Android可能出现的SQL注入以及防范(1),Android开发究竟该如何学习

最新推荐文章于 2024-05-10 20:32:39 发布
最新推荐文章于 2024-05-10 20:32:39 发布
阅读量1k 收藏 25
点赞数 20
分类专栏: 程序员 文章标签: android sql 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_61549353/article/details/137001890
版权
本文分析了一段Android登录代码,展示了使用字符串拼接构建SQL查询可能导致SQL注入的问题。作者强调了在处理用户输入时保护数据库安全的重要性,并提到了学习和理解Android开源框架设计思想的必要性。
摘要由CSDN通过智能技术生成

  • 读取UserData.db中的用户信息

  • */

protected void readUserInfo() {

if (login(edit_account.getText().toString(), edit_password.getText().toString())) {

Toast.makeText(this, “登陆成功!”, Toast.LENGTH_SHORT).show();

Intent intent = new Intent(Login_Activity.this, UsersInfo_activity.class);

intent.putExtra(“Username”,edit_account.getText().toString());

startActivity(intent);

} else {

Toast.makeText(this, “账户或密码错误,请重新输入!!”, Toast.LENGTH_SHORT).show();

}

}

/**

  • 验证登录信息

  • */

public boolean login(String username, String password) {

SQLiteDatabase db = dbHelper.getWritableDatabase();

String sql = “select *from usertable where username='”+username+“'”+“and password='”+password+“'”;

Cursor cursor = db.rawQuery(sql,null);

if (cursor.moveToFirst()) {

cursor.close();

return true;

}

return false;

}

我们可以看到这段代码中,数据库查询语句是依靠字符串拼接组成查询语句,这样很容易发生SQL诸注入!

String sql = “select *from usertable where username='”+username+“'”+“and password='”+password+“'”;

为什么会产生SQL注入呢?

我们根据这个简单的注册登录项目来解释。

首先注册一个账号,账号密码都为123。

在这里插入图片描述

这时我们来验证一下登录功能。

登录

我们输入正确的账号密码 ,可以看到登录成功。

在这里插入图片描述

我们输入错误的密码,登录失败,证明登录功能是正常的。

在这里插入图片描述

这时候,我们在账号中输入123’or’1=1 密码输入一个错误的12,我们可以看到,他也是登录成功了。为什么呢?

在这里插入图片描述

在这里插入图片描述

因为账号输入123’or’1=1,密码输入12此时sql查询语句就变成

自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。

深知大多数初中级安卓工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!

因此收集整理了一份《2024年最新Android移动开发全套学习资料》送给大家,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。
img
img
img
img

由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频
如果你觉得这些内容对你有帮助,可以添加下面V无偿领取!(备注Android)
img

最后

光有这些思路和搞懂单个知识的应用是还远远不够的,在Android开源框架设计思想中的知识点还是比较多的,想要搞懂还得学会整理和规划:我们常见的**Android热修复框架、插件化框架、组件化框架、图片加载框架、网络访问框架、RxJava响应式编程框架、IOC依赖注入框架、最近架构组件Jetpack等等Android第三方开源框架,**这些都是属于Android开源框架设计思想的。如下图所示:

image

这位阿里P8大佬针对以上知识点,熬夜整理出了一本长达1042页的完整版如何解读开源框架设计思想PDF文档,内容详细,把Android热修复框架、插件化框架、组件化框架、图片加载框架、网络访问框架、RxJava响应式编程框架、IOC依赖注入框架、最近架构组件Jetpack等等Android第三方开源框架这些知识点从源码分析到实战应用都讲的简单明了。

由于文档内容过多,篇幅受限,只能截图展示部分,更为了不影响阅读,这份文档已经打包在GitHub,有需要的朋友可以直接点此处前往免费下载

image

image

整理不易,觉得有帮助的朋友可以帮忙点赞分享支持一下小编~

8156601)。**

[外链图片转存中…(img-f50Ettgl-1711328409958)]

[外链图片转存中…(img-voaxNJx4-1711328409958)]

整理不易,觉得有帮助的朋友可以帮忙点赞分享支持一下小编~

你的支持,我的动力;祝各位前程似锦,offer不断!!!

