JDBC操作数据库08(sql注入问题)

最新推荐文章于 2021-07-30 22:54:03 发布
最新推荐文章于 2021-07-30 22:54:03 发布
阅读量143 收藏
点赞数
分类专栏: JDBC操作数据库(Java+Mysql) 文章标签: 数据库 java mysql sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fanfjaiyun/article/details/104328140
版权

sql注入:

SQL注入(SQLi)是一种注入攻击,,可以执行恶意SQL语句。它通过将任意SQL代码插入数据库查询,使攻击者能够完全控制Web应用程序后面的数据库服务器。攻击者可以使用SQL注入漏洞绕过应用程序安全措施;可以绕过网页或Web应用程序的身份验证和授权,并检索整个SQL数据库的内容;还可以使用SQL注入来添加,修改和删除数据库中的记录。

sql注入步骤:
  1. 寻找注入点,构造特殊的语句
    传入SQL语句可控参数分为两类
    a.斜体样式数字类型,参数不用被引号括起来,如?id=1
    b.其他类型,参数要被引号扩起来,如?name=“phone”
  2. 用户构造SQL语句(如:‘or 1=1#;admin’#
  3. 将SQL语句发送给DBMS数据库
  4. DBMS收到返回的结果,并将该请求解释成机器代码指令,执行必要得到操作
  5. DBMS接受返回结果,处理后,返回给用户

前一篇的从数据库中查询用户登录信息的sql语句并不是安全的,存在sql注入的风险
如当输入以下密码,发现账号和密码都不对竟然登录成功了

请输入用户名:
张小风
请输入密码:
a’ or ‘1’='1
登录成功

分析:

select * from userlogin where loginname=‘张小风’ and passwd=‘a’ or ‘1’=‘1’
loginname=‘张小风’ and passwd=‘a’ 为假
‘1’=‘1’ 真
相当于
select * from userlogin where true; 查询了所有记录

让用户输入的密码和 SQL 语句进行字符串拼接。用户输入的内容作为了 SQL 语句语法的一部分,改变了
原有 SQL 真正的意义,以上问题称为 SQL 注入。要解决 SQL 注入就不能让用户输入的密码和我们的 SQL 语句进
行简单的字符串拼接。

