登录验证之sql注入问题解决方案

最新推荐文章于 2024-06-24 15:59:33 发布
最新推荐文章于 2024-06-24 15:59:33 发布
阅读量1.9k 收藏 2
点赞数 1
分类专栏: MySQL 文章标签: mysql sql注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/moxiaomo0804/article/details/89948672
版权

1.初始版本的sql注入问题

sql注入:是指把用户输入的参数作为sql语句的本身来执行

public class Demo_login {
	public static void main(String[] args) {
		System.out.println("请输入用户名:");
		Scanner sc = new Scanner(System.in);
		String username = sc.nextLine();
		System.out.println("请输入密码:");
		String password = sc.nextLine();
		boolean result = checkUser(username,password);
		if (result) {
			System.out.println("登录成功");
		}else {
			System.out.println("登录失败");
		}
	}

	private static boolean checkUser(String username, String password) {
		Connection conn = null;
		Statement st = null;
		ResultSet rs = null;
		try {
			//1.加载驱动
			Class.forName("com.mysql.jdbc.Driver");
			
			String url = "jdbc:mysql:///test";
			Properties p = new Properties();
			p.setProperty("user", "root");
			p.setProperty("password", "123");

			//2,获取Connection对象
			conn = DriverManager.getConnection(url, p);
			//3,获取Statement对象
			st = conn.createStatement();

			//4执行sql
			String sql = "select * from tb_user where uname='"+username+"'and password='"+password+"'";
			rs = st.executeQuery(sql);
			//5。根据结果返回布尔值的数据
			if (rs.next()) {
				 //用户名与密码正确
				return true;
			}else {//用户名和密码错误
				return false;
			}
		} catch (Exception e) {
			e.printStackTrace();
		}finally {
			if (conn!=null) {
				try {
					conn.close();
				} catch (SQLException e) {
					// TODO Auto-generated catch block
					e.printStackTrace();
				}
			}
			if (st!=null) {
				try {
					st.close();
				} catch (SQLException e) {
					// TODO Auto-generated catch block
					e.printStackTrace();
				}
			}
			if(rs!=null) {
				try {
					rs.close();
				} catch (SQLException e) {
					// TODO Auto-generated catch block
					e.printStackTrace();
				}
			}
		}
		return false;
	}
}

问题:如果在输入密码时输入一些如  wasg' or '1'='1 就会出现错误的用户名和密码也登录成功的情况出现

2.prepareStatement解决sql注入问题

prepareStatement对象是一个sql语句的预编译对象,把sql语句先编译存储,用户输入的参数只作为参数

?号表示点位符

将原来的sql语句修改:

修改前:String sql = "select * from tb_user where uname='"+username+"'and password='"+password+"'";

修改后:String sql = "select * from tb_user where uname =? and password=?";

代码实现如下:

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.util.Properties;
import java.util.Scanner;

public class Demo_login2 {
	public static void main(String[] args) {
		System.out.println("请输入用户名:");
		Scanner sc = new Scanner(System.in);
		String username = sc.nextLine();
		System.out.println("请输入密码:");
		String password = sc.nextLine();
		boolean result = checkUser(username, password);
		if (result) {
			System.out.println("登录成功");
		} else {
			System.out.println("登录失败");
		}
	}

	private static boolean checkUser(String username, String password) {
		Connection conn = null;
		PreparedStatement ps = null;
		ResultSet rs = null;
		try {
			// 1.加载驱动
			Class.forName("com.mysql.jdbc.Driver");
			// 2,获取Connection对象
			String url = "jdbc:mysql:///test";
			Properties info = new Properties();
			info.setProperty("user", "root");
			info.setProperty("password", "123");

			conn = DriverManager.getConnection(url, info);
            //使用?号作为点位符
			String sql = "select * from tb_user where uname =? and password=?";
            //使用prepareStatement提前传入sql进行预编译
			ps = conn.prepareStatement(sql);
			ps.setString(1, username);
			ps.setString(2, password);
			// 执行但不需要有参数,因为sql和参数都已经给出了
			rs = ps.executeQuery();
			if (rs.next()) {
				return true;
			} else {
				return false;
			}