前端漫画书
关注
  • 20
    点赞
  • 25
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Android可能出现SQL注入以及防范
qq_36664097的博客
05-29 1523
Android可能出现SQL注入以及防范什么是SQL注入SQLite数据库的SQL注入如何防止SQL注入小结 什么是SQL注入 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个...
android sql
09-08
android 手机数据和windows sqlserver 数据间接口的传递 互联网间网络通信数据共享java 代码,c#代码 连个语言的平台应用
最全Android :这是一份详细 & 全面的 SQLlite数据库 使用手册(1),2024年最新携程Android面试题
最新发布
2301_82244125的博客
05-10 989
由于本文罗列的知识点是根据我自身总结出来的,并且由于本人水平有限,无法全部提及,欢迎大神们能补充~将来我会对上面的知识点一个一个深入学习,也希望有童鞋跟我一起学习,一起进阶。**这里,笔者分享一份从架构哲学的层面来剖析的视频及资料分享给大家,**梳理了多年的架构经验,筹备近1个月最新录制的,相信这份视频能给你带来不一样的启发、收获。,第一时间获取最新知识点Android架构师之路很漫长,一起共勉吧!// 返回值一个 cursor 对象// 通过游标的方法可迭代查询结果。
Android数据库 之 SQLite数据库
aa1874646的博客
08-28 472
Android数据库 一、关系型数据库SQLIte   每个应用程序都要使用数据,Android应用程序也不例外,Android使用开源的、与操作系统无关的SQL数据库—SQLite。SQLite第一个Alpha版本诞生于2000年5月,它是一款轻量级数据库,它的设计目标是嵌入式的,占用资源非常的低,只需要几百K的内存就够了。SQLite已经被多种软件和产品使用,Mozilla...
android sql注入工具,防sql注入的过滤器
weixin_35660038的博客
05-26 448
首先在web.xml中配置antiSqlInjectioncom.usermanage.util.AntiSqlInjectionfilterantiSqlInjection/*2.具体逻辑实现package com.usermanage.util;import java.io.IOException;import java.util.Enumeration;import javax.servle...
Android SQL
qq_34071798的博客
11-12 521
SQLite: 一、简介: 1. [访问应用内的数据]Android通过 SQLite 数据库引擎来实现结构化数据的存储。在一个数据库应用程序中,任何类都可以通过名字对已经创建的数据库进行访问,但是在应用程序之外就不可以。除非在sd卡中. 2. [小而快]SQLite 数据库是一种用C语言编写的嵌入式数据库,它是一个轻量级的数据库,最初为嵌入式设计的。它是在一些基础简单的语句处理上要比o
Android操作SQL数据库
Bingin的博客
02-09 586
0x00 需要注意,继承了SQLiteOpenHelper的类创建完对象后,被没有立即创建数据库文件,需要调用getWritableDatabase()或者getReadableDatabase()方法后才会创建数据库文件 0x01 常用操作参考:http://www.cnblogs.com/kgb250/archive/2012/08/28/sqlitedatabase.html
Android应用程序开发以及背后的设计思想深度剖析PDF
01-13
Android应用应遵循最小权限原则,只申请必要的权限,同时需要防范SQL注入、XSS攻击等常见安全问题。Android的沙盒机制虽然为每个应用提供了隔离环境,但开发者仍需关注代码的安全性。 最后,测试是确保应用质量的...
Android百万设备面临安全风险.pdf
09-21
- **Web应用防火墙**:使用可靠的Web应用防火墙,防范跨站脚本、SQL注入和命令注入攻击。 - **限制地理位置访问**:对于内容管理系统,只允许特定地区的访问。 - **保护DNS**:确保域名服务器和DNS注册安全,防止...
Android」最佳实践 - (安全技术资料共1份).zip
02-05
2. **安全编码**:讲解如何使用Java和Android SDK进行安全编码,避免常见的编程错误,如SQL注入、跨站脚本(XSS)和未验证的重定向等。 3. **权限管理**:探讨如何最小化应用所需的权限,仅在必要时请求权限,以...