fanfjaiynu
关注
专栏目录
JAVA高级】——吃透JDBC中的SQL注入问题和解决方案
不迁怒,不贰过。小知识,大智慧。
10-26 1万+
吃透JDBC中的SQL注入问题和解决方案
JDBC-SQL注入攻击问题及解决方案
Fly_Fly_Zhang的博客
07-07 778
什么是SQL注入: 由于dao层中执行的SQL语句是拼接出来的,其中一部分内容是用户从用户端输入的,当传入数据包含SQL关键字时,就有可能通过这些关键字来改变SQL的语义,从而执行一些特殊的操作,这就称为SQL注入问题SQL注入攻击演示: 首先我们创建一张用户表,里面包含用户名和密码。 mysql> select * from user; +----------+----------+ ...
jdbc中的sql注入问题
倔强100%的博客
03-21 134
jdbc连接数据库 创建的db.properties工具类获取配置信息 driver=com.mysql.jdbc.Driver url=jdbc:mysql://localhost:3306/jdbcstudy?useUnicode=true&characterEncoding=utf8&useSSL=false user=root password=123456 创建u...
JDBC中的SQL注入问题
毛豆豆的博客
01-16 492
Java中执行SQL语句的过程中,由于用户提供的信息中含有SQL关键字,进行编译的过程中,会扭曲原SQL语句的含义,所以我们应当避免SQL语句的注入,那么如何避免呢?  先定义SQl语句框架,对SQL语句进行预先编译,只编译一次,然后再去接收用户提供的信息;  *    用户提供的信息即使含有SQL语句的关键字,这些关键字不参与这次SQL语句的编译,是不起作用的。  *    采用这种方式
jdbcsql注入问题
weixin_44048676的博客
06-15 191
问题出现的原因 在jdbc中用于编译sql对象的Statement类的使用如 String sql = "select * from jdbc where username = '"+username+"' and password = '"+password+"' "; //获取执行sql的对象 stmt = conn.createStatement(); //执行sql语句 stmt.executeQuery(sql); 假如传入的参数username为 ’or 1=1 ;-- ,或者参数pas..
JDBC-SQL注入问题
Neuclil的博客
10-12 567
当用name作为参数时, 如果名字里面含有or 等带有歧义的情况时, 或导致错误。比如String name = "or 1 or "将导致全部的记录都会被输出。这种错误叫做sql注入。我们需要将过滤的工作交给数据库来处理。即PreparedStatement ps. 例子如下: PreparedStatement ps = null; String sql = "sele
实验3 JDBC操作数据库3
08-08
实验3 JDBC操作数据库3主要目的是通过JavaJDBC技术来熟悉和掌握数据库的连接与操作。这个实验涉及了以下几个核心知识点: 1. **MySQL数据库**:实验中提到了使用MySQL作为关系型数据库管理系统,它是开源且广泛...
JDBC操作数据库的资料,帮助初学者掌握怎么使用JDBC操作数据库
最新发布
07-22
JDBCJava Database Connectivity)是Java编程语言中用于与各种关系型...不过要注意,实际开发中为了防止SQL注入和提高性能,通常会使用`PreparedStatement`代替`Statement`,并且应当使用连接池来管理数据库连接。
JDBC如何有效防止SQL注入
12-14
SQL注入是一种常见的网络安全威胁,它允许攻击者通过输入恶意的SQL语句来操纵数据库,获取、修改、删除敏感数据,甚至完全控制数据库系统。在JavaJDBC编程中,防止SQL注入至关重要,以下是一些有效的策略: 1. **...
Java中使用JDBC操作数据库简单实例
09-03
Java编程中,Java Database Connectivity (JDBC) 是一个用于规范应用程序如何访问和...请注意,实际开发中应考虑异常处理和资源管理的最佳实践,例如使用PreparedStatement以防止SQL注入,并使用连接池来优化性能。
[3]JDBC中的SQL注入问题
李绪颖_IT培训讲师
04-12 101
JDBC中的SQL注入问题 使用预处理( PreparedStatement )解决SQL注入问题: import java.sql.Connection; import java.sql.PreparedStatement; import java.sql.ResultSet; import java.sql.SQLException; import java.sql.Stat...
JDBC中关于Statement的Sql注入问题
发光吖的博客
09-11 1112
sql注入攻击指的是通过构建特殊的输入作为参数传入web应用程序,而这些输入大都是sql语法里的一些组合,通过执行sql语句进而执行攻击者所要做的操作,其产生的主要原因在于应用程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。 我们通过一个用户登录的小案例来大致了解sql注入的情况:(Oracle数据库环境) 首先准备一张表t_user: create table t_user( name varchar2(10) primary key, password varchar2(10) not n
JDBC中碰到的SQL安全问题 - Sql注入
key_768的博客
04-05 328
Sql注入问题 学习JDBC的过程中学到了一个Sql的安全问题 一个login表 写一个登录程序: package com.company.JDBC; import javafx.scene.transform.Scale; import java.sql.*; import java.util.Scanner; public class test { private static...
JDBCsql注入问题及解决
weixin_49512993的博客
07-30 270
文章目录**JDBCsql注入问题及解决**一、sql注入问题1、sql注入的影响:2、jdbcsql注入的例子:二、PreparedStatement对象1、PreparedStatement对象与Statement对象的区别: JDBCsql注入问题及解决 一、sql注入问题SQL作为字符串通过API传入给数据库数据库将查询的结果返回,数据库自身是无法分辨传入的SQL是合法的还是不合法的,它完全信任传入的数据,如果传入的SQL语句被恶意用户控制或者篡改,将导致数据库以当前调用者的身份
jdbc之防止sql注入问题
m_target的博客
07-28 704
java.sql 接口 PreparedStatement    表示预编译的 SQL 语句的对象 是Statement的子类     特点:             性能高、会把sql语句预先编译、sql语句中的参数会发生变化,过滤掉用户输入的关键字 public class LoginDemo { public static void main(String[] args) {...
JDBC解决sql注入问题
muli
01-15 1249
JDBC解决sql注入问题
解决JDBC编程过程中的SQL注入问题
qq_42449963的博客
12-21 182
首先看一段代码: 模拟用户登录: public class UserLogin { public static void main(String[] args) { Map<String,String> map = initUI(); boolean flag = check(map.get("username"),map.get("passwo...
JDBCSQL注入问题小结
xmy1208945213的博客
09-03 156
SQL注入问题 ​在拼接sql时,有一些sql的特殊关键字参与字符串的拼接,会造成安全问题 1.例如: 输入的用户名随意,输入的密码:a’ or ‘a’ = ‘a 定义sql的代码如下: // 定义sql String sql = "select * from user where username = '" + username + "' and password = '" + password + "'"; ​ 如果根据所给例子输入随意的用户名和密码a’ or ‘a’ = ‘a,则最终执行的sq
JDBCSQL注入漏洞分析和解决
qq_40208605的博客
03-11 384
1.1.1SQL注入漏洞分析 1.1.2SQL注入漏洞解决 需要采用PreparedStatement对象解决SQL注入漏洞。这个对象将SQL预先进行编译,使用?作为占位符。?所代表内容是SQL所固定。再次传入变量(包含SQL的关键字)。这个时候也不会识别这些关键字。 [AppleScript]纯文本查看复制代码 ? 01 02 03 04 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值