从零基础认识SQL注入

最新推荐文章于 2024-04-26 20:19:53 发布
最新推荐文章于 2024-04-26 20:19:53 发布
阅读量3.3w 收藏 84
点赞数 23
文章标签: sql注入 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_30258957/article/details/78145885
版权

SQL注入

1.什么是SQL注入

  • 看一下下面的案例场景,这是正常情况下的登陆场景:

这里写图片描述

  • 而当我们使用 用户名‘:– 的时候,密码随便输入也可以登陆成功↓

这里写图片描述

  • 这时候对比两条sql就能发现,其实用户通过在用户名写入的sql符号将内部sql提前结束,并且将后半句检索条件注释起来达到免密码登陆效果。

sql注入就是本来我只有我能操作数据库,本来只是让你输入内容就走,而你却输入命令,从而在我不知情下操作数据库

2.漏洞的修复

  • 会产生上门面的情况是因为上面的sql是使用动态拼接的方式,所以sql传入的方式可能改变sql的语义。

动态拼接就是在java中java变量和sql语句混合使用:select * from user where userName=’”+userName+”’ and password = ‘”+password”’

  • 所以要使用preparedStatement的参数化sql,通过先确定语义,再传入参数,就不会因为传入的参数改变sql的语义。(通过setInt,setString,setBoolean传入参数)

3.参数化sql使用案例

            //建立数据连接
            conn=ds.getConnection();
            //1.设置prepareStatement带占位符的sql语句
            PreparedStatement ptmt = conn.prepareStatement("select * from user where userName = ? and password = ?");
            ptmt.setString(1, "张三");      //2.设置参数
            ptmt.setString(2, "123456");
            rs=ptmt.executeQuery();     

            while(rs.next()){
                System.out.println("登陆成功");
                return;
            }
            System.out.println("登陆失败");

参数化特点:

1.设置prepareStatement带占位符的sql语句

statement执行sql语句的方式:

stmt=conn.createStatement();
rs=stmt.executeQuery("select userName from user");

