防sql攻击演示SQL攻击

最新推荐文章于 2024-09-21 21:12:48 发布
最新推荐文章于 2024-09-21 21:12:48 发布
阅读量330 收藏
点赞数
分类专栏: JDBC 文章标签: sql sql注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lkk1344/article/details/49486413
版权
什么是SQL攻击(也叫防sql注入)
在需要用户输入的地方,用户输入的是SQL语句的片段,最终用户输入的SQL片段与我们DAO中写的SQL语句合成一个完整的SQL语句!例如用户在登录时输入的用户名和密码都是为SQL语句的片段!
演示SQL攻击

首先我们需要创建一张用户表,用来存储用户的信息。

CREATE TABLE user(

         uid   CHAR(32) PRIMARY KEY,

         username        VARCHAR(30) UNIQUE KEY NOT NULL,

         PASSWORD    VARCHAR(30)

);

 

INSERT INTO user VALUES('U_1001', 'zs', 'zs');

SELECT * FROM user;


现在用户表中只有一行记录,就是zs。下面我们写一个login()方法!

public void login(String username, String password) {

       Connection con = null;

       Statement stmt = null;

       ResultSet rs = null;

       try {

           con = JdbcUtils.getConnection();

           stmt = con.createStatement();

           String sql = "SELECT* FROM user WHERE " +

                  "username='" + username +

                  "' andpassword='" + password + "'";

           rs = stmt.executeQuery(sql);

           if(rs.next()) {

              System.out.println("欢迎" + rs.getString("username"));

           } else {

              System.out.println("用户名或密码错误!");

           }

       } catch (Exception e) {

           throw new RuntimeException(e);

       } finally {

           JdbcUtils.close(con, stmt, rs);

       }     

    }

下面是调用这个方法的代码:

login("a' or 'a'='a", "a' or 'a'='a");


这行当前会使我们登录成功!因为是输入的用户名和密码是SQL语句片段,最终与我们的login()方法中的SQL语句组合在一起!我们来看看组合在一起的SQL语句:

SELECT * FROM tab_user WHERE username='a' or 'a'='a' and password='a' or 'a'='a'


防止SQL攻击

   过滤用户输入的数据中是否包含非法字符;

   分步交验!先使用用户名来查询用户,如果查找到了,再比较密码;