SQL注入—ASP注入漏洞全接触.pdf
05-31
### SQL注入—ASP注入漏洞全接触 #### 一、引言与背景 随着网络技术的飞速发展,尤其是B/S模式的应用开发日益普及,越来越多的程序员投身于这一领域,利用B/S模式创建各类应用程序。然而,尽管B/S模式带来了诸多...
Android解决数据库注入漏洞风险的demo
04-06
一个Android的demo工程,演示了如何解决数据库注入漏洞问题。 针对3种查询:rawQuery,query,以及LitePal的查询。 更详细的说明,参见相关博客文章:https://blog.csdn.net/lintax/article/details/79831376
Android可能出现SQL注入以及防范,研发4面真题解析(Android岗)
m0_64603776的博客
12-08 864
所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。 SQLite数据库的SQL注入 不只是常见的mysql,oracle数据库,SQLite数据库如果出现sql语句书写不规范,也可能出现SQL注入。以下是一个登录功能的代.
Android游戏SQL注入,关于Android contentprovider sql注入问题
weixin_39603908的博客
05-29 677
问题的引出说到SQL注入,我们常说不使用字符串拼接,使用带占位符的参数化查询可以防SQL注入,那么,在Android content provider中是否也一样呢?下面我们来看一段android contentprovider中的数据库查询代码示例:public void showBooks(View view) {String content = "";Uri bookUri = BookPr...
Android SQL的使用
生活,需要你的温暖。
02-06 822
SQL的使用莫非就是插入,删除,更新,查询。 首先要了解语法 例如有个表格table 里面有a和b两个列 insert into table(a,b) values(1,2) update table set a=1 where a=2 delete from table where a=1 delete from table select a,b from table where
红宝书下载mysql注入_Android 渗透测试篇之SQL注入
weixin_39703468的博客
01-27 238
上期回顾:上一篇,分享so文件注入相关的知识、实践,以及扩展,如何把用户自定义的so文件加载到宿主进程中,自由改变宿主进程的执行逻辑。本篇将从一个SQL注入漏洞的场景,引出针对Android平台的渗透测试知识。 在Android 端测试与评估过程中,攻击者常常逆向APP客户端存在的各种代码逻辑漏洞,分析客户端与服务端数据包通信风险,甚至挖掘APP服务端的漏洞,部分开发者只考虑到加密客户端与...
什么是 SQL 注入?
这个时代,作为程序员可能要学习小程序
02-15 172
点击上方关注 “终端研发部”设为“星标”,和你一起掌握更多数据库知识转自:Java程序员联盟文章目录:何谓SQL注入SQL数据库操作示例SQL数据库注入示例如何防止SQL注入问题SQL数据库反注入示例何谓SQL注入SQL注入是一种非常常见的数据库攻击手段,SQL注入漏洞也是网络世界中最普遍的漏洞之一。大家也许都听过某某学长通过攻击学校数据库修改自己成绩的事情,这些学长们一般用的就是SQL注入方...
SQL Injection
weixin_42400722的博客
08-22 2236
摘要 以用户或者外部不可信来源的输入动态构造SQL查询的命令,将可能改变SQL查询语句本来的语义,从而导致执行任意的SQL命令。缺陷描述 SQL injection 错误在以下情况下发生: 1. 数据从一个不可信赖的数据源进入程序。 - 在这种情况下, 静态扫描工具无法确定数据源是否可信赖。 2. 数据用于动态地构造一个 SQL 查询。 示例1以下代...
sql注入初探
小小鱼的博客
09-14 1406
了解漏洞: 什么是sql注入漏洞: 攻击者可以通过该漏洞提交一段数据库查询代码,根据程序返回的结果,获得非法数据。 分析漏洞原理: SQL注入产生的原因是什么: 程序员在编写代码的时候,没有对用户输入内容的合法性进行判断。 一个系统存在这个漏洞会导致什么后果? 数据库中的信息将会被黑客获取,如果数据库权限设置不当,还可能被攻击者获取写权限,写入一句话木马。 漏洞的复现和利用 环境...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值