41.0/查询/sql注入安全问题以及解决方式。

最新推荐文章于 2024-11-13 11:37:20 发布
最新推荐文章于 2024-11-13 11:37:20 发布
阅读量957 收藏 18
点赞数 28
文章标签: sql 安全 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_65227896/article/details/134674671
版权

41.1. 回顾

1. jdbc:[java database connection] java连接数据库
2. 完成了增删改操作。
   [1]加载驱动。Class.forName("com.mysql.cj.jdbc.Driver");
   [2]获取连接对象: Connection conn=DriverManager.getConnection(url,user,pass);
      url: jdbc:mysql://localhost:3306/数据库名?serverTimezone=Asia/Shanghai
   [3]获取执行sql语句的对象: Statement st=conn.createStatement();   
   [4]执行sql语句: st.executeUpdate(sql);
        sql: 增删改的sql.
           修改: update 表名 set 字段名=值,字段名=值.... where 条件
           添加: insert into 表名 values(值,值....);
           删除: delete from 表名 where 条件
           
   [5]关闭资源         

41.2. 正文

目录

41.1. 回顾

41.2. 正文

41.3 查询-所有

41.4 异常处理

41.5 sql注入安全问题

41.6企业级开发的模式

41.3 查询-所有

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.ResultSet;
import java.sql.Statement;


public class Test02 {
    public static void main(String[] args) throws Exception{
         //1. 加载驱动
        Class.forName("com.mysql.cj.jdbc.Driver");
        //2.获取连接对象
        String url="jdbc:mysql://localhost:3306/mydb";
        String user="root";
        String password="root";
        Connection conn= DriverManager.getConnection(url,user,password);
        //3.获取执行sql的对象
        Statement st=conn.createStatement();
        //4. 执行sql语句
        String sql="select * from tbl_emp";
        //把查询的结果封装到一个ResultSet对象中。
        ResultSet rs = st.executeQuery(sql);
        //5. 从resultSet中取出结果. next():指针往下移动并判断当前是否存在元素。  getXXX();获取当前行的指定列的值。
        while(rs.next()){
            System.out.println(rs.getInt("id")+"\t"+rs.getString("name")+"\t"+rs.getDouble("salary"));
        }
        //6. 关闭资源
        rs.close();
        st.close();
        conn.close();

    }
}

根据用户名查询: 查询姓李的人。

 

package com.demo01;

import java.sql.*;

public class Test05 {
    public static void main(String[] args) throws Exception {
        query();

    }

    public static void query() throws Exception {
        Class.forName("com.mysql.cj.jdbc.Driver");
        String url = "jdbc:mysql://localhost:3306/day112303";
        String user = "root";
        String password = "634835";
        Connection conn = DriverManager.getConnection(url, user, password);

