jsp mysql 注入攻击实例

最新推荐文章于 2024-06-16 13:13:37 发布
最新推荐文章于 2024-06-16 13:13:37 发布
阅读量4.9k 收藏 3
点赞数
分类专栏: SQL
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/judyge/article/details/52251454
版权
本文通过一个具体的实例展示了JSP中如何发生MySQL注入攻击。在查询信息过程中,由于参数处理不当,允许了恶意SQL语句的插入。攻击者利用此漏洞可以获取到诸如ID和MD5加密后的密码等敏感信息。例如,查询语句被修改为包含恶意代码,导致信息表和admin表的数据暴露。在线查询MD5密码显示了这种攻击的潜在危害。
摘要由CSDN通过智能技术生成

例子 要查询信息 并显示出来

SQL  信息表与admin表 插入信息 md5 加密的密码

CREATE TABLE `admin` (  
  `Id` int(11) NOT NULL AUTO_INCREMENT,  
  `Name` varchar(40) NOT NULL,  
  `Psw` varchar(100) NOT NULL, 
  PRIMARY KEY (`Id`)
)ENGINE=InnoDB DEFAULT CHARSET=utf8;


CREATE TABLE `info` (  
  `Id` int(11) NOT NULL AUTO_INCREMENT,  
  `Info` varchar(40) NOT NULL,  
  PRIMARY KEY (`Id`)
)ENGINE=InnoDB DEFAULT CHARSET=utf8;


insert into info(`Info`) values('SQLinject');
insert into admin(`Name`,`Psw`) values('admin','E10ADC3949BA59ABBE56E057F20F883E');

开始页---点击传参 --查询信息 

<%@ page language="java" import="java.util.*" pageEncoding="UTF-8"%>
<%
String path = request.getContextPath();
String basePath = request.getScheme()+"://"+request.getServerName()+":"+request.getServerPort()+path+"/";
%>

