11-java安全基础——java中的sql注入

最新推荐文章于 2024-08-20 21:50:34 发布
最新推荐文章于 2024-08-20 21:50:34 发布
阅读量1.1k 收藏 3
点赞数
分类专栏: 网络安全 文章标签: sql注入 java mybatis 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35733751/article/details/119715486
版权

JDBC PreparedStatement MyBatis SQL注入 预编译
关键词由CSDN通过智能技术生成

jdbc中的sql注入

JDBC是sun公司制定的使用java语言来操作数据库的驱动接口,程序员如果要开发访问数据库的程序,只需要会调用 JDBC 接口中的方法即可,不用关注类是如何实现的。

新建一个maven项目,导入jdbc依赖包:

    <dependencies>
        <dependency>
            <groupId>mysql</groupId>
            <artifactId>mysql-connector-java</artifactId>
            <version>5.1.32</version>
        </dependency>
    </dependencies>

JDBC提供的开发接口:

java.sql :所有与 JDBC 访问数据库相关的接口和类

javax.sql :数据库扩展包,提供数据库额外的功能。如:连接池

DriverManager 类 :管理和注册数据库驱动 ,数据库连接对象

Connection 接口 :一个连接对象,可用于创建 Statement 和 PreparedStatement 对象

Statement 接口 :一个 SQL 语句对象,用于将 SQL 语句发送给数据库服务器

PreparedStatemen 接口 :一个 SQL 语句对象,是 Statement 的子接口

ResultSet 接口 :用于封装数据库查询的结果集,返回给客户端 Java 程序

来看一个简单的JDBC示例程序,查询一个用户:

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.ResultSet;
import java.sql.Statement;
import java.util.Scanner;

/**
 * @auther songly_
 * @data 2021/8/12 19:30
 */
public class JdbcTest {
    public static void main(String[] args) throws Exception {
        //1.注册驱动
        Class<?> aClass = Class.forName("com.mysql.jdbc.Driver");
        //2.获取数据库连接对象
        Connection connection = DriverManager.getConnection("jdbc:mysql://localhost:3306/mybatis_test", "root", "123456");
        Scanner scanner = new Scanner(System.in);
        System.out.print("输入要查询的id:");
        String id = scanner.nextLine();
        //3.构造sql语句
        String sql = "select * from user where id = " + id;
        //4.获取执行sql的对象 Statement
        Statement statement = connection.createStatement();
        //5.执行sql
        ResultSet resultSet = statement.executeQuery(sql);
        //6.输出结果
        String username;
        String password;
        while (resultSet.next()) {
            id = resultSet.getString("id");
            username = resultSet.getString("username");
            password = resultSet.getString("password");
            System.out.println(id + " , " + username + " , " + password);
        }
        //7.释放数据库资源
        statement.close();
        connection.close();
    }
}

当我们输入id为1 or 1=1时,程序会把所有的结果查询出来,从执行的sql语句来看,JDBC使用了拼接的方式构造sql语句,id的内容1 or 1=1破坏了原有的sql的语义,使得sql语句的作用发生了改变,产生了歧义性,因此产生了sql注入问题。

 jdbc提供了一个PreparedStatement对象来防止sql注入,PreparedStatement 是 Statement 接口的子接口,继承于父接口中所有的方法。它使用了预编译SQL语句的方式来防止sql注入。

对之前的程序进行改写,使用preparedStatement对象来执行sql

        Scanner scanner = new Scanner(System.in);
        System.out.print("输入要查询的id:");
        String id = scanner.nextLine();
        //3.构造sql语句,使用了占位符?
        String sql = "select * from user where id = ?";
        //4.获取执行sql的对象 preparedStatement
        PreparedStatement preparedStatement = connection.prepareStatement(sql);
        preparedStatement.setString(1 , id);
        ResultSet resultSet = preparedStatement.executeQuery();

程序执行结果:

 preparedStatement对象在构造sql语句时不是简单sql拼接的方式,而是使用了站位符?来构造SQL语句,prepareStatement方法首先会将sql语句发送给数据库进行预编译,然后调用了setString方法将id的值传给了preparedStatement对象。preparedStatement对象会将id的内容1 or 1=1被作为一个整体传给sql语句,没有破坏sql语句原有的语义,因此只能查询出id为1的用户。

通过查看源码发现,底层实际上对1 or 1=1这些内容使用了单引号进行了闭合,被当作要给整体赋值给id,由于id字段的数据类型是整形,只会取第一个字符1作为id的值,即id=1。

有小伙伴可能会说,既然底层使用了单引号进行了闭合,那我们也可以使用单引号再次闭合啊,我们输入1' or 1 = '1再次进行闭合:

