JDBC的两个SQL注入的例子

最新推荐文章于 2024-07-24 17:08:13 发布
最新推荐文章于 2024-07-24 17:08:13 发布
阅读量236 收藏
点赞数 1
文章标签: sql 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_23095607/article/details/140093330
版权

不安全,SQL注入例子:

package com.game.server.db.dao;

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;

public class UnsafeStatementExample {
    private static final String DB_URL = "jdbc:mysql://localhost:3306/user?useSSL=false&serverTimezone=Asia/Shanghai&allowMultiQueries=true";
    private static final String USER = "root";
    private static final String PASS = "123888";

    public static void main(String[] args) {
        //String userInput = "小黄";  // 假设这是用户     正常输入
        String userInput = "example' OR '1'='1";  // 假设这是用户     SQL非正常正常输入


        //  更新的正常语句
        //String userUpdateInput = "test01";
        String userUpdateInput = "test01'); UPDATE user SET password='newpassword' WHERE id=1; -- ";// 注意 --后有个英式空格

        try (Connection connection = DriverManager.getConnection(DB_URL, USER, PASS)) {
            Statement stmt = connection.createStatement(ResultSet.TYPE_FORWARD_ONLY, ResultSet.CONCUR_READ_ONLY);
            String sql = "SELECT * FROM student WHERE name = '" + userInput + "'";
            ResultSet resultSet = stmt.executeQuery(sql);

            while (resultSet.next()) {
                // 处理结果集
                System.out.println(resultSet.getString("id")+"======"
                        +resultSet.getString("number")+"======"
                        +resultSet.getString("name")+"======"
                +resultSet.getString("age")+"======"+resultSet.getString("math"));
            }

            sql = "INSERT INTO student (id, number, age, chi, math, eng, name) VALUES (102, '12345', 20, 90, 95, 85, '" + userUpdateInput + "')";
            stmt.execute(sql);
        } catch (SQLException e) {
            e.printStackTrace();
        }
    }
}

安全的,防SQL注入的例子:

package com.game.server.db.dao;

import com.sun.rowset.CachedRowSetImpl;

import javax.sql.rowset.CachedRowSet;
import java.sql.*;

public class SafeSQLInjectionPreventionExample {
    private static final String DB_URL = "jdbc:mysql://localhost:3306/user?useSSL=false&serverTimezone=Asia/Shanghai&allowMultiQueries=true";
    private static final String USER = "root";
    private static final String PASS = "123888";

    public static void main(String[] args) {
        String userInput = "example' OR '1'='1";  // 模拟恶意用户输入

        String userUpdateInput = "test01'); UPDATE user SET password='newpassword' WHERE id=1; -- ";  // 模拟恶意用户输入 注意 --后有个英式空格

        try (Connection connection = DriverManager.getConnection(DB_URL, USER, PASS)) {
            String sql = "SELECT * FROM user WHERE username = ?";
            PreparedStatement preparedStatement = connection.prepareStatement(sql, ResultSet.TYPE_FORWARD_ONLY, ResultSet.CONCUR_READ_ONLY);
            preparedStatement.setString(1, userInput);
            System.out.println("Executing query with parameter: " + sql + " [userInput=" + userInput + "]");  // 打印执行的 SQL 语句
            ResultSet resultSet = preparedStatement.executeQuery();
            CachedRowSet crs = new CachedRowSetImpl();
            crs.populate(resultSet);
            while (resultSet.next()) {
                // 打印结果集
                System.out.println("Username: " + resultSet.getString("username"));
            }
            //==========================================================================================

            String sql1 = "INSERT INTO student (id, number, age, chi, math, eng, name) VALUES (?, ?, ?, ?, ?, ?, ?)";
            PreparedStatement preparedStatement1 = connection.prepareStatement(sql1);
            preparedStatement1.setLong(1, 1235);
            preparedStatement1.setString(2, "12345");
            preparedStatement1.setInt(3, 20);
            preparedStatement1.setInt(4, 90);
            preparedStatement1.setInt(5, 95);
            preparedStatement1.setInt(6, 85);
            preparedStatement1.setString(7, userUpdateInput);
            System.out.println("Executing query with parameter: " + sql1);
            preparedStatement1.executeUpdate();
            System.out.println("Database modified successfully.");
        } catch (SQLException e) {
            e.printStackTrace();
        }
    }
}

