mysql学习笔记(八):防止sql注入

最新推荐文章于 2024-09-07 20:44:48 发布
最新推荐文章于 2024-09-07 20:44:48 发布
阅读量464 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/milsevol/article/details/48143269
版权

一、什么是sql注入?

看下面的两种情况:

第一种情况


第一种情况变成的代码:


这上面即使是没有密码也是可以登录上去的。

这些情况就是sql注入

总结:由于dao中执行的SQL语句是拼接出来的,其中有一部分内容是由用户从客户端传入,所以当用户传入的数据中包含sql关键字时,就有可能通过这些关键字改变sql语句的语义,从而执行一些特殊的操作,这样的攻击方式就叫做sql注入攻击

二、如何解决?

为了解决这个问题,我们先来了解一个类


这个preparedstatement是statement类的子类,它有一个功能就是可以预编译

下面建一个JDBCDemo3.java

package com.javaweb.dao;

import com.javaweb.util.JDBCUtils;
import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;

public class JDBCDemo3 {
	public static void main(String[] agrs){
		Connection conn=null;
		PreparedStatement ps=null;
		ResultSet rs=null;
		
		try {
			conn=JDBCUtils.getConn();
			ps=conn.prepareStatement("select * from users where username=? and password=?");
		} catch (Exception e) {
			e.printStackTrace();
		}finally{
			JDBCUtils.close(rs, ps,conn);
		}	
	}
}


下面先介绍一个工具,这是mysql的工具


连接数据库


打开表


新插入一个数据记录


可以在cmd窗口查询


除了cmd窗口,这个软件也提供另外一个窗口


介绍完工具以后,继续完善JDBCDemo3.java

下面是代码:

package com.javaweb.dao;

import com.javaweb.util.JDBCUtils;
import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;

public class JDBCDemo3 {
	public static void main(String[] agrs){
		Connection conn=null;
		PreparedStatement ps=null;
		ResultSet rs=null;
		
		try {
			conn=JDBCUtils.getConn();
			ps=conn.prepareStatement("select * from users where username=? and password=?");
			ps.setString(1, "zs");
			ps.setString(2, "999");
			
			rs=ps.executeQuery();
			while(rs.next()){
				System.out.println(rs.getString("email"));
			}
		} catch (Exception e) {
			e.printStackTrace();
		}finally{
			JDBCUtils.close(rs, ps,conn);
		}	
	}
}
因为要将 MySqlUserDao中的Statement改用PreparedStatement类,这时候我们新建一个 MySqlUserDao2 

package com.javaweb.dao;

import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.Statement;

import com.javaweb.domain.User;
import com.javaweb.util.JDBCUtils;

public class MySqlUserDao2 implements UserDao{

	public void addUser(User user) {
		String sql="insert into users valuses(null,?,?,?,?)";
		Connection conn=null;
		PreparedStatement ps=null;
		ResultSet rs=null;
		
		try {
			conn=JDBCUtils.getConn();
			ps=conn.prepareStatement(sql);
			ps.setString(1, user.getUsername());
			ps.setString(2, user.getPassword());
			ps.setString(3, user.getNickname());
			ps.setString(4, user.getEmail());
		} catch (Exception e) {
			e.printStackTrace();
			throw new RuntimeException(e);
		}finally{
			JDBCUtils.close(rs, ps, conn);
		}
	
		
	}

	public User findUserByUNandPSW(String username, String password) {
		String sql = "select * from users where username=? and password=?";
		Connection conn=null;
		PreparedStatement ps=null;
		ResultSet rs=null;
		try{
			conn = JDBCUtils.getConn();
			ps = conn.prepareStatement(sql);
			ps.setString(1, username);
			ps.setString(2, password);
			rs = ps.executeQuery(sql);
			if(rs.next()){
				User user = new User();
				user.setId(rs.getInt("id"));
				user.setUsername(rs.getString("username"));
				user.setPassword(rs.getString("password"));
				user.setNickname(rs.getString("nickname"));
				user.setEmail(rs.getString("email"));
				return user;
			}else{
				return null;
			}
		}catch (Exception e) {
			e.printStackTrace();
			throw new RuntimeException(e);
		}finally{
			JDBCUtils.close(rs, ps, conn);
		}
	}

	public User findUserByUserName(String username) {
		String sql = "select * from users where username=?";
		Connection conn=null;
		PreparedStatement ps=null;
		ResultSet rs=null;
		try{
			conn = JDBCUtils.getConn();
			ps = conn.prepareStatement(sql);
			ps.setString(1, username);
			rs = ps.executeQuery(sql);
			if(rs.next()){
				User user = new User();
				user.setId(rs.getInt("id"));
				user.setUsername(rs.getString("username"));
				user.setPassword(rs.getString("password"));
				user.setNickname(rs.getString("nickname"));
				user.setEmail(rs.getString("email"));
				return user;
			}else{
				return null;
			}
		}catch (Exception e) {
			e.printStackTrace();
			throw new RuntimeException(e);
		}finally{
			JDBCUtils.close(rs, ps, conn);
		}
	}