实际上底层对单引号进行了转义,输入的内容仍然被当作一个整体赋值给id,因此使用preparedStatement对象来执行sql语句可以有效的防止sql注入。 

mybatis中的sql注入

mybatis是一个用于操作数据库的持久层框架,它内部对JDBC进行了封装,屏蔽了JDBC接口底层访问细节,开发人员只需通过mybatis框架提供的xml或者注解方式就可以完成数据库的持久化操作。

mybatis框架执行sql语句支持两种传参方式:${ }和# { },“#”符号会点语句进行预编译,而${ }只是进行string 替换,动态解析SQL的时候会进行变量替换,有可能会造成sql注入问题,因此在项目中尽量使用预编译方式#{ },当只能使用${ }方式的话,需要做好参数校验防止sql注入。

song->_->
关注
专栏目录
JAVA高级】——吃透JDBCSQL注入问题和解决方案
不迁怒,不贰过。小知识,大智慧。
10-26 1万+
吃透JDBCSQL注入问题和解决方案
JAVA代码审计——SQL注入靶场审计01
m0_61506558的博客
11-09 692
Statementlike '%${in (${selectupdateinsert(二)SQL Lesson 9前面都是sql注入的介绍,我们直接来看到lesson9,首先请求一下看一下前端请求后端的接口地址.全局进行一个搜索,我们首先来看PostMapping那一个代码可以看到直接进行了SQL语句的拼接我们来打个断点分析一下,可以看到我们输入的内容没有经过任何过滤就直接拼接来进去。
Java项目防止SQL注入的四种方案
学IT,找陈寒
10-10 9769
SQL注入是一种严重的安全漏洞,但通过采取适当的预防措施,可以有效地防止它。在Java项目,使用预编译语句、输入验证和过滤、ORM框架以及安全的数据库访问库是防止SQL注入攻击的四种常见方法。选择适合你的项目的方法,并始终保持警惕,以确保你的应用程序免受潜在的威胁。😊🙏Java面试技巧Java面试八股文 - 掌握面试必备知识(目录篇)Java学习路线2023年完整版Java学习路线图AIGC人工智能Chat GPT是什么,初学者怎么使用Chat GPT,需要注意些什么Java实战项目。
java sql注入l
10-01
package com.tarena.dingdang.filter; 02 03 import java.io.IOException; 04 import java.util.Enumeration; 05 06 import javax.servlet.Filter; 07 import javax.servlet.FilterChain; 08 import javax.servlet.FilterConfig; 09 import javax.servlet.ServletException; 10 import javax.servlet.ServletRequest; 11 import javax.servlet.ServletResponse; 12 import javax.servlet.http.HttpServletRequest; 13 14 public class AntiSqlInjectionfilter implements Filter { 15 16 public void destroy() { 17 // TODO Auto-generated method stub 18 } 19 20 public void init(FilterConfig arg0) throws ServletException { 21 // TODO Auto-generated method stub 22 } 23 24 public void doFilter(ServletRequest args0, ServletResponse args1, 25 FilterChain chain) throws IOException, ServletException { 26 HttpServletRequest req=(HttpServletRequest)args0; 27 HttpServletRequest res=(HttpServletRequest)args1; 28 //获得所有请求参数名 29 Enumeration params = req.getParameterNames(); 30 String sql = ""; 31 while (params.hasMoreElements()) { 32 //得到参数名 33 String name = params.nextElement().toString(); 34 //System.out.println("name===========================" + name + "--"); 35 //得到参数对应值 36 String[] value = req.getParameterValues(name); 37 for (int i = 0; i < value.length; i++) { 38 sql = sql + value[i]; 39 } 40 } 41 //System.out.println("============================SQL"+sql); 42 //有sql关键字,跳转到error.html 43 if (sqlValidate(sql)) { 44 throw new IOException("您发送请求的参数含有非法字符"); 45 //String ip = req.getRemoteAddr(); 46 } else { 47 chain.doFilter(args0,args1); 48 } 49 } 50 51 //效验
Java安全编程:输入验证与SQL注入防护的艺术
最新发布
qq_44771627的博客
08-20 318
在开发基于Java的应用程序时,我们经常会遇到用户输入的数据。这些数据可能来自Web表单、API调用或是其他途径。如果不对这些数据进行适当的验证和清理,就有可能导致各种安全漏洞,其最常见的一种就是SQL注入攻击。SQL注入是指攻击者通过将恶意SQL代码插入应用程序接收的参数,从而达到执行任意SQL命令的目的。这不仅可能导致数据泄露,还可能让攻击者完全控制数据库。因此,掌握如何正确地进行输入验证以及如何防范SQL注入至关重要。