PH = 7
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
JDBCsql注入
qq_53755636的博客
08-20 254
JDBC全称是Java Database Connectivity(java数据库连接),是java连接数据库的标准和规范。SQL注入攻击是通过操作输入来修改SQL语句,用以达到执行代码对WEB服务器进行攻击的方法。
spring boot jdbcsql例子
11-01
两个模板类提供了执行SQL语句的简便方法。以下是一个使用`JdbcTemplate`的例子,展示如何查询数据: ```java @Autowired private JdbcTemplate jdbcTemplate; public List<User> findAllUsers() { String sql =...
java sql注入例子
nyhyn的专栏
04-14 4855
我着重强调几点:1、默认Statement和PreparedStatement,每次只能执行一条sql,对应mysql可以通过增加url参数&amp;allowMultiQueries=true解决。2、mysql的注释,可以用#、"-- ",多行注释/* */。若使用"-- ",注意后面要有一个空格3、mysql的驱动已经修改为com.mysql.cj.jdbc.Driver,英文意思是之前的已...
SQL注入
热门推荐
m0_51457307的博客
11-08 2万+
一、什么是SQL注入 SQL注入SQL lnjection)是发生在Web程序中数据库层的安全漏洞,是比较常用的网络攻击方式之一,他不是利用操作系统的BUG来实现攻击,而是针对程序员编写时的疏忽,通过SQL语句,实现无账号登录,甚至修改数据库。也就是说,SQL注入就是在用户输入的字符串中添加SQL语句,如果在设计不良的程序中忽略了检查,那么这些注入进去的SQL语句就会被数据库服务器误认为是正常的SQL语句而运行,攻击者就可以执行计划外的命令或者访问未授权的数据。 二、SQL注入的原理 1.恶意拼接查
mybatis能否预防SQL注入
春风化雨
03-06 1409
1、概念:什么是sql注入 SQL注入:是一种代码注入技术,用于攻击数据驱动的应用,恶意的SQL语句被插入到执行的实体字段中。 它一种常见的攻击方式。攻击者在界面的表单信息或者URL上输入一些特殊的SQL片段(比如“OR1=1”),就有可能入侵参数检验不完善的应用程序。所以,应用开发中需做一些工作,来防备SQL注入。一些对安全性要求很高的应用中(如银行软件),通常使用将SQL语句全部替换为存储过程的方式,以防止SQL注入。是一种很安全的处理方式。 答案:mybatis是能够防止SQL注入的,请继续阅.
web安全之SQL注入
weixin_45997442的博客
04-29 883
SQL注入是Web安全界地位很高的一个漏洞,它把矛头对准网站最为重要的数据库,利用成本低而危害巨大。若说一个普通开发人员有那么点儿安全意识,那一定和SQL注入有关。如今随着Web安全逐渐被重视,大家安全意识提升,同时各种预编译框架、ORM层出不穷,SQL注入已不像10年前那么泛滥,那么SQL注入的前世今生是怎样的?在这个预编译时代,SQL注入为何仍未销声匿迹?而预编译的底层又有哪些细节需要安全工程师知晓?这将是本文所重点探究之处。
JDBC | 第三章: SQL预编译与防注入CRUD操作
qq_39449880的博客
02-14 1780
SQL预编译与防注入CRUD操作
无 select SQL注入
aloneBUThappy的博客
12-20 3361
无 select SQL注入
Mybatis与SQL注入
浩瀚银河
10-16 2415
1.简述 1.1.什么是SQL注入 SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。 2.SQL注入案例(Jdbc) 2.1.建表语句 create table user_mybatis( id int Primary key, ...
mybatis 防止sql注入原理
Sam997的博客
01-11 922
mybatis 防止sql注入原理
Oracle_jdbc测试例子.rar
07-31
这个压缩包包含了两个文件:一个说明文件(说明.txt)和一个Java源代码文件(Oracle_jdbc.java)。接下来,我们将深入探讨Oracle JDBC相关的知识点。 首先,JDBC(Java Database Connectivity)是Java平台的标准API...
JAVA JDBC例子
01-19
Statement适用于静态SQL,而PreparedStatement适用于动态SQL,并且能防止SQL注入。 例如,创建一个用户表: ```java String sql = "CREATE TABLE users (" + "id INT AUTO_INCREMENT PRIMARY KEY," + "name ...
java jdbc 分页例子
12-03
1. 使用 `PreparedStatement` 进行预编译的SQL查询,提高性能并防止SQL注入。 2. 通过 `absolute` 方法实现分页查询,定位到指定页的起始位置。 3. 数据源 `DataSource` 的使用,简化数据库连接的管理。 4. 预留了多...
sql server mysql oracle jdbc连接
05-27
同时,JDBC还支持预编译的SQL语句(PreparedStatement)和批处理(Batch Updates),以提升执行效率并防止SQL注入攻击。 总的来说,理解和掌握SQL Server、MySQL和Oracle的JDBC连接是Java开发中的基础技能,它涉及...
MySql 主从同步会不会影响到SQL执行速度?
weixin_44892327的博客
07-24 785
作用:负责将主库的二进制日志(binary log)数据传输到从库。工作方式:当从库连接到主库时,主库会为每个连接的从库开启一个 Binlog Dump 线程。这个线程从主库的二进制日志中读取日志记录,并将其发送给从库。Binlog Dump 线程:将二进制日志传输给从库。Binlog Dump GTID 线程(在启用 GTID 模式时):处理 GTID 相关的复制任务。
SQL进阶:解锁高级特性,深化数据洞察
WayneYalejk的博客
07-24 377
掌握了SQL的基础知识后,进一步探索其高级特性将帮助您更高效地处理复杂数据,深化数据分析的广度和深度。本文将带您领略SQL的高级功能,包括窗口函数、存储过程、触发器以及高级查询技巧等,让您在数据处理的道路上更进一步。通过这两篇文章,读者可以从SQL的基础知识逐步深入到高级特性,全面掌握SQL在数据处理和分析中的强大能力。
sql server 连接报错error 40
只会helloworld的小白啊的博客
07-24 246
Microsoft.Data.SqlClient.SqlException (0x80131904): A network-related or instance-specific error occurred while establishing a connection to SQL Server. The server was not found or was not accessible. Verify that the instance name is correct and that SQL S
SQLynx数据库管理工具
最新发布
core815的专栏
07-24 331
SQLynx数据库管理工具
在 Windows 上安装 PostgreSQL
the_beginner的博客
07-24 421
选择额外的安装项(这里我选了一个JDBC驱动包,方便DBeaver访问)安装界面会指定服务程序和库两个路径,可以自己手动选择。官网直接提供exe安装包,没有手动安装的压缩包。
jdbc执行多条sql查询语句 PreparedStatement
08-31
// 假设我们要查询两个表的数据 String sql = "SELECT * FROM table1; SELECT * FROM table2;"; PreparedStatement ps = conn.prepareStatement(sql); boolean hasResult = ps.execute(); while (hasResult) { ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

PH = 7

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值