  使用PreparedStatement。



lkk1344
关注
专栏目录
SQL注入攻击
请叫我麦兜兜儿
10-06 648
SQL注入攻击是指利用设计上的漏洞,在目标服务器上运行SQL命令以及进行其他方式的攻击,动态生成SQL语句时没有对用户输入的数据进行验证。SQL注入攻击是一种常规性的攻击,可以允许一些不法用户检索他人的数据,改变服务器的设置,或者在他人不小心的时候破坏其服务器。SQL注入攻击不是SQL Server问题,而是不适当的程序。要SQL注入攻击,应该注意以下几点。(1)检查输入的SQ
如何止网站被SQL注入攻击之java网站安全
网站安全专家
06-08 5217
SQL注入攻击SQL injection)是目前网站安全以及服务器安全层面上是最具有攻击性,危害性较高,被黑客利用最多的一个漏洞,基本上针对于网站代码,包括JAVA JSP PHP ASP apache tomcat 语言开发的代码都会存在sql注入漏洞。 随着JAVA JSP架构的市场份额越来越多,许多平台都使用JAVA开发,本文通过对sql注入的详细分析,从代码层面以及服务器层面,根本上来...
SQL注入攻击-学习笔记
guishifoxin的博客
07-18 8629
所谓SQL注入,就是通过把SQL命令插入到web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 具体来说,它是利用现有应有程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在web 表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。 SQL注入是比较常见的网络攻击方式之一,它不是利用...
谈谈预SQL注入
waley的博客
04-27 1533
SQL注入造成SQL注入的原因SQL注入是通过在SQL语句被数据库解析之前,以修改其语法的形式工作的。只要你在解析语句之前插入动态部分,就存在SQL注入的风险。动态部分:1、 用户传递进来的参数 2、 有可能是从数据库查询出来的SQL注入的一些方法转义SQL语句包含任何不匹配的引号的最古老的方法,就是对所有的引号字符进行转义操作,使他们不至于成为字符串的结束符。比如PDO的quote()函...
MyBatis如何SQL注入
aodaidi6752的博客
09-13 1439
SQL注入是一种代码注入技术,用于攻击数据驱动的应用,恶意的SQL语句被插入到执行的实体字段中(例如,为了转储数据库内容给攻击者)。[摘自]SQL injection - Wikipedia SQL注入,大家都不陌生,是一种常见的攻击方式。攻击者在界面的表单信息或URL上输入一些奇怪的SQL片段(例如“or ‘1’=’1’”这样的语句),有可能入侵参数检验不足的应用程序。所...
PHP SQL注入攻击
qq27898的博客
03-22 1万+
PS:下章节我会就XSS/CSRF写一篇文章,还请各位关注1.什么是SQL注入攻击?百度百科:所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是...
网络安全-SQL注入原理、攻击
关注网络安全、云原生安全
07-12 2万+
目录 SQL注入原理 SQL注入条件 SQL注入的方法 使用预编译语句 使用存储过程 检查数据类型 使用安全函数 SQL注入原理 程序员没有遵循代码与数据分离原则,使用户数据作为代码执行。 SQL注入条件 用户可以控制数据的输入。 原本要运行的代码拼接了用户的输入。 SQL注入的方法 使用预编译语句 绑定变量,攻击者无法改变SQL的结构。不同的编程语言Java、Php有不同的语法,就不做展示了。 使用存储过程 使用安全的存储过程对抗SQL注入,由于存储过程中也可能存在
SpringBoot集成Mybatis实现简单的SQL注入攻击)案例
12-14
(1)主演示就是一张t_user表,利用常见的用户登录来模拟sql注入对后台数据的侵入 (2)数据库脚本 — postgresql DROP TABLE IF EXISTS "public"."t_user"; CREATE TABLE "public"."t_user" ( "id" int8 NOT ...
Web安全之SQL注入攻击
03-04
③本晨讲形式为PPT+个人演讲+实际演示,但因为TTS征文限制,少去了很多效果,深表遗憾;④原创文章,达内首发。希望喜欢的同学,多多支持!如有疑问致信:chinanala@gmail.com大家早上好!今天由我给大家带来《web...
SQL注入攻击御.pdf
08-16
SQL注入是一种常见的网络攻击技术,攻击者通过在Web应用的输入字段中嵌入恶意的SQL代码,利用数据库管理系统(DBMS)的解析错误执行非法操作。SQL注入能够绕过正常的认证机制,获取敏感信息,甚至控制整个数据库。...
使用PythonSQL注入攻击的实现示例
09-16
### 使用PythonSQL注入攻击的实现示例 #### 文章背景与重要性 随着网络技术的发展,Web应用程序的安全性越来越受到人们的重视。开放式Web应用程序安全项目(OWASP)每几年都会发布一次关于Web应用程序最常见...
〖Python 数据库开发实战 - Python与MySQL交互篇②〗- SQL 注入攻击案例
热门推荐
易编橙 · 终身成长社群,相遇已是上上签!
08-22 4万+
上一章节,我们只是简单的了解了 MySQL Connector 的语法,完成了一个简单的案例。Python 语言操作数据库不是到这里就结束了后续还有很多高级的内容等着我们去学习,该章节我们就来学习一下对所有数据库都有效的 "SQL 注入攻击" 。
SQL - 进阶语法(一)
qq_51222843的博客
09-21 462
关于SQL的进阶语法教程,包括简单合并数据库,修改数据库内容等操作
一条sql是如何执行的详解
边走、边悟、迟早变好
09-13 1842
SQL 查询的执行过程分为解析、查询重写、查询规划、查询执行和结果返回五个主要步骤。每个步骤都对应特定的任务,从解析 SQL 到最终返回结果,确保查询尽可能高效地执行听忆.-CSDN博客🎈众口难调🎈从心就好。
LeetCode_sql_day27(1225.报告系统状态的连续信息)
Darling博客
09-18 1055
①最后求end_date 时用last_value就会出错 换了一种写法用的max②碰到日期 求最大 最小 可以优先考虑max min函数③注意排序 不然数据多的时候 会出现错乱④first_value 取第一个值 注意排序⑤last_value 取最后一个值 它默认范围是要想使用它 需要重新设置范围 如下。
快速理解sql数据库(一)(sql关键字优先级执行顺序详解)
hs_1024的博客
09-21 858
了解SQL关键字的执行顺序对于编写高效、准确的SQL语句至关重要。通过掌握这些关键字的执行顺序,我们可以更好地理解SQL查询的逻辑,优化查询性能,并避免一些常见的错误。希望本文能帮助读者更好地理解和使用SQL语言。
MyBatis框架SqlSession浅析
今天又是充满希望的一天
09-18 785
mybatis的sqlSession
【力扣 | SQL题 | 每日三题】力扣175, 176, 181
最新发布
2301_80912559的博客
09-21 1174
观察到Person表的两条记录的PersonId分别为1, 2,而Address表的两条记录分别为2, 3。观察到输出不仅有PersonId为2的记录,还有PersonId为1 的记录,且它的city,state都为null,而两条name列都是来自Person表。首先,这个人是员工,即它的managerId是非空的,并且它的薪水是大于它的经历的,求它的经理的薪水用到了相关子查询。该表的每一行都包含一个 ID = PersonId 的人的城市和州的信息。该表包含一些人的 ID 和他们的姓和名的信息。
深入理解Web安全:SQL注入攻击详解
例如,使用 Burp Suite 或 SQLMap 等工具,可以方便地测试和演示SQL注入。 三、实战演练 第二讲侧重于实战,通过对真实或模拟网站进行扫描,找出潜在的注入点,并尝试利用它们。这要求我们不仅要理解注入原理,还要...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值