SQL注入问题与解决

最新推荐文章于 2024-08-01 16:47:09 发布
最新推荐文章于 2024-08-01 16:47:09 发布
阅读量2k 收藏 2
点赞数 1
文章标签: sql 数据库 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cppppt/article/details/123407801
版权

1,sqL注入安全问题;

由于传入的参数在拼接sqL语句时,其中注入了sqL能执行的指令作为参数导致执行的结果数据不正确,这种状况称为sqL注入安全问题 ;

 数据表:

import java.sql.Connection;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;

public class sqlInjectionProblem {
    public static void main(String[] args) {
        //根据用户名和密码查询用户
        String real_name = "大哥";
        String login_pwd = "123123 ";
        getperson_Statement(real_name,login_pwd); }
    /**
     *     sqL注入安全问题:
     * 由于传入的参数在拼接sqL语句时,其中注入了sqL能执行的指令作为参数导致执行的结果数据不正确
     */
    private static void getperson_Statement(real_name,login_pwd) {
        Connection conn = null;
        ResultSet rs = null;
        Statement st = null;
        conn= JDBCTools.getConn();
        try {
            st= conn.createStatement();

            String sql = "select * from person where real_name= real_name and login_pwd =login_pwd";
            rs= st.executeQuery(sql);
            while (rs.next()){
                User u = new User();
                u.setEmployee_id(rs.getInt("employee_id"));
                u.setLogin_id(rs.getString("login_id"));
                u.setLogin_pwd(rs.getString("login_pwd"));
                u.setReal_name(rs.getString("real_name"));
                u.setEmail(rs.getString("email"));
                u.setPhone(rs.getString("phone"));
                u.setAddress(rs.getString("address"));
                System.out.println(u); }

        } catch (SQLException throwables) {
            throwables.printStackTrace();
        }
    }
}

 结果查询结果:

问题:全部查出,我们这里只是需要查出real_name = "大哥"; String login_pwd = "123123 ";中的表数据,查询结果确认全部显示。

2, 如何规避解决此问题:
* 使用PrepareStatement这个接口就可以解决此类问题的发生:
* 使用PrepareStatement对sqL进行预先编译,进行参数占位符?的检查,然后通过ps对象设置参数到占位符处,使用编译好的。

(* 使用PrepareStatement这个接口就可以解决此类问题的发生:)

import com.ltx.entity.User;
import com.ltx.util.JDBCTools;

import java.sql.*;

public class sqlInjectionProblem {
    public static void main(String[] args) {
        //根据用户名和密码查询用户
        String real_name = "小兰兰";
        String login_pwd = "1231234";

    
   getperson(real_name,login_pwd);//使用PrepareStatement
    }

    /** 
     * 使用PrepareStatement这个接口就可以解决此类问题的发生: 
     * 注意:
     * 设置的索引总是从1开始
     */
    

    private static void getperson(String real_name,String login_pwd) {
        Connection conn = null;
        PreparedStatement pr = null;
        ResultSet rs = null;
        try {
            conn= JDBCTools.getConn();
            String sql = "select * from person where real_name= ? and login_pwd =?";
            pr= conn.prepareStatement(sql);
            //给编译过的sql进行占位符的赋值
            pr.setString(1,real_name);
            pr.setString(2,login_pwd);

            rs= pr.executeQuery();
            while (rs.next()){
                User u = new User();
                u.setEmployee_id(rs.getInt("employee_id"));
                u.setLogin_id(rs.getString("login_id"));
                u.setLogin_pwd(rs.getString("login_pwd"));
                u.setReal_name(rs.getString("real_name"));
                u.setEmail(rs.getString("email"));
                u.setPhone(rs.getString("phone"));
                u.setAddress(rs.getString("address"));
                System.out.println(u); }

        } catch ( Exception  e) {
           e.printStackTrace();
        }
    }

 结果查询结果。:

 

