MySQL数据库干货_29——SQL注入

最新推荐文章于 2024-03-20 22:30:22 发布
最新推荐文章于 2024-03-20 22:30:22 发布
阅读量265 收藏
点赞数
分类专栏: MySQL数据库_干货满满 文章标签: 数据库 sql mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/guojiaqi_/article/details/134423134
版权

SQL注入

什么是SQL注入

所谓 SQL 注入,就是通过把含有 SQL 语句片段的参数插入到需要执行的 SQL 语句中,最终达到欺骗数据库服务器执行恶意操作的 SQL 命令。

SQL注入案例

/**
 * SQL注入测试类
 */
public class SqlInjectTest {
  /**
   * 体现sql注入
   */
  public void sqlInject(String username,int userage){
    Connection connection =null;
    Statement statement =null;
    ResultSet resultSet =null;
    try{
      //获取连接
      connection = JdbcUtils.getConnection();
      //创建Statement对象
      statement = connection.createStatement();
      //定义sql语句
      String sql ="select * from users where username ='"+username+"' and userage = "+userage;
      System.out.println(sql);
      //执行sql语句
      resultSet = statement.executeQuery(sql);
      //处理结果集
      while(resultSet.next()){
        int userid = resultSet.getInt("userid");
        String name = resultSet.getString("username");
        int age = resultSet.getInt("userage");
        System.out.println(userid+" "+name+" "+age);


       }
     }catch(Exception e){
      e.printStackTrace();
     }finally{
      JdbcUtils.closeResource(resultSet,statement,connection);
     }
   }
  public static void main(String[] args) {
    SqlInjectTest sit = new SqlInjectTest();
    sit.sqlInject("java' or 1=1 -- ",28);
   }
}

解决SQL注入

  public void noSqlInject(String username,int userage){
      Connection connection = null;
      PreparedStatement ps =null;
      ResultSet resultSet = null;
      try{
        //获取连接
        connection = JdbcUtils.getConnection();
        //创建PreparedStatement对象
        ps = connection.prepareStatement("select * from users where username = ? and userage = ?");
        //绑定参数
        ps.setString(1,username);
        ps.setInt(2,userage);
        //执行sql
        resultSet = ps.executeQuery();


        //处理结果集
        while(resultSet.next()){
          int userid = resultSet.getInt("userid");
          String name = resultSet.getString("username");
          int age = resultSet.getInt("userage");
          System.out.println(userid+" "+name+" "+age);


        }
      }catch(Exception e){
        e.printStackTrace();
      }finally{
        JdbcUtils.closeResource(resultSet,ps,connection);
      }


   }

PreparedStatement操作数据库时是语句和参数分离的发送给数据库驱动进行编译的(这句话很关键,面试中很有可能会提及!大家自行理解)

OldGj_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
MySQL数据库-SQL注入手册1
08-08
This post is part of a series of SQL Injection Cheat Sheets. In this series, I’
SQL注入MySQL注入
weixin_51583033的博客
12-20 833
SQL注入MySQL注入
MySQL命令\注入
weixin_46928280的博客
07-25 1456
使用MySQL从建库、建表,对数据的增删改查,删库、删表跑路等基本命令进行注入!!!
sql注入 mysql 篇 详细使用方式
最新发布
weixin_45425685的博客
03-20 1152
sql注入mysql
SQL注入命令执行
qq_50034496的博客
07-06 1369
SQL注入命令执行
sql注入
weixin_52613207的博客
06-05 456
什么是sql注入什么是sql注入
information_schema数据库SQL注入中的应用.docx
06-11
信息架构数据库SQL 注入中的应用 信息架构数据库(information_schema)是 MySQL 5 以上自带的系统数据库,它存放了 MySQL 服务器中所有数据库、表及其列的信息。该数据库相当于一个数据字典,提供了关于 MySQL ...
SQL.rar_labview mysql_mysql labview_sql
09-21
标题“SQL.rar_labview mysql_mysql labview_sql”和描述“在labview中实现数据库MySQL调用的节点函数”指向一个关于使用LabVIEW(Laboratory Virtual Instrument Engineering Workbench)与MySQL数据库进行交互的...
MySQL数据库:表的创建SQL语句.pptx
05-29
表的创建-SQL语句 课程目标 掌握 —— 显示数据表文件和表结构的语法格式。 掌握 —— 创建数据表的语法格式; 表的创建 show tables; 说明:用于显示已经建立的数据库表文件 显示数据库表语法格式 表的创建 创建...
企业门户网站+数据库.rar_MYSQL_java web_sql_企业门户网站
07-14
前台展示+后台修改+sql脚本,三段式企业文化展示网站
Mysql数据库使用concat函数执行SQL注入查询
09-10
主要介绍了Mysql数据库使用concat函数执行SQL注入查询,concat函数在SQL注入查询中会有意想不到的作用,本文就起讲解它的使用,需要的朋友可以参考下
SQL注入详解(主要针对MySQL)
Rockboy777的博客
08-09 467
权限不足时也受影响;join绕过,如:union select 1,2,3 -> union select from (select 1)a join (select 2) join (select 3)substr()和mid()使用from for,如substr(database() from 1 for 1)表示将字符串从1位置截取长度1,mid()同理。
SQL注入简介和注入方法教学
HAKUNAMATATATTA的博客
11-14 5037
sqli-labs靶场为例,详细介绍GET显错注入,GET盲注等一系列最新常见得SQL注入方法
注入——sql注入命令
weixin_55404107的博客
10-16 1714
sql注入—简单理解
SQL注入的一些命令
jkhdjkasd的博客
07-27 1677
sqlmap的常用命令
Sqlmap常用命令总结及注入实战(Access、mysql
热门推荐
OKAY_TC的博客
11-19 5万+
sqlmap常用命令总结: 注意:命令为kali linux中运行的 (windows中用python sqlmap.py执行) 1#、注入六连: 1. sqlmap -u "http://www.xx.com?id=x" 【查询是否存在注入点 2. --dbs 【检测站点包含哪些数据库 3. --current-db 【获取当前的数据库...
SQL注入命令
小飞鸟
10-13 3825
sqlmap -u “http://url/news?id=1″ –current-user #获取当前用户名称 sqlmap -u “http://www.xxoo.com/news?id=1″ –current-db #获取当前数 据库名称 sqlmap -u “http://www.xxoo.com/news?id=1″ –tables -D “db_name”#列 表名 sqlmap...
concat mysql sql注入_MySQLSQL 注入与防范方法
weixin_39586265的博客
12-20 371
所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。我们永远不要信任用户的输入,我们必须认定用户输入的数据都是不安全的,我们都需要对用户输入的数据进行过滤处理。1.以下实例中,输入的用户名必须为字母、数字及下划线的组合,且用户名长度为 8 到 20 个字符之间:if (preg_match("/^\w{8,20}$/",...
mysql 修改年龄_MYSQL——数据修改
06-07
1. 使用连接MYSQL数据库的客户端工具,如MySQL Workbench等。 2. 在命令行或工具中输入以下语句: ``` UPDATE table_name SET column_name = new_value WHERE condition; ``` 其中,table_name为要修改的表名,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值