SQL注入攻击

最新推荐文章于 2024-05-13 18:57:47 发布
最新推荐文章于 2024-05-13 18:57:47 发布
阅读量174 收藏 1
点赞数
文章标签: mysql jdbc java 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51067047/article/details/117728389
版权

1、SQL注入

SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。

1.1、SQL注入问题

SQL存在漏洞,会被攻击导致数据泄漏

package com.jialidun.test;

import com.jialidun.utils.JdbcUtils;

import java.sql.Connection;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;

public class SqlInject {
    public static void main(String[] args) {

        //login("rygar", "123456");  //正常输入情况下    rygar    123456


        login("'or '1=1'#",""); //SQL注入攻击
        

    }

    //登陆业务
    public static void login(String username,String password){

        Connection connection = null;
        Statement statement = null;
        ResultSet rs = null;
        try {


            //获取连接
            connection = JdbcUtils.getConnection();
            //创造传输器

            statement = connection.createStatement();

            //执行sql
            String sql = "select * from users where `NAME`='"+username +"' AND `PASSWORD`= '"+ password+"'";
            rs = statement.executeQuery(sql);

            while (rs.next()){

                System.out.println(rs.getString("NAME"));
                System.out.println(rs.getString("PASSWORD"));

            }

        } catch (SQLException throwables) {
            throwables.printStackTrace();
        }finally {
            //释放连接
            JdbcUtils.close(connection,statement,rs);
        }
    }


}

在这里插入图片描述

2、preparedStatement对象

PreparedStatement继承Statement
preparedStatement可以防止Sql注入。效果更好
1、新增

package com.jialidun.preparedSt;

import java.sql.*;

public class TestInsert {
    public static void main(String[] args) {

        Connection connection = null;
        PreparedStatement pst = null;


        try {
            Class.forName("com.mysql.cj.jdbc.Driver");
            String url = "jdbc:mysql://localhost:3306/jdbcstudy?useUnicode=true&characterEncoding=utf8&useSSL=true&serverTimezone=UTC%2B8";
            String username = "root";
            String password = "root";
            // 1.获取连接
            connection = DriverManager.getConnection(url, username, password);

            String sql = "insert into users(id,`NAME`,`PASSWORD`,`email`,`birthday`) values(?,?,?,?,?)";
            //2、获取传输器并执行SQL
            pst = connection.prepareStatement(sql);

            pst.setInt(1,4);
            pst.setString(2,"小明");
            pst.setString(3,"xiaoming123");
            pst.setString(4,"xiaoming@163.com");
            pst.setDate(5,new Date(new java.util.Date().getTime()));

            int num = pst.executeUpdate();

            if(num > 0){
                System.out.println("添加用户成功!");
            }

        } catch (ClassNotFoundException | SQLException e) {
            e.printStackTrace();
        }finally {
            //释放连接
            if(pst!=null){
                try {
                    pst.close();
                } catch (SQLException throwables) {
                    throwables.printStackTrace();
                }
            }

            if(connection!=null){
                try {
                    connection.close();
                } catch (SQLException throwables) {
                    throwables.printStackTrace();
                }
            }

        }
    }
}

在这里插入图片描述
2、修改

package com.jialidun.preparedSt;

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.SQLException;

public class TestUpdate {
    public static void main(String[] args) {

        Connection connection = null;
        PreparedStatement pst = null;

        try {
            Class.forName("com.mysql.cj.jdbc.Driver");

            String url = "jdbc:mysql://localhost:3306/jdbcstudy?useUnicode=true&characterEncoding=utf8&useSSL=true&serverTimezone=UTC%2B8";
            String username = "root";
            String password = "root";

            //1.获取连接
           connection = DriverManager.getConnection(url, username, password);


           String sql = "update users set `PASSWORD`=? WHERE id = 4";
           //获取Statement并执行sql
            pst = connection.prepareStatement(sql);

            pst.setString(1,"xiaoming111");

            int num = pst.executeUpdate();
            if(num>0){
                System.out.println("修改成功!");
            }