<!DOCTYPE HTML>
<html>
  <head>
    <base href="<%=basePath%>">
    
    <title>SQL注入测试</title>
	
  </head>
  
  <body>
最低0.47元/天 解锁文章
judyge
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SQL注入攻击实战演示(附源码)
hack0919的博客
03-31 4361
SQL注入是一种非常常见的数据库攻击手段,SQL注入漏洞也是网络世界中最普遍的漏洞之一。
jsp操作mysql简单实例
10-27
为了确保安全性,避免SQL注入攻击,最好使用预编译的`PreparedStatement`,它可以防止恶意用户篡改SQL命令。此外,敏感信息如数据库连接字符串、用户名和密码应妥善保管,不应直接写入JSP文件,而应存储在配置文件或...
jsp mysql 注入_jsp mysql 注入攻击实例
weixin_29212429的博客
01-27 195
例子 要查询信息 并显示出来SQL 信息表与admin表 插入信息 md5 加密的密码CREATE TABLE `admin` (`Id` int(11) NOT NULL AUTO_INCREMENT,`Name` varchar(40) NOT NULL,`Psw` varchar(100) NOT NULL,PRIMARY KEY (`Id`))ENGINE=InnoDB DEFAULT ...
浅谈Sql注入总结笔记整理(超详细)
最新发布
baimaozi008的博客
06-16 1004
SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息,在实战和测试中,难免会遇见到一些sql注入,下面,我将总结一些常用sql注入中的不同姿势。
超强JSP防SQL注入攻击
cnbird's blog
04-16 5621
第一种采用预编译语句集,它内置了处理SQL注入的能力,只要使用它的setString方法传值即可: String sql= "select * from users where username=? and password=?; PreparedStatement preState = conn.prepareStatement(sql); preState.setString(1, us
mysql 4 注入_Jsp+Mysql网站注入并拿root权限的入侵全过程(图)
weixin_39850365的博客
01-19 198
很多人可能都知道asp,php的编程要防止sql注入漏洞,而并不知道jsp编程同样也需要防备sql注入漏洞.其实,一旦jsp代码有注入漏洞,将直接影响到整个系统的安全。本文就是主要展示一下我的一次JSP+MYSQL注入导出webshell的过程。www.***.***.cn是国内某一个著名研究所的网站,我们在这里对其进行善意的测试。当然,在写此文之前我已经将漏洞通知了网站管理员.并对文中所有的图片...
mysql sql注入例子_sql注入的各种实例情况
weixin_42718924的博客
02-05 668
/////////////////////////////////////命令注入攻击:使用的是system函数执行windows系统dir命令,来显示URL参数dir所指定的子目录的内容。 可以使用escapeshellarg函数来处理命令的参数,防止URI来进行命令注入攻击使用的是passthru函数执行windows系统命令,读取URL参数username所指定的来访者账号,并显示来访者...
JSP-mysql.zip_JSP+Mysql_jsp mysql
09-20
3. **安全考虑**:避免在JSP中直接写SQL,使用PreparedStatement来防止SQL注入攻击。 4. **代码分离**:尽量将业务逻辑和数据库操作封装在JavaBeans或Servlet中,保持JSP页面简洁。 综上所述,JSPMySQL的结合使得...
详解JSP中的语句对象Statement操作MySQL的使用实例
10-22
在实际开发中,推荐使用PreparedStatement或CallableStatement,它们可以自动转义特殊字符,防止注入攻击。 最后,别忘了在操作完成后关闭资源,以避免内存泄漏。通常,我们使用`finally`块确保数据库连接和`...
jsp+mysql旅游网
11-22
- **防止SQL注入和XSS攻击**:正确过滤输入数据,使用预编译SQL语句,避免跨站脚本攻击。 9. **前端技术**: - **HTML/CSS/JavaScript**:创建网页布局、样式和交互效果,通常与JSP配合,通过AJAX实现异步通信。 ...
JSP页面连接mysql实现增删改查简单实例
01-14
### JSP页面连接MySQL实现增删改查简单实例 #### 一、背景介绍 在Web开发中,经常需要处理数据库的操作,例如增加、删除、修改和查询数据等基本操作(通常称为CRUD操作)。Java Server Pages (JSP) 是一种用于生成...
关于JSP防范SQL注入攻击
01-20
这是个关于JSP防范SQL注入攻击!!@@@@
mysql注入演示_SQL注入(案例演示)
weixin_30921875的博客
01-19 234
SQL注入(案例演示)一、SQL注入是什么?在程序事先定义好的 查询语句中添加额外的SQL语句 ,在管理员不知情的情况下实现非法操作,以此来实现 欺骗数据库服务器执行非授权的任意查询 ,从而进一步得到相应的数据信息。SQL注入通俗说就是:通过SQL语句找到破绽,进行非法的数据读取。二、实现步骤说明:用一个简单的查询案列说明 SQL 注入案例使用的为:Java语言与MySQL数据库1.新建数据表1....
mysql】sql注入
清风微醺的博客
04-18 2371
sql注入攻击实例mysql_SQL注入攻击案例 SQL注入案例 所谓的sql注入本质上还是执行sql语句 检测注入点 判断是否存在sql注入可能 判断当前表有多少字段 利用order by n select * from tag order by 2; order by n以第n个column排序,如果n大于表中字段个数会报错。 SQL注入常用爆库语句 爆库 SELECT * FROM `tag` where id = 3 union select 1,database(); 查询informat
mysql sql注入例子_MySQL在不知道列名情况下的注入示例代码
weixin_42309178的博客
02-26 221
MySQL在不知道列名情况下的注入详解前言最近感觉脑子空空,全在为了刷洞去挖洞,还是回归技术的本身让自己舒服些。好了,下面话不多说了,来一起看看详细的介绍吧前提以下情况适用于 MySQL < 5版本,或者在 MySQL >= 5 的版本[存在information_schema库],且已获取到库名和表名① 当只能获取到表名,获取不到列名或者只能获取到无有效内容的列名情况【例如 id】②...
SQL注入的例子
兴趣是最好的老师
03-13 514
mysql sql注入例子_pymysql 防止sql注入案例
weixin_26806355的博客
02-17 107
from pymysql import connectdef main():"""sql演示"""# 1.输入一个语句,根据id展示相应的内容id = input("请输入查询的id")# 2.执行sql语句# 创建Connection连接conn = connect(host='localhost', port=3306, database='jing_dong', user='root', p...
mysql sql注入
技术的搬运工
05-05 376
通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 举例 1:输入的用户名必须为字母、数字及下划线的组合,且用户名长度为 8 到 20 个字符之间: if (preg_match("/^\w{8,20}$/", $_GET['username'], $matches)) { $result = mysqli_que...
web安全学习-sql注入-针对mysql攻击
Shanfenglan's blog
02-20 1551
文章目录1. 前言2. 注入攻击2.1 爆数据库名2.2 爆破表名2.3 爆破字段名2.4 爆破字段值2.5 写文件3. 盲注4. 绕过av5. udf/mof6. 参考文章 1. 前言 总结完mysql数据库的基本操作后,我们来看看如何对mysql数据库进行sql注入攻击。 2. 注入攻击 2.1 爆数据库名 2.2 爆破表名 2.3 爆破字段名 2.4 爆破字段值 2.5 写文件 3. 盲注 4. 绕过av 5. udf/mof 6. 参考文章 Bypass disabled_functions一些思路
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值