		} catch (Exception e) {
			e.printStackTrace();
		} finally {
            //关闭资源
			if (conn!=null) {
				try {
					conn.close();
				} catch (SQLException e) {
					// TODO Auto-generated catch block
					e.printStackTrace();
				}
			}
			if (ps!=null) {
				try {
					ps.close();
				} catch (SQLException e) {
					// TODO Auto-generated catch block
					e.printStackTrace();
				}
			}
			if (rs!=null) {
				try {
					rs.close();
				} catch (SQLException e) {
					// TODO Auto-generated catch block
					e.printStackTrace();
				}
			}
		}
		return false;
	}
}

 

moxiaomo0804
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SQL注入-Mysql注入读写文件
qq_25899635的博客
05-22 7034
Mysql注入文件 mysql数据库在渗透测试过程中能够使用的功能还是比较多的,出了读取数据之外,还可以进行读写(但前提是权限足够)。 读文件前提: 1、用户权限足够高,尽量具有root权限。 2、secure_file_priv不为NULL Mysql文件读写函数 举例:select load_file(’/etc/hosts’) 上面的例子是有条件限制的: 1、必须有权限读取并且文件必须完...
pymysql如何解决sql注入问题深入讲解
09-09
本文将深入讲解如何使用pymysql有效地解决SQL注入问题。 首先,理解SQL注入的根本原因。当使用动态字符串拼接来构建SQL查询时,就容易受到SQL注入攻击。例如,在以下代码中,用户输入被直接用于SQL语句: ```...
sql注入
小码哥222的博客
08-12 141
1、什么是sql注入 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 2、SQL注入的原理: sql注入只对sql语句的编译过程有破坏作用。 PreparedStatement是预编译,在给SQL语句传入参数之前,先做一个预先编译(此举相当于把sql语句的结构已经固定死了)。然后在执行...
利用SQL注入漏洞登录后台_用户名可以sql注入但密码错误
最新发布
2401_84215240的博客
06-24 1170
所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容易受到.sql注入
SQL注入校验
灼烧的疯狂
07-19 3006
前言 有时业务需求,需要做动态的DDL拼接,此时在代码层级做SQL注入校验 之前有做过字段动态拼接,自己配了两个数据库字典做了一次转换,将页面传过来的值,拿到字典里进行匹配,获取到真实的数据库字段后,再执行SQL 这里翻了几篇帖子,转载记录一下,以下是转载内容: 1. 注解方式,校验入参 注解 import javax.validation.Constraint; import javax.validation.Payload; import java.lang.annotation.ElementType
解决登录页面SQL注入问题
weixin_46609492的博客
06-09 1534
1.新建一个java项目: (1) 在项目中建一个properties文件 #配置连接数据库信息(动态生效) 键值对的形式 写数据库连接信息 driverclass= com.mysql.jdbc.Driver url=jdbc:mysql://localhost:3306/db2019 username=root password=sa123456 (2)新建一个JDBCUtil 类 package com.*; import java.io.FileInputStream; import
解决登录sql注入的方法:预编译时放入sql(java)
zhan_qian的博客
03-10 1185