        } catch (ClassNotFoundException | SQLException e) {
            e.printStackTrace();
        }finally {
            if(pst!=null){
                try {
                    pst.close();
                } catch (SQLException throwables) {
                    throwables.printStackTrace();
                }
            }

            if(connection!=null){
                try {
                    connection.close();
                } catch (SQLException throwables) {
                    throwables.printStackTrace();
                }
            }
        }


    }
}

在这里插入图片描述
3、查询

package com.jialidun.preparedSt;

import java.sql.*;

public class TestRead {
    public static void main(String[] args) {

        Connection connection = null;
        PreparedStatement pst = null;
        ResultSet resultSet = null;

        try {
            Class.forName("com.mysql.cj.jdbc.Driver");

            String url = "jdbc:mysql://localhost:3306/jdbcstudy?useUnicode=true&characterEncoding=utf8&useSSL=true&serverTimezone=GMT%2B8";
            String username = "root";
            String password = "root";

            //获取连接
            connection = DriverManager.getConnection(url, username, password);


            String sql = "select * from users where id= ?";
            pst = connection.prepareStatement(sql);

            pst.setInt(1,4);

            resultSet = pst.executeQuery();

            while (resultSet.next()){
                System.out.println(resultSet.getString("NAME"));
                System.out.println(resultSet.getString("PASSWORD"));

            }


        } catch (ClassNotFoundException | SQLException e) {
            e.printStackTrace();
        }finally {

            //释放连接
            if (resultSet!=null){
                try {
                    resultSet.close();
                } catch (SQLException throwables) {
                    throwables.printStackTrace();
                }
            }

            if(pst!=null){
                try {
                    pst.close();
                } catch (SQLException throwables) {
                    throwables.printStackTrace();
                }
            }

            if(connection!=null){
                try {
                    connection.close();
                } catch (SQLException throwables) {
                    throwables.printStackTrace();
                }
            }

        }


    }
}

在这里插入图片描述
4、删除

package com.jialidun.preparedSt;

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.SQLException;

public class TestDelete {
    public static void main(String[] args) {
        Connection connection = null;
        PreparedStatement pst = null;

        try {
            Class.forName("com.mysql.cj.jdbc.Driver");

            String url = "jdbc:mysql://localhost:3306/jdbcstudy?useUnicode=true&useSSL=true&characterEncoding=utf8&serverTimezone=UTC%2B8";
            String username = "root";
            String password = "root";

            //获取数据库连接
           connection = DriverManager.getConnection(url,username,password);

           String sql = "delete from users where id = ?";
            pst = connection.prepareStatement(sql);

            pst.setInt(1,4);
            int num = pst.executeUpdate();

            if(num>0){
                System.out.println("删除成功!");
            }


        } catch (ClassNotFoundException | SQLException e) {
            e.printStackTrace();
        }finally {
            //释放连接
            if(pst!=null){
                try {
                    pst.close();
                } catch (SQLException throwables) {
                    throwables.printStackTrace();
                }
            }

            if(connection!=null){
                try {
                    connection.close();
                } catch (SQLException throwables) {
                    throwables.printStackTrace();
                }
            }
        }


    }
}

在这里插入图片描述

2.1、SQL注入解决

package com.jialidun.preparedSt;

import com.jialidun.utils.JdbcUtils;

import java.sql.*;

public class SqlInject {
    public static void main(String[] args) {

        //login("rygar", "123456");  //正常输入情况下    rygar    123456


        login("'or '1=1'#",""); //SQL注入攻击


    }

    //登陆业务
    public static void login(String username,String password){

        Connection connection = null;
        PreparedStatement pst = null;
        ResultSet rs = null;
        try {


            //获取连接
            connection = JdbcUtils.getConnection();

            //执行sql
            String sql = "select * from users where `NAME`=? and `PASSWORD`=?";
            pst = connection.prepareStatement(sql);

            pst.setString(1,username);
            pst.setString(2,password);

            rs = pst.executeQuery();

            while (rs.next()){

                System.out.println(rs.getString("NAME"));
                System.out.println(rs.getString("PASSWORD"));

            }

        } catch (SQLException throwables) {
            throwables.printStackTrace();
        }finally {
            //释放连接
            JdbcUtils.close(connection,pst,rs);
        }
    }
}

