存在sql注入式攻击的最差实践代码(Java新手注意了)

最新推荐文章于 2022-08-04 12:05:25 发布
最新推荐文章于 2022-08-04 12:05:25 发布
阅读量418 收藏
点赞数
分类专栏: java 文章标签: sql java import string hibernate jdbc
不安全因素:statement。。。应该用Preparedstatement来代替statement,这样我们就可以使用占位符作为实参来定义sql语句,从而避免sql注入的攻击。
        当然也可以用statement,你得注意你的sql的写法,要是下例肯定不行。还得对url恶意传入参数进行过滤(SQL元字符处理)。。。这样就比较麻烦了,而且也无法保证绝对的安全。
        我们在用hibernate等框架的时候(hql语句),避免sql注入攻击也是一样的,关键是不要用string来构造sql语句,不管什么框架,还是纯JDBC,只要用Preparedstatement就OK。。。 一定要用占位符作为实参来构造sql(或hql)语句。
package cn.zhd;
import java.io.*;
import org.apache.log4j.*;
import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.SQLException;
import java.sql.Statement;
import java.sql.ResultSet;

public class LoginDemo {
    
    public void execute(String user,String pass){
        boolean foo=false;
        try{
            Class.forName("com.mysql.jdbc.Driver");
            Connection con=DriverManager.getConnection("jdbc:mysql://localhost/students","root","");
            Statement stam=con.createStatement();
            //存在注入攻击漏洞:select * from login where user='' or'x'='x' or 'x'='' and '1'
            ResultSet rs=stam.executeQuery("select * from login where user='" + user + "' and pass='"+ pass + "'");
            while(rs.next()){

                    foo=true;
                
            }
            if(foo){
                System.out.println("登陆成功");
            }
            else
            {
                System.out.println("用户名密码错误");
            }

        }catch(ClassNotFoundException e){
            e.printStackTrace();
        }catch(SQLException e){
            e.printStackTrace();
        }
        
    }
    public static void main(String[] args){
        Logger log=Logger.getLogger(LoginDemo.class);
        try{
            LoginDemo ld=new LoginDemo();
            BufferedReader bf=new BufferedReader(new InputStreamReader(System.in));
            log.info("请输入用户名");
            String bf_str=bf.readLine();
            log.info("请输入密码");
            String bf2_str=bf.readLine();
            bf.close();
            ld.execute(bf_str,bf2_str);
        }catch(IOException e){
            e.printStackTrace();
        }
        
    }
}
当输入用户名的时候输入:' or 'x'='x' or '2'='
密码随便输.....
成功登陆了吧.....
 
