用预编译语句:使用预编译语句可以避免SQL注入攻击,因为预编译语句会将SQL语句和参数分开处理,从而避免了恶意用户在参数中注入SQL代码。例如,使用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值