在这里插入图片描述

RYGAR
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
基于MySQLSQL注入攻击(20191202232232).pdf
12-02
MySQLSQL注入攻击(SEC-W05-003.1) 注入是从正常的WWW端口访问,而且表面看起来跟一般的Web页面访问没什么区别,可能 B/S模式应用开发的发展
SQL注入攻击与防御
07-17
SQL注入是Internet上最危险、最有名的安全漏洞之一,《SQL注入攻击与防御》是目前唯一一本专门致力于讲解SQL威胁的图书。《SQL注入攻击与防御》作者均是专门研究SQL注入的安全专家,他们集众家之长,对应用程序的...
注入攻击-SQL注入和代码注入
weixin_34195142的博客
03-18 761
注入攻击 OWASP将注入攻击和跨站脚本攻击(XSS)列入网络应用程序十大常见安全风险。实际上,它们会一起出现,因为 XSS 攻击依赖于注入攻击的成功。虽然这是最明显的组合关系,但是注入攻击带来的不仅仅是 XSS。 注入攻击代指一类攻击,它们通过注入数据到一个网络应用程序以期获得执行,亦或是通过非预期的一个方式来执行恶意数据。这种类别的攻...
安全测试|常见SQL注入攻击方式、影响及预防
最新发布
a38417的博客
05-13 949
-" query = "INSERT INTO students (name) VALUES ('%s')" % (name) conn.executescript(query) # 检视已有的学生信息 cursor = conn.execute("SELECT id, name from students") print('IDName') for row in cursor: print('{0}{1}'.format(row[0], row[1])) conn.close()
实例讲解SQL注入攻击
02-26
SQL注入”是一种利用未过滤/未审核用户输入的攻击方法(“缓存溢出”和这个不同),意思就是让应用运行本不应该运行的SQL代码。如果应用毫无防备地创建了SQL字符串并且运行了它们,就会造成一些出人意料的结果。本...
基于joomlad的SQL注入攻击.pptx
01-05
基于joomlad的SQL注入攻击SQL注入攻击是:黑客对数据库进行攻击的常用手段之一。随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。相当大一部分程序员在编写代码的时候,没有对用户输入...
sql注入攻击流量情况
07-18
sql注入攻击流量情况
SQL注入攻击与防御技术白皮书.pdf
10-16
SQL注入攻击与防御技术白皮书.pdf 本文档主要介绍了SQL注入攻击的原理、方式、危害及防御措施,旨在帮助读者更好地理解和防御这种常见的数据库漏洞攻击方式。 1.SQL注入攻击简介 SQL注入攻击是一种针对数据库的...
sql注入攻击常用语句总结
03-29
sql注入总结 语句精简 类型丰富 种类齐全 值得学习 欢迎借鉴
SQL注入攻击与防御(第2版).part1
06-26
SQL注入攻击是一种已经长期存在,但近年来日益增长的安全威胁,《安全技术经典译丛:SQL注入攻击与防御(第2版)》致力于深入探讨SQL注入问题。  《安全技术经典译丛:SQL注入攻击与防御(第2版)》前一版荣获2009...
Web环境下SQL注入攻击的检测
03-03
SQL注入攻击】是Web应用安全领域的一个严重威胁,它主要利用了编程人员在开发时对用户输入数据处理不当的漏洞。攻击者可以通过构造特定的输入,使应用程序执行非预期的SQL命令,从而获取未经授权的数据或者对...
SQL 注入攻击的本质
09-11
SQL 注入攻击,又是注入攻击,没想到2008年这个老掉牙的东西又出来搅风搅雨
基于通用规则的SQL注入攻击检测与防御系统的研究
01-27
面对Web网站存在的种种安全漏洞问题,文章通过对大量SQL注入攻击报文的攻击特征进行总结分析,结合SQL注入攻击攻击特征和攻击原理,提出了一种基于通用规则的SQL注入攻击检测与防御的方法,并利用SQL注入检测工具...
SQL注入攻击详解与防御策略
SQL注入攻击是一种严重的网络安全威胁,它发生在Web应用程序未能正确过滤用户输入的情况下。攻击者通过在应用程序的查询字符串中插入恶意的SQL代码,从而能够绕过安全控制,获取、修改、甚至删除数据库中的敏感信息...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

RYGAR

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值