 
hglxr
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JAVA中防止SQL注入攻击类的源代码
04-26
JAVA中防止SQL注入攻击类的源代码(包含网页版和程序代码两部分)
asp.net下检测SQL注入攻击代码
01-02
代码如下: 代码如下:using System; using System.Text; using System.Web; using System.Web.UI.WebControls; using System.Text.RegularExpressions; namespace Common { /// <summary> /// 页面数据校验类 /// ...
Java命令注入之防护
沧海一粟
07-16 1万+
1 Java中的命令注入Java中的Runtime.getRuntime本质就是使用ProcessBuilder,以ProcessBuilder里用ProcessImpl,start 的一个子进程执行命令, Java的native调用 a. Windows是CreateProcessW 创建子进程执行命令 b. Unix中以enecve 来创建子进程执行命令
2020-10-10
不二的博客
10-10 963
一:什么是sql注入   SQL注入是比较常见的网络攻击之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编写时的疏忽,通过SQL语句,实现无账号登录,甚至篡改数据库。 二:SQL注入攻击的总体思路    1:寻找到SQL注入的位置   2:判断服务器类型和后台数据库类型   3:针对不同的服务器和数据库特点进行SQL注入攻击 三:SQL注入攻击实例 String sql = "select * from user_table where username= ' "+us..
Java中的SQL注入简易分析
鸣蜩十四的博客
08-04 3284
Java中的JDBC与Mybatis中的SQL注入简易分析
SQLInner.zip 防止 SQL 注入攻击
06-30
SQL 注入攻击是指利用软件设计上的漏洞,在目标服务器上运行 SQL 命令以进行其他方攻击,动态生成 SQL 命令时没有对用户输入的数据进行验证,本实例为了使程序更加安全,使用 C#实现防止 SQL 注入攻击功能。...
SQL 注入攻击的本质
12-15
SQL注入攻击是一种网络安全威胁,其本质是攻击者通过输入恶意的SQL代码,欺骗应用程序执行非预期的数据库操作。这种攻击通常发生在Web应用程序中,但不仅限于B/S(浏览器/服务器)架构,C/S(客户端/服务器)架构...
SQL注入攻击代码
06-12
通过防注入字符串实现SQL注入攻击代码
javasql注入方法小结
chenjhit的博客
10-16 4010
本文对java操作数据库的一项重点内容——防sql注入进行说明。对现有方法进行了简单优劣讨论与总结,供大家参考讨论。 重点:不要将用户输入内容,在未经检查的情况下,直接拼接为sql语句进行数据库访问操作。 防sql注入方法如下: 过滤输入 对输入内容进行充分过滤,可以利用正则表达进行匹配。 例如:“(?:’)|(?:–)|(/\*(?:.|[\n\r])?\/)|(and|exec|...
sql注入原理【java
Judy-命中注定与众不同
05-20 621
String sql=”select * from judy88 where ” + “pname=’” + username + “’ and password=’” + password + “’”; 如果是加号必须用”“号 进行括起来。 解决注入问题。分为3个方法 1过滤用户输入的数据中是否包含非法字符 2分步校验,先使用用户名查询如果有次用户名然后再使用密码检验 3使用pre...
java sql攻击_存在sql注入攻击的最实践代码Java新手注意了)
weixin_33930436的博客
02-16 88
package cn.zhd;import java.io.*;import org.apache.log4j.*;import java.sql.Connection;import java.sql.DriverManager;import java.sql.SQLException;import java.sql.Statement;import java.sql.ResultSet;publ...
Java程序员从笨鸟到菜鸟之(一百)sql注入***详解(一)sql注入原理详解
weixin_33701564的博客
10-24 194
前段时间,在很多博客和微博中暴漏出了12306铁道部网站的一些漏洞,作为这么大的一个项目,要说有漏洞也不是没可能,但其漏洞确是一些菜鸟级程序员才会犯的错误。其实sql注入漏洞就是一个。作为一个菜鸟小程序员,我对sql注入的东西了解的也不深入,所以抽出时间专门学习了一下。现在把学习成果分享给大家,希望可以帮助大家学习。下面我们就来看一下。 ...
java中有关sql注入的问题
08-30 1832
package web; import java.io.IOException; import java.sql.Connection; import java.sql.ResultSet; import java.sql.Statement; import javax.servlet.ServletException; import javax.servlet.http.HttpServle
java项目中如何防止sql注入
热门推荐
alan_liuyue的博客
03-07 2万+
简介 SQL注入就是客户端在向服务器发送请求的时候,sql命令通过表单提交或者url字符串拼接传递到后台持久层,最终达到欺骗服务器执行恶意的SQL命令; 实践 项目中如何防止sql注入呢,有以下三点: 前端表单进行参数格控制; 后台进行参数格化,过滤所有涉及sql的非法字符; //参考:https://freeman983.iteye.com/blog/1153989 //过滤 '...
java拦截器实现防止SQL注入与xss攻击拦截
WWXA
08-22 1万+
一、SQL注入简介 SQL注入是比较常见的网络攻击之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 二、SQL注入攻击的总体思路 1.寻找到SQL注入的位置 2.判断服务器类型和后台数据库类型 3.针对不通的服务器和数据库特点进行SQL注入攻击 三、SQL注入攻击实例 比如在一个登录界面,要求输...
java写一段代码来检测是否存在SQL注入
最新发布
05-12
下面是一个简单的Java代码示例,用于检测SQL注入攻击: ```java public static boolean isSafe(String str) { // 利用正则表达检测是否包含SQL特殊字符 String regex = ".*[;:'\"\\\\].*"; if (str.matches...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值