        Statement statement = conn.createStatement();
最低0.47元/天 解锁文章
光明是人的信仰
关注
SQL注入漏洞详解
谢公子的博客
07-26 9万+
目录 SQL注入的分类 判断是否存在SQL注入 一:Boolean盲注 二:union 注入 三:文件读写 四:报错注入 floor报错注入 ExtractValue报错注入 UpdateXml报错注入 五:时间盲注 六:REGEXP正则匹配 七:宽字节注入 八:堆叠注入 九:二次注入 十:User-Agent注入 十一:Cookie注入 十二:过滤绕过 十三......
用友NC link/content SQL注入漏洞复现
0xSec
08-17 438
用友NC /portal/pt/link/content 接口存在SQL注入漏洞,攻击者通过利用SQL注入漏洞配合数据库xp_cmdshell可以执行任意命令,从而控制服务器。经过分析与研判,该漏洞利用难度低,建议尽快修复。
SQL注入-查询方式
m0_73902453的博客
08-01 610
当我们进行SQL注入的时候,有很多注入会出现没有回显的情况,其中不回显得原因可能是是因为SQL语句查询方式问题导致的,这个时候我们需要用到报错或者盲注进行后续操作,同时在注入的过程中,提前了解其中SQL语句可以更好的选择对应的注入语句。
Mybatis的SQL注入
2302_79184324的博客
10-12 1056
我们使用一个开源的cms来分析,java sql注入问题适合使用反推,先搜索xml查找可能存在注入的漏洞点→反推到DAO→再到实现类→再通过调用链找到前台URL,找到利用点,话不多说走起。以上就是Mybatis的sql注入审计的基本方法,我们没有分析的几个点也有问题,新手可以尝试分析一下不同的注入点来实操一遍,相信会有更多的收获。根据文件名带Dao的xml为我们需要的,以IContentDao.xml为例,双击打开,ctrl +F 搜索$,查找到16个前三个为数据库选择,跳过,
「漏洞复现」用友NC psnImage/download SQL注入漏洞
qq_39894062的博客
08-19 552
请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责!!!
用友NC psnImage/download SQL注入漏洞复现
0xSec
08-16 488
用友NC/portal/pt/psnImage/download 接口存在SQL注入漏洞,攻击者通过利用SQL注入漏洞配合数据库xp_cmdshell可以执行任意命令,从而控制服务器。经过分析与研判,该漏洞利用难度低,建议尽快修复。
用友U8 Cloud hr SQL注入漏洞
Keepb1ue的博客
04-18 520
用友U8 Cloud 提供企业级云ERP整体解决方案,全面支持多组织业务协同,实现企业互联网资源连接。U8 Cloud 亦是亚太地区成长型企业最广泛采用的云解决方案。用友U8 cloud hr 接口处存在SQL注入漏洞,攻击者未经授权可以访问数据库中的数据,从而盗取用户数据,造成用户信息泄露。
「漏洞复现」用友NC link/content SQL注入漏洞
qq_39894062的博客
09-02 583
请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责!!!
【漏洞复现】用友NC Cloud系统queryPsnInfo接口SQL注入
今天是几号的博客
08-05 1105
在受影响的版本中,攻击者可以通过未授权访问 /ncchr/pm/obj/queryPsnInfo 接口,利用 staffid 参数的缺乏校验,通过传入恶意的 SQL 语句进行命令注入,从而控制服务器。任何因使用本文所提供的信息或工具而导致的损失、后果或不良影响,均由使用者个人承担责任,与本文作者无关。作者不对任何因使用本文信息或工具而产生的损失或后果承担任何责任。使用本文所提供的信息或工具即视为同意本免责声明,并承诺遵守相关法律法规和道德规范。本文所涉及的任何技术、信息或工具,仅供学习和参考之用。
用友时空KSOA 多处 SQL注入漏洞复现
0xSec
07-31 697
用友时空KSOA系统 PrintZP.jsp、PrintZPFB.jsp、PrintZPYG.jsp、PrintZPZP.jsp、fillKP.jsp等多处接口处存在SQL注入漏洞,未经身份验证的远程攻击者除了可以利用SQL注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
用友NC-Cloud系统queryPsnInfo接口SQL注入漏洞复现 [附POC]
薛定谔嘚喵博客
08-04 294
用友NC-Cloud系统 queryPsnlnfo接口处存在SQL注入漏洞,未授权的攻击者可通过此漏洞获取数据库权限,从而盗取用户数据,造成用户信息泄露。
