关于SQL漏洞--不用statement的原因

最新推荐文章于 2020-09-21 08:45:00 发布
最新推荐文章于 2020-09-21 08:45:00 发布
阅读量368 收藏
点赞数
分类专栏: SQL
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_27687701/article/details/52717072
版权

statement主要用于执行静态的SQL语句。preparestatement用于执行动态sql语句,效率很高,并且还能防止SQL注入。

关于SQL漏洞。

例如:sql = "select * from 用户表 where 姓名=' "+name+" ' and 密码= ' "+password+" ' ";

name和password放用户输入的用户名和口令。通过执行上述sql句子判断帐号密码是否合法。但是这种方法存在一种致命的漏洞。

如果在用户名称中输入字符串: 123  'or' 1=1,然后密码随便输什么,如aaa。变量替换之后。sql语句就变成了:

sql = "select * from 用户表 where 姓名 = '111' or '1=1' and 密码='aaa';

当select语句在查询判断条件的时候,遇到or操作就会忽略下面的and操作,而1=1 永远都是true,这意味着无论密码输入什么,都能通过验证。

tanpeng_net
关注
专栏目录
Mybatis基础第一天
qq_44333590的博客
03-31 106
ORM介绍 ORM(Object Relational Mapping): 对象关系映射 指的是持久化数据和实体对象的映射模式,为了解决面向对象与关系型数据库存在的互不匹配的现象的技术。 具体映射关系如下: 数据库的表(table) --> 类(class) 记录(record,行数据) --> 对象(object) 字段(field) --> 对象的属性(attribute) Mybatis 概念: 1、mybatis是一个优秀的基于java的持久层框架,它内部封装了jd
java-sec-code sql注入漏洞分析
weixin_44687621的博客
08-14 509
之前在idea上搭建了项目java security code,并做了点简单的测试。发现虽然有Eureka组件的报错,但是还是能完美地实现简单命令执行漏洞的,今天尝试以下sql注入漏洞。 环境搭建 启动mysql服务,查看连接是否正常,并建立对应的数据库和数据表 如果出现time zone的错误,请提升mysql版本。或将jdbc连接改为 String url = "jdbc:mysql://localhost:3306/sectest?serverTimezone=UTC"; 接下来,开启服务,访问h
为什么JDBC 中用 PrepareStatement不用 Statement
qq_40662239的博客
06-04 561
一、PrepareStatement是预编译的,比Statement速度快 每一种数据库都会尽最大努力对预编译语句提供最大的性能优化;因为预编译语句有可能被重复调用.所以语句在被DB的编译器编译后的执行代码被缓存下来,那么下次调用时只要是相同的预编译语句就不需要编译,只要将参数直接传入编译过的语句执行代码中(相当于一个函数)就会得到执行;这并不是说只有一个Connection中多次执行的预编译语...
听说都放弃 Statement 而使用 PreparedStatement 去了?
→长歌的博客
04-19 294
PreparedStatement执行SQL语句时,会将语句预编译,存储在PreparedStatement对象中,在执行相同的语句时,可以直接执行,不用多次编译,效率更高,而且,还可以。。。。。。
NO SQL statement available错误解决方法
zisongjia的博客
03-06 3290
在程序中出现 NO SQL statement available错误, 解决方法:没有设置SQL,在Query或Table、dataset中写上SQL
MyBatis——关于SQL语句(1)
RookieSa的博客
03-19 637
MyBatis 的真正强大在于它的映射语句,也是它的魔力所在。由于它的异常强大,映射器的 XML 文件就显得相对简单。如果拿它跟具有相同功能的 JDBC 代码进行对比,你会立即发现省掉了将近 95% 的代码。MyBatis 就是针对 SQL 构建的,并且比普通的方法做的更好。 ——摘自《MyBatis中文手册》 接下来,我们将重点关注MyBatis的Mapper XML文件 首先需要添加m...
sql注入-注入漏洞获得数据库数据-kali-sqlmap-运维安全详细笔记
06-30
SQL 注入攻击与防御 SQL 注入是一种常见的 Web 应用安全漏洞...为了防御 SQL 注入攻击,需要对用户输入进行严格的验证,使用 Prepared Statement 和参数化查询,定期备份数据库,并使用 SQL 注入检测工具来检测漏洞
sqljdbc4.0-4.2.zip
03-04
7. 数据库操作:使用`Statement`或`PreparedStatement`对象执行SQL查询,使用`ResultSet`处理查询结果。对于复杂的SQL操作,可以使用`CallableStatement`来调用存储过程。 8. 配置参数:SQLJDBC驱动支持多种配置...