SQL注入Java
weixin_33958366的博客
10-23 78
前面这篇文章介绍了SQL注入,并且主要就PHP的内容做了实验: http://www.cnblogs.com/charlesblc/p/5987951.html 还有这篇文章对处理方案做了介绍(PreparedStatement in PDO or mysqli) http://www.cnblogs.com/charlesblc/p/5988919.html   那么对于Java是怎样的情况呢?...
java SQL注入
点>>滴>>成>>海
10-11 276
1.用户名随便输入 2.密码:1‘  or '1'='1
javaSQL注入的讲解
鹤野云间
07-26 2355
1、 举一个简单的SQL注入攻击的例子: 假如我们有一个users表,里面有两个字段username和password。在我们的java代码我们初学者都习惯用sql拼接的方式进行用户验证。比如:” select id from users where username = ‘”+username +”’ and password = ‘” + password +”’ ” 这里的userna...
Java 后台sql注入
acxx2010的博客
03-24 109
JdbcTemplate.update(sql, ArrayList.toArray()) Connection conn = null; PreparedStatement ps = null; conn = JdbcUtils.getConnection(); String sql = "select id,name,birthday,money from...
java毕业设计——java+sql企业固定资产管理系统
09-14
Java毕业设计——Java+SQL企业固定资产管理系统】是一个典型的IT项目,主要涵盖了Java编程语言以及SQL数据库管理技术在企业资产管理的应用。这个系统的设计与实现旨在帮助企业管理其固定资产,提高资产利用率,...
java面试——深圳-国平安-Java级.zip
09-26
Java面试过程,尤其是针对级开发者的职位,面试官通常会关注候选人的基础知识、编程能力、框架理解以及项目经验。深圳作为国的科技心之一,国平安作为一家知名的金融技术公司,其对Java开发者的要求自然...
SQL注入过滤 (Java版)
11-17
SQL 安全注入漏洞过滤器类 Java实现 Java类实现,以及配置文件web.xml
JAVA代码审计之SQL注入
06-14
本章节课程主要从以下三方面详细的介绍了如何针对java代码sql注入的审计方法及黑盒验证: 1、JDBC连接方式下sql注入的存在的形态及修复方法,like、in情况在如何安全使用预处理来防范sql注入 2、在使用Mybatis框架下如何审计sql注入代码,并详细的介绍了如何编写安全的数据库查询语句。 3、在使用Hibernate框架下如何审计sql注入代码。并详细介绍了如何编写安全的数据库查询语句。
java面试——深圳-银盛支付-Java级.zip
09-26
这份"java面试——深圳-银盛支付-Java级.zip"压缩包文件很可能包含了针对Java级开发者的一系列面试问题和解答,旨在帮助求职者提升自己的技能,并在面试脱颖而出。下面,我们将深入探讨一些可能涵盖的Java级...
JAVA jdbc(数据库连接池)SQL注入
javazaixian的专栏
08-24 903
1.SQL注入的概念…   所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容易受到SQL注入式攻击.当应用程序使用输入内容来构造动态sql语句以访问数据库时,会发生sql注入攻击。如果代码使用存储过程,而这些存储
Java代码审计之SQL注入
tpaer的博客
12-05 2410
复现了JavaJDBC及Mybatis框架采用预编译和非预编译时可能存在SQL注入的几种情况,并给予修复建议。
java--SQL注入攻击
grey_mouse的博客
12-28 422
SQL注入攻击概述 该攻击也就是黑客或居心不良的人知晓了你底层使用拼接的方式连接SQL语句,也就有可能研究出绕过你检查的SQL语句,以下实例说明: 登录操作,检查用户名、密码是否正确 用Statement操作SQL语句 import java.sql.Connection; import java.sql.ResultSet; import java.sql.SQLException; ...
静态代码审计之SQL注入java
一杯咖啡的渗透记忆
03-29 862
三种不同框架类型的SQL JDBC--sql注入 Hibernate--sql注入 Mybatis、iBatis-- sql注入 SQL注入手工审计方法 步骤1:全局搜索“+”,找到存在+ 拼接的sql语句,查看参数是否有过滤,一般在DAO层 追溯上层函数,直到,doPost(HttpServletRequest request,HttpServletResponse response) 查看整个流程,有没有过滤非法字符串,如果没有,则存在sql注入 找到..
JAVA代码审计之SQL注入,基于Spring boot和jdbc以及mybatis
GXcodes的博客
08-02 3142
本节讲述JavaWeb代码审计存在SQL注入漏洞的情况。基于spring boot,mysql,两种连接方式:jdbc和mybatis。代码比较多,适合自己创建项目,跟着走一遍,如果只想了解原理,可以忽略代码,只看大概即可。比如Controller类或者sql语句的编写。SQL注入漏洞是对数据库进行的一种攻击方式。其主要形成方式是在数据交互,前端数据通过后台在对数据库进行操作时,由于没有做好安全防护,导致攻击者将恶意代码拼接到请求参数,被当做SQL语句的一部分进行执行,最终导致数据库被攻击。
Java安全编程:防止SQL注入的代码审计
"本文主要探讨了Java安全编程的一个重要话题——代码审计,特别是针对SQL注入漏洞的防范。文章通过两个漏洞示例解释了SQL注入攻击的本质和危害,并提供了相应的审计策略和修复方案。" 在Java编程,确保代码安全...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值