2.设置参数

PerpareStatement继承于Statement,这里主要使用的使他参数化sql的特性。

Lee宇斌
关注
  • 23
    点赞
  • 84
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
sql注入详解
m0_67392811的博客
06-12 5296
目录前言? ?一、漏洞原因分析二、漏洞危害三、sql注入防范四、如何挖掘sql注入漏洞五、常见的注入手法联合查询(union注入)报错注入基于布尔的盲注基于间的盲注HTTP头注入宽字节注入堆叠查询二阶注入六、sql注入getshell的几种方式结构化查询语言(Structured Query Language,缩写:SQL),是一种特殊的编程语言,用于数据库中的标准数据查询语言。SQL注入(SQL Injection)是一种常见的Web安全漏洞,主要形成的原因是在数据交互中,前端的数据传入到后台处理,没
SQL注入详解
m0_67391121的博客
07-28 3062
WAF(WebApplicationFirewall)的中文名称叫做“Web应用防火墙”,利用国际上公认的一种说法,WAF的定义是这样的Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。通过从上面对WAF的定义中,我们可以很清晰的了解到,WAF是一种工作在应用层的、通过特定的安全策略来专门为Web应用提供安全防护的产品。...
零基础学SQL
07-23
资源名称:零基础学SQL内容简介:SQL(Structured Query Language)作为一门结构化的查询语言,是关系数据库中最常用的语言。本书的内容包括数据库创建和管理、数据表与视图的创建和维护、数据查询、数据更新、数据控制、SQL的扩展PL/SQL编程等方面的内容,通过这些内容可以掌握编写SELECT语句、DML语句(INSERT、UPDATE和DELETE)、DDL语句(CREATE 资源太大,传百度网盘了,链接在附件中,有需要的同学自取。
SQL注入基础.pdf
07-05
介绍SQL注入的原理,常见入侵与防御方式,手工注入或者工具注入
SQL注入
m0_51457307的博客
11-08 1万+
一、什么是SQL注入 SQL注入(SQL lnjection)是发生在Web程序中数据库层的安全漏洞,是比较常用的网络攻击方式之一,他不是利用操作系统的BUG来实现攻击,而是针对程序员编写的疏忽,通过SQL语句,实现无账号登录,甚至修改数据库。也就是说,SQL注入就是在用户输入的字符串中添加SQL语句,如果在设计不良的程序中忽略了检查,那么这些注入进去的SQL语句就会被数据库服务器误认为是正常的SQL语句而运行,攻击者就可以执行计划外的命令或者访问未授权的数据。 二、SQL注入的原理 1.恶意拼接查
SQL注入详解(全网最全,万字长文)
热门推荐
m0_56691564的博客
10-23 3万+
一些概念:SQL:用于数据库中的标准数据查询语言。 web分为前端和后端,前端负责进行展示,后端负责处理来自前端的请求并提供前端展示的资源。而数据库就是存储资源的地方。而服务器获取数据的方法就是使用SQL语句进行查询获取。
sql注入攻击流量情况
07-18
sql注入攻击流量情况
SQL注入基础知识
01-18
SQL注入基础知识的学习,可以对你有很大的帮助,避免在开发过程中出现更多的安全问题
SQL注入 基础
04-30
SQL注入是从正常的WWW端口访问,而且表面看起来跟一般的Web页面访问没什么区别,所以目前市面的防火墙都不会对SQL注入发出警报,如果管理员没查看IIS日志的习惯,可能被入侵很长间都不会发觉。
【kettle001】访问国产达梦数据库并处理数据至execl文件
kngines
04-22 432
一直以来想写下基于kettle的系列文章,作为较火的数据ETL工具,也是日常项目开发中常用的一款工具,最近刚好挤间梳理、总结下这块儿的知识体系。熟悉、梳理、总结下达梦(DM)关系型数据库相关知识体系。
探秘MySQL主从复制的多种实现方式
todoitbo的博客
04-26 660
本文将深入探讨MySQL主从复制的多种实现方式,包括基于语句、基于行和混合模式等。无论您是初学者还是有经验的数据库管理员,都能通过本文全面了解MySQL主从复制技术的多样化选择,从而提高数据库的可用性和性能。
redis分布式锁到底怎么用
LinggoLing的博客
04-22 449
分布式锁到底怎么用
mysql-connector-java和spring-boot-starter-jdbc和mybatis-spring-boot-start
xzy的博客
04-23 961
JDBC是使用java语言操作mysql数据库的规范,java语言必须按照这个规范写才可以操作mysql数据库
SpringCloudAlibaba:2.1nacos
最新发布
m0_63040701的博客
04-26 704
Nacos是阿里巴巴开源的服务注册中心以及配置中心Nacos=注册中心Eureka + 服务配置Config + 服务总线Bus。
sql注入零基础实战
02-25
SQL注入是一种常见的安全漏洞,攻击者通过在用户输入的数据中插入恶意的SQL代码,从而可以执行未经授权的数据库操作。下面是一个零基础SQL注入实战示例: 假设有一个登录页面,用户需要输入用户名和密码进行登录。后台使用以下SQL语句来验证用户输入的信息: ``` SELECT * FROM users WHERE username = '$username' AND password = '$password' ``` 攻击者可以通过在用户名或密码输入框中插入恶意的SQL代码来进行注入攻击。例如,如果攻击者在用户名输入框中输入`' OR '1'='1`,那么生成的SQL语句将变为: ``` SELECT * FROM users WHERE username = '' OR '1'='1' AND password = '$password' ``` 这样,无论密码输入是否正确,都会返回所有用户的信息,因为`'1'='1'`始终为真。 为了防止SQL注入攻击,可以采取以下措施: 1. 使用参数化查询或预编译语句:使用参数化查询可以将用户输入的数据与SQL语句分开处理,从而避免了恶意代码的注入。 2. 输入验证和过滤:对用户输入的数据进行验证和过滤,确保只接受合法的数据。 3. 最小权限原则:数据库用户应该具有最小的权限,只能执行必要的操作,从而减少攻击者的影响范围。 4. 定期更新和维护数据库:及修补数据库软件的安全漏洞,确保数据库的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值