SQL注入漏洞过程实例及解决方案
09-08
SQL注入漏洞是网络安全中的一个重要问题,它允许攻击者通过在输入字段中插入恶意SQL代码来操纵数据库查询,从而获取未经授权的数据或执行恶意操作。本文将深入探讨SQL注入漏洞的过程,并提供具体的解决方案。 首先...
Web常见安全漏洞-SQL注入
01-06 6867
    SQL注入攻击(SQL Injection),简称注入攻击,是Web开发中最常见的一种安全漏洞。 可以用它来从数据库获取敏感信息,或者利用数据库的特性执行添加用户,导出文件等一系列恶意操作, 甚至有可能获取数据库乃至系统用户最高权限。 而造成SQL注入的原因是因为程序没有有效过滤用户的输入,使攻击者成功的向服务器提交恶意的SQL查询代码, 程序在接收后错误的将攻击者的输入作为查询...
数据库invalid SQL statement 错误
大柚的博客
03-05 4万+
就是你的sql语句错误,看看关键字少了没 例: select *form 表名 以上语句的form错了,应该是from。这时就会报[Err] ORA-00900: invalid SQL statement 错误
DB2-SQLCODE 错误码大全---[IBM官方]
We get old too soon and wise too late
04-11 5万+
SQL error codes ### SQLCODE Description ### -007 statement contains the illegal character invalid-character ### -010 the string constant beginning string is not terminated ### -011
为什么推荐使用PreparedStatement而不是Statement?
Racheil的博客
07-10 1409
在JDBC应用中,有经验的开发者,大多都使用PreparedStatement代替Statement 那么,这是为什么呢? 原因基于以下几点: 1.代码的可读性和可维护性 首先,让我们来看看使用Statement的查询SQL语句,只能采用拼接的方法传入参数 int id = 1; String name = "rachel"; String sql = "select * ...
彻底干掉恶心的 SQL 注入漏洞, 一网打尽!
Java笔记虾
09-21 703
来源:b1ngz.github.io/java-sql-injection-note/0x01简介0x02 JDBC介绍说明0x03 Mybatis介绍说明更多场景0x04 JPA和休眠...
sql注入漏洞
QQ1012421396的博客
03-18 775
PreparedStatement可以有效防止sql注入,PreparedStatement会预编译sql语句,然后再注入参数,这样防止sql拼凑注入。而Statment不能防止sql注入,它是直接发送执行,因此可以借机拼凑sql语句。 使用Statement发送sql Login.java package com.cn.statement;import java.io.Buff
一些常见的SQL报错
热门推荐
u012120851的专栏
12-18 5万+
This section lists messages generated when SQL statements are parsed by the Oracle Server. Most, but not all, messages in this section indicate incorrect SQL syntax. For more information about SQL syn
jeecg-boot sql注入
最新发布
12-14
Jeecg-boot是一款基于Spring Boot和Mybatis-Plus开发的快速开发平台。在使用Jeecg-boot时,尤其是在进行数据库操作时,需要注意防范SQL注入攻击。 SQL注入是一种常见的安全漏洞,攻击者通过在输入框或URL参数中注入恶意的SQL语句,以达到绕过系统验证和获取非授权信息的目的。对于Jeecg-boot来说,防止SQL注入攻击的措施主要包括以下几点: 1. 参数校验与过滤:在接收和处理用户输入的数据时,应进行合法性检查和过滤。例如,可以使用正则表达式对输入数据进行验证,并排除可能的恶意字符。 2. 使用参数化查询:对于用户输入的数据,尽量使用参数化查询(Prepared Statement),而不是拼接SQL语句。参数化查询可以将输入的数据当作参数传递给数据库,避免了直接将用户输入拼接到SQL语句中的风险。 3. 权限控制:在系统设计和开发中,要根据用户角色和权限设置合适的数据访问权限。做到只有授权的用户才能执行特定的数据库操作,从而减少了注入攻击的可能性。 4. 使用ORM框架:Jeecg-boot默认使用Mybatis-Plus作为持久层框架,Mybatis-Plus提供了ORM(对象关系映射)功能,可以有效地避免SQL注入攻击。ORM框架会将对象与数据库表进行映射,自动生成SQL语句,减少手动编写SQL的机会。 综上所述,为了防止Jeecg-boot发生SQL注入,我们可以采取参数校验与过滤、使用参数化查询、权限控制以及使用ORM框架等措施。同时,在开发和维护过程中,还应关注相关安全漏洞的更新和修复,提高系统的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值