1、使用import java.sql.PreparedStatement; 2、先将sql用户名和密码分别用?占位,先预编译将sql放入PreparedStatement的对象中。 然后用调用该对象的set方法将用户名和密码设置,接着执行。 3、这样做的话如果密码被注入为' or '1' = '1,在设置密码时会将'转义为\';即: select * from tb_user where username ='lisi' and password = '\' or \'1\' = \'1'..
SQL注入文件写入需要用户验证
热门推荐
隐0士的博客
11-14 1万+
SQL注入文件写入需要用户验证解决方案说明 这个问题根据使用的数据库而有两种处理方案:数据库不为sqlserver 此问题是针对sql server数据库做文件写入的攻击而产生的,如果使用的数据库不是sql server则可不必理会,可在appscan的扫描配置–>测试策略–>SQL注入–>SQL注入文件写入需要用户验证)两个选项前面去掉打勾,这样appscan便不会做这样的扫描攻击,如下
SQL注入-验证码处理
m0_61974571的博客
10-12 940
验证码保存在session变量中,每一次刷新登陆页面,会重新生成验证码,会重新访问一次vcode.php,但是如果不刷新页面,二十直接通过python,burp,fidder等直接发送登陆请求,则此时验证码在session中会保持最后一个,从而只需要在发送登陆请求时将验证码设置为最后一个即可。接下来,后续的每一个请求,将会在cookie字段中添加session ID,目的在主动告诉服务器,我是谁。核心目的是确保是人在使用系统,图片验证码,拖动验证码,拼图验证码,问答验证码,计算验证码。
SQL注入原理与解决方法代码示例
09-09
2. 解决SQL注入的方法: - **预编译语句(PreparedStatement)**:Java的JDBC提供预编译语句接口,可以有效地防止SQL注入。预编译语句将查询模板与用户输入分开,确保用户输入的数据不会被解释为SQL代码。例如: `...
T-SQL篇如何防止SQL注入的解决方法
09-11
5. **使用存储过程**:虽然不是万能解决方案,但使用存储过程可以限制可执行的SQL操作,提高安全性。 6. **Web应用程序防火墙 (WAF)**:可以配置来识别和阻止潜在的SQL注入攻击。 在T-SQL中,针对拼接SQL查询的Web...
关于SQL注入文件读写的方法总结
09-09
主要给大家介绍了关于SQL注入文件的读写方法,文中通过示例代码介绍的非常详细,相信对大家具有一定的参考价值,需要的朋友们下面来一起看看吧。
原创:APT之网站SQL注入导致的文件任意上传
08-24
原创:APT之网站SQL注入导致的文件任意上传
SQL注入漏洞过程实例及解决方案
12-14
SQL注入漏洞是网络安全中一个严重的问题,它允许恶意用户通过构造特定的输入,篡改数据库查询,从而获取敏感信息或执行非授权操作。在提供的代码示例中,我们可以看到一个典型的SQL注入漏洞实例。 在`JDBCDemo3`类...
MySQL解决SQL注入的另类方法详解
09-10
本文主要探讨一些非传统的、另类的方法来解决SQL注入问题。 首先,我们来看问题的本质。当用户输入被直接插入到SQL语句中时,就存在SQL注入的风险。例如,一个简单的查询模板是: ```sql select * from T where f1...
SQL注入
bossDDYY的博客
09-20 1403
sql注入
sql 注入
qq_32265719的博客
10-24 162
MySQLSQL 注入
KopWelkin的博客
10-09 276
如果您通过网页获取用户输入的数据并将其插入一个MySQL数据库,那么就有可能发生SQL注入安全的问题。 本章节将为大家介绍如何防止SQL注入,并通过脚本来过滤SQL注入的字符。 所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 我们永远不要信任用户的输入,我们必须认定用户输入的数据都是不安全的,我们都需要用户
SQL注入文件读写
永远是少年
06-27 2217
今天继续给大家介绍渗透测试相关知识,本文主要内容是SQL注入文件读写。 一、SQL注入文件读写函数 二、SQL注入文件读写之secure_file_priv参数 三、SQL注入文件路径获取 四、SQL注入文件读写之魔术引导开关......
sql注入的解决方法
04-27
为了防止SQL注入攻击,可以采取以下几种解决方法: 1. 使用参数化查询(Prepared Statements):参数化查询是一种将SQL语句与参数分开的方法,通过将用户输入的数据作为参数传递给数据库,而不是将其直接拼接到SQL...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值