}
再在配置文件中配置,就大功告成了

这时候就完成了。


milsevol米林
关注
专栏目录
java学习笔记:PreparedStatement解决sql注入
黄道婆的专栏
07-29 811
java学习笔记:PreparedStatement解决sql注入 sql注入 ---- sql注入:由于没有对用户输入进行充分检查,而SQL又是拼接而成,在用户输入参数时,在参数中添加一些SQL 关键字,达到改变SQL运行结果的目的,也可以完成恶意攻击。 1_原因: String sql = select * from user where username =' zhangsan' ...
Sql注入学习笔记——MySQL显错注入
qq_44720214的博客
07-26 1293
显错注入又叫报错注入,其原理是通过利用数据库的某些机制,人为地制造错误条件使得查询结果能够出现在错误信息中。
mysql注入攻击解决办法
ailw92114的博客
04-21 235
magic_quotes_gpc函数在php中的作用是判断解析用户提示的数据,如包括有:post、get、cookie过来的数据增加转义字符“\”,以确保这些数据不会引起程序,特别是数据库语句因为特殊字符引起的污染而出现致命的错误。在magic_quotes_gpc=On的情况下,如果输入的数据有单引号(’)、双引号(”)、反斜线()与 NUL(NULL 字符)等字...
mysql 防止 注入_防止mysql注入
weixin_35513425的博客
01-18 256
简单背景:sql注入是web安全领域里一个挺热门的话题。sql注入主要是由于拼接sql语句造成的,攻击者通过传入非法的参数使拼接成的sql变成非程序员本意的sql查询,攻击者可以完成登录,删除用户数据甚至危害系统安全。通过stackoverflow,可以找到比较安全的防范方法,主要有两种方式:mysqli和pdo。这两种都是通过预定义和参数绑定处理的,几乎可以防止任何的sql注入。对于只用到mys...
mysql防止sql注入
得粟
04-05 1812
实现sql注入常见类型: 利用逻辑运算符;利用mysql注释特性,mysql支持 /* 和 # 两种注释格式  %23=='#';(相当于程序后面的SQL语句给注释了) 防止sql注入的几种方法: 使用php处理过滤已知威胁使用接口时之允许已知用户请求使用PDO、mysqli等数据库抽象层
mysql登陆防注入_MysqlSQL注入
weixin_39966602的博客
02-06 163
SQL注入SQL注入是一种常见的Web安全漏洞,虽然数据库经过了长年的发展已经有了较为完备的防注入能力,但由于开发人员的疏忽大意而产生SQL注入的情况依然常见。什么是SQL注入本文不多做说明,简单说就是利用客户端的输入参数来影响后台对SQL语句的组装。比如常见的用户登录界面,需要用户输入用户名username和密码password,客户端将这两个字段传到后台后,后台组装SQL语句来判断用户输入的用...
concat mysql sql注入_Web安全测试学习笔记-SQL注入-利用concat和updatexml函数
weixin_42097668的博客
12-29 411
mysql数据库中有两个函数:concat和updatexml,在sql注入时经常组合使用,本文通过学习concat和updatexml函数的使用方法,结合实例来理解这种sql注入方式的原理。concat函数是mysql的字符串连接函数,定义如下: 先来验证下concat函数的功能:select concat('m','y','s','q','l')验证结果:如定义所示,concat将字符串连接起...
MySQL学习笔记.zip
02-23
此外,还应关注SQL注入攻击,通过预编译语句、参数化查询等方式防止此类安全问题。 十二、高级特性 MySQL还包括分区(Partitioning)、复制(Replication)、集群(Cluster)等高级特性,用于解决大数据量、高可用...
MySQL数据库的SQL注入漏洞解析
最新发布
CoffeMilk的博客
09-07 1203
SQL注入总结起来就是:没有对用户输入提交的数据内容的合法性进行严格的判断或过滤,就直接将这些伪造的数据内容带入到数据库执行,导致数据泄露或损坏,甚至导致完全接管主机的一种安全漏洞。
mysql中如何防止sql注入_MySQL如何防止SQL注入
weixin_35796461的博客
01-19 289
最近,在写程序时开始注意到sql注入的问题,由于以前写代码时不是很注意,有一些sql会存在被注入的风险,那么防止sql注入的原理是什么呢?我们首先通过PrepareStatement这个类来学习一下吧!作为一个IT业内人士只要接触过数据库的人都应该知道sql注入的概念及危害,那么什么叫sql注入呢?我在这边先给它来一个简单的定义:sql注入,简单来说就是用户在前端web页面输入恶意的sql语句用来...
Mysql注入防御
qq_43665434的博客
03-10 314