sql注入之二次注入sqlilabs-less24)
CSDNRomance的博客
11-13 350
二阶注入相对隐蔽,因为其恶意代码不会在第一步直接执行,所以在开发和测试时,务必要考虑输入数据在不同阶段的调用方式,以避免此类攻击。
如何在Linux中使用Cron定时执行SQL任务
Mr_Wanter
11-08 679
linux crontab 定时执行sql脚本。
SQL,力扣题目1107,每日新用户统计
最新发布
m0_59659684的博客
11-13 250
activity 列是 ENUM 类型,可能取 ('login', 'logout', 'jobs', 'groups', 'homepage') 几个值之一。编写解决方案,找出从今天起最多 90 天内,每个日期该日期首次登录的用户数。2、思路:找出每个用户第一天登录的日期之后再进行过滤90天以内的日期。2、找出第一天登录日期与指定日期间隔90天以内的日期,并计算人数。1、CTE表达式 + 窗口函数 + datediff()1、找出用户第一天登录的日期。该表可能有重复的行。
SQL面试题——奔驰SQL面试题 车辆在不同驾驶模式下的时间
11-12 520
我们上报上来的数据包含当前的驾驶模式和当前时间戳,我们可以把下次上报上来的时间减去当前时间的差作为这个驾驶模式的形式时间,很多人可能会说要不要判断下次上来的驾驶模式是不是和当前的相当呀。如果相等作为条件,SPORT 的驾驶时长就是TS3-TS1,如果没有这个条件SPORT 的驾驶时长就是TS4-TS1。那这个问题就很简单了,我们获取下一次上报的时间和当前时间做差,当成当前驾驶模式的形式时间。前面我们已经有了每种驾驶模式的驾驶时间,我们只需要按照驾驶时间排序即可。这两个放在一起的话,我们可以这样写。
现场工程师日记-MSYS2迅速部署PostgreSQL主从备份数据库
丁劲犇技术发布空间
11-09 979
用一主一从两个PostgreSQL实例,基于默认的WAL replica 是最简单的主从方式。对16TB的盘阵,我们保留102GB的WAL空间,这样即使从节点废了,过了1天再开机,也能赶上(主机WAL还没被清理)。本文章介绍从0开始部署主从服务器的步骤。
PostgreSQL 事务读取行 不使用行锁 真的? 利弊双刃剑
sql server的专栏
11-11 968
开头还是介绍一下群,如果感兴趣PolarDB ,MongoDB ,MySQL ,PostgreSQL ,Redis, OceanBase, Sql Server等有问题,有需求都可以加群群内有各大数据库行业大咖,可以解决你的问题。加群请联系 liuaustin3 ,(共2580人左右 1 + 2 + 3 + 4 +5 + 6 + 7+8) 新人进7群,开8群)最近一个同学问我一个问题,这也是练习题...
数据库基础(9) . DML-多表操作
yuanchun的知识整理
11-08 1135
n],[m] 显示 [ n + 1, n + m ]–判断子查询是否有结果(强调有无,不关心具体是什么)– all 全部 --全部都满足,才会取出来。在修改语句中 可以使用子查询的结果为字段赋值。:子查询不返回任何一行时条件为true。:子查询至少返回一行时条件为true。:比子查询返回结果中的所有值都大。:比子查询返回结果中的所有值都小。:与子查询返回结果中的某个值相等。:比子查询返回结果中的某个值大。:比子查询返回结果中的某个值小。[过滤条件] 嵌套查询。[数据来源] 临时表。
计算用户订购率梧桐数据库和oracle数据库sql分析
change7721的博客
11-08 342
FROM users) * 100, 2) AS percentage: 计算每个产品的注册用户百分比,并保留两位小数。COUNT(DISTINCT user_id): 计算每个产品的唯一注册用户数量。移动运营商平台提供多种类型的产品权益,用户可以通过订购来使用。平台需要定期统计各个产品的用户订购情况,以便了解各个产品的受欢迎程度。ORDER BY percentage DESC, contest_id: 先按百分比降序排列,如果百分比相同,则按产品ID升序排列。*100: 将结果转换为百分比。
我域环境是192.168.41.0/24,属于vmnet2 仅主机模式,其他虚拟机网段192.168.237.0/24,属于vmnet8 nat模式,但是域内主机无法访问外网,其他虚拟机正常上网,如何解决?
07-20
您可以尝试以下步骤来解决域内主机无法访问外网的问题: 1. 确保域内主机的网络设置正确。检查主机的IP地址、子网掩码、网关和DNS服务器设置是否正确。 2. 检查主机的防火墙设置。确保防火墙允许域内主机访问外部...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

光明是人的信仰

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值