小蓝-
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
通过ibatis解决sql注入问题
08-29
iBatis解决SQL注入问题 iBatis是一个流行的持久层框架,广泛应用于Java企业级开发中。然而,在使用iBatis时,开发人员经常面临着SQL注入问题SQL注入是一种常见的安全威胁,可能会导致数据泄露、数据篡改、系统...
pymysql如何解决sql注入问题深入讲解
09-09
本文将深入讲解如何使用pymysql有效地解决SQL注入问题。 首先,理解SQL注入的根本原因。当使用动态字符串拼接来构建SQL查询时,就容易受到SQL注入攻击。例如,在以下代码中,用户输入被直接用于SQL语句: ```...
Java 项目防止 SQL 注入的四种方案
qq_32885471的博客
06-06 530
SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。SQL案列这个id从请求参数中获取,若参数被拼接为:此时,数据库的数据都会被清空掉,后果非常严重。
SQL注入原理与解决方法代码示例
09-09
总之,SQL注入是Web应用程序安全的一个重要问题,开发者需要对用户输入进行严格控制,并采用预编译语句等安全措施来防止此类攻击。同时,定期进行安全审计和更新安全策略也是保持系统安全的关键。
Java-JDBC【源码】JDBC概述、获取连接、SQL注入问题解决、查询解析
04-30
Java-JDBC【之】JDBC概述、获取连接、SQL注入问题解决、查询解析 1.JDBC概述 2.操作流程 1.初始化项目,导入`驱动jar包` 2.加载驱动类 3.创建数据库连接对象`Connection` 4.创建`Statement` (此处存在SQL注入问题)...
如何解决sql注入问题
07-22
### 如何解决SQL注入问题:全面解析与防范策略 #### SQL注入概述 SQL注入是一种常见的安全漏洞,攻击者通过在应用程序的输入字段中插入恶意SQL语句,利用这些语句来操控数据库,获取未授权的数据访问,修改或破坏...
SQL labs-SQL注入(三,sqlmap使用)
2302_80280669的博客
07-23 731
本文仅作为学习参考使用,本文作者对任何使用本文进行渗透攻击破坏不负任何责任。
简单的 mongoDB 学习
qq_19342829的博客
07-31 433
mongodb入门学习整理
社区养老服务小程序的设计
Karen198的博客
07-31 328
管理员账户功能包括:系统首页,个人中心,用户管理,服务人员管理,服务产品管理,服务预约管理,服务状态管理,服务退订管理,活动管理,视频管理。主要技术:Java,Spring,mybatis,mysql,jquery,html。服务器:SpringBoot自带 apache tomcat。微信端账号功能包括:系统首页,服务产品,活动,视频,我的。JDK版本:Java JDK1.8。数据库可视化工具: navicat。数据库版本: mysql5.7。开发工具:IDEA(推荐)开发系统:Windows。
MySQL备份与恢复
m0_74860678的博客
08-01 275
在生产环境中,数据的安全性至关重要任何数据的丢失都可能产生严重的后果造成数据丢失的原因程序错误人为操作错误运算错误磁盘故障灾难(如火灾、地震)和盗窃# 开启二进制日志功能[mysqld]# 重启服务# 有 mysql-bin.000001 就代表成功。
二进制部署k8s集群之master节点和etcd数据库集群(上)
zx52306的博客
07-30 1122
【代码】二进制部署k8s集群之master节点和etcd数据库集群(上)
【iOS】——持久化
m0_73974920的博客
07-30 1038
因为plist文件不能够保存自定义对象。如果一个字典中保存有自定义对象,如果把这个对象写入到文件当中,它是不会生成 plist文件的。如果对象是NSString、NSDictionary、NSArray、NSData、NSNumber等类型,可以直接用NSKeyedArchiver进行归档和恢复。
已经10岁的K8S,在很多方面仍需努力
u012516914的专栏
07-28 348
/ K8S 已经 10 岁了,但仍然有许多方面要继续努力 /Kubernetes 于 2014 年 6 月推出,自那时起,它在推广云原生应用设计和支持更多微服务部署方面发挥了巨大作用。容器部署的增长非常迅速,而 Kubernetes 对于企业管理这些部署至关重要——根据 CNCF 上一份报告的调查结果,84% 的组织正在使用或评估 Kubernetes,而 66% 的潜在和实际消费者在生产中使用 ...
MySQL-数据操作语言
一直走的很慢的鸭子
07-27 720
DML英文全称是Data Manipulation Language(数据操作语言),用来对数据库中表的数据记录进行增删改操作。
手把手教你安装AoiAWD
swordcloud_xm的博客
07-29 1324
AoiAWD 是一个由Aodzip(安恒信息 海特实验室研究员、HAC战队成员)维护的一个针对于CTF AWD模式的开源项目。专为比赛设计,便携性好,低权限运行的EDR系统。任何人都可以在 GNU AGPL-3.0 许可下使用该项目和分享该项目的源码。AoiAWD地址:https://github.com/DasSecurity-HatLab/AoiAWD。
Redis高可用
最新发布
扮瘦人的博客
08-01 225
Redis高可用学习
添加索引导致微服务异常
07-29 1141
执行DDL时,最好使用ONLINE选项,随着oracle版本升级,online状态下可执行的DDL逐步增加,大部分普通DDL上,可以使用ONLINE选项,例如。而在新增索引的时候会有TM锁,而该表又有大量的insert、update等,因此会对这些dml语句造成阻塞。1、对大表新增索引尽量停业务,就算加上online不会造成阻塞,但对性能也有影响,特别是这种性能敏感的系统。2、在新增索引的时候加online参数,而online产生的TM锁时间比较短。加了online后,可以以非独占的方式创建和删除索引。
Java 应用性能优化
Admans的专栏
08-01 572
Java 编程性能调优。包括数据类型,集合容器,网络通信。多线程性能调优。包括线程安全,同步锁的问题,多线程的性能问题。JVM 性能监控及调优。包括Java对象的创建和回收,内存分配。设计模式调优。使用设计模式来优化架构设计。数据库性能调优。数据库最容易成为整个系统的性能瓶颈,包括一些常用的数据库调优方法。任何系统上线都有有性能问题,我们要做的是压力测试,让问题暴露出来。 性能调优的目的: 1)用压力测试暴露响应延迟问题,然后解决客户请求响应的问题。 2)性能优化可以
安装MongoDB UI客户端工具:mongodb-compass-1.40.2-win32-x64.msi
小丁的博客
07-31 180
安装MongoDB UI客户端工具:mongodb-compass-1.40.2-win32-x64.msi
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值