Mysql注入防御 一、应用层防御 1、SQL注入的本质原因是应用层的问题 2、SQL注入应用层防御目标是修复SQL所有可能的漏洞,做好事前的防范 过滤SQL注入基本字符: ’ or " 字符串闭合 – or # 单行注释 /*…*/ 多行注释 + 加号,url中替代空格拼接字符 concat 字符拼接 % 通配符 ?Param1=foo&Param2=bar url参数 select url打印常量等 @variab
mysql如何防注入_如何防范sql注入
weixin_28949779的博客
01-19 1250
防范sql注入的方法:1、开启配置文件中的“magic_quotes_gpc”等设置;2、执行sql语句时使用addslashes进行sql语句转换;3、Sql语句书写尽量不要省略双引号和单引号;4、过滤掉sql语句中的一些关键词;5、提高数据库命名技巧等等。防止SQL注入的方式有:执行sql语句时使用addslashes进行sql语句转换,过滤掉sql语句中的一些关键词,提高数据库表和字段的命名...
mysql中如何防止sql注入_如何进行防SQL注入
weixin_42352981的博客
02-02 2603
1、过滤掉一些常见的数据库操作关键字:select,insert,update,delete,and,*等或者通过系统函数:addslashes(需要被过滤的内容)来进行过滤。2、在PHP配置文件中Register_globals=off;设置为关闭状态 //作用将注册全局变量关闭。比如:接收POST表单的值使用$_POST['user'],如果将register_globals=on;直接使用$...
MySQL 安全及防止 SQL 注入攻击
wjq008的专栏
04-27 1769
如果通过网页获取用户输入的数据并将其插入MySQL数据库,那么就有可能发生SQL注入攻击的安全问题作为研发,有一条铁律需要记住,那就是。
Mysql优化安全】防止sql注入
weixin_44823875的博客
05-20 6399
Mysql安全】防止sql注入(1)什么是sql注入(2)寻找sql注入的方法(3)mybatis是如何做到防止sql注入的(3.1)sql对比(3.2)简单分析(3.3)底层实现原理(3.4)总结#{}和${}的区别(3.5)总结(3.6)如果手工处理“${xxx}”(3)常见的sql注入问题:数据库查询参数的类型转换处理(4)防范sql注入的思路(5)放置sql注入的方法 (1)什么是sql注入 (1)概念 “SQL注入”是一种利用未过滤/未审核用户输入的攻击方法(“缓存溢出”和这个不同),意思就是让
mysql注入的方法_mysql进阶(二十四)防御SQL注入的方法总结
weixin_32945435的博客
01-18 313
防御SQL注入的方法总结这篇文章主要讲解了防御SQL注入的方法,介绍了什么是注入注入的原因是什么,以及如何防御,需要的朋友可以参考下。SQL注入是一类危害极大的攻击形式。虽然危害很大,但是防御却远远没有XSS那么困难。SQL注入漏洞存在的原因,就是拼接 SQL 参数。也就是将用于输入的查询参数,直接拼接在 SQL 语句中,导致了SQL 注入漏洞。1.演示下经典的SQL注入我们看到:select ...
mysql注入的方法_Mysql常用的防注入方法 | 极安全-JiSec
weixin_35947010的博客
01-18 671
1.简单sql防注入简述:所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入式攻击。magic_quotes_gpc的一点认识以及addslashesaddcslashes区别:1、条件:magi...
mysql 自带防注入_MySQL 及 SQL 注入与防范方法
weixin_39942397的博客
02-18 269
所谓sql注入,就是通过把sql命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的sql命令。我们永远不要信任用户的输入,我们必须认定用户输入的数据都是不安全的,我们都需要对用户输入的数据进行过滤处理。1.以下实例中,输入的用户名必须为字母、数字及下划线的组合,且用户名长度为 8 到 20 个字符之间:PHP;">if (preg_match("/^\w{...
MySQL数据库安全:如何防范SQL注入攻击
AI天才研究院
01-21 1386
1.背景介绍 1. 背景介绍 SQL注入攻击是一种常见的网络攻击方法,它利用了数据库管理系统的漏洞,从而滥用其功能。攻击者通过在SQL语句中插入恶意代码,从而控制数据库的操作,窃取或破坏数据。这种攻击对于企业和个人数据的安全构成了重大威胁。 MySQL是一种广泛使用的关系型数据库管理系统,它在网络应用中扮演着重要的角色。因此,了解如何防范MySQL数据库的SQL注入攻击具有重要意义。 本文...
MySQL学习笔记:从入门到精通
"深入浅出的学习Mysql,探讨MySQL数据库的使用、存储引擎选择以及数据类型选择等核心概念。" 本文旨在帮助读者深入理解MySQL数据库,作者从个人经验出发,...同时,防止SQL注入等安全问题也是数据库管理的重要环节。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值