关于sql攻击的处理方式

最新推荐文章于 2024-04-24 11:36:34 发布
最新推荐文章于 2024-04-24 11:36:34 发布
阅读量406 收藏
点赞数
文章标签: 数据库 jdbc mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37353105/article/details/69831499
版权
package jdbC;


import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;


import org.junit.Test;


public class preparedStamentDemo {
public boolean login(String usename,String password) throws ClassNotFoundException, SQLException{
String className="com.mysql.jdbc.Driver";
String url="jdbc:mysql://localhost:3306/数据库的名称";
String sqluse="root";
String sqlpassword="密码";
Class.forName(className);
Connection con=DriverManager.getConnection(url, sqluse, sqlpassword);
Statement sta=con.createStatement();
String sql="select *from D_user where username= '"+ usename+" and `password`= '"+password;
System.out.println(sql);
ResultSet rSet=sta.executeQuery(sql);
return rSet.next();//返回结果判断用户名和密码是否和数据库的相对应
}
@Test
public void cc() throws ClassNotFoundException, SQLException {
String uString="ni' or 'ni'='ni'";//上面输出的为select *from D_user where username= 'ni' or 'ni'='ni' and `password`= 'ni' or 'ni'='ni'
String pString="ni' or 'ni'='ni'";//上面输出的为select *from D_user where username= 'ni' or 'ni'='ni' and `password`= 'ni' or 'ni'='ni'
boolean a=login(uString, pString);
System.out.println(a);//输出为恒定为true
}

//当别人恶意输入 ni' or 'ni'='ni'将会导致输出全部为ture 使得sql失去了本应该有的效果

//解决方法,可以先对数据进行校验,把用户名中的=  ‘   这些东西拿出来在进行校验 也可以使用以下的方法

}


public boolean login2(String usename,String password) throws ClassNotFoundException, SQLException{
String className="com.mysql.jdbc.Driver";
String url="jdbc:mysql://localhost:3306/数据库的名称";
String sqluse="root";
String sqlpassword="密码";
Class.forName(className);
Connection con=DriverManager.getConnection(url, sqluse, sqlpassword);
String sql ="select *from T_user where username=? and password=?";
PreparedStatement stamentDemo=con.prepareStatement(sql);
stamentDemo.setString(1,usename);
stamentDemo.setString(2,password);//如果少一个异常会抛出异常,或者多一个都会抛出异常
ResultSet rSet=stamentDemo.executeQuery();
System.out.println(sql);//输出为 select *from T_user where username=? and password=?
return rSet.next();
}

//得到的结果为false,有效的避免了sql的恶意攻击。





被遗弃的庸才
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SQL注入技巧2-常用技巧总结(攻击向量)
10-11
个人通过拜读各位前辈们的博文以及大量的ctf题目训练,结合挖洞经验整理的几点sql常用的盲注技巧,结合具体的sql指令加深理解,针对常用的防护技术,总结了几种通用的绕过技巧
SQLInner防止SQL注入式攻击源码
04-10
8. **日志和异常处理**:通过记录和分析异常情况,SQLInner可以帮助识别潜在的攻击尝试,并采取相应的防护措施。 源代码分析可能涉及阅读SQLInner如何处理用户输入、构建SQL语句、以及如何与数据库交互的部分。理解...
Mysql攻击
weixin_30920513的博客
05-08 599
日志: show global variables like '%general%'; set global general_log=on; 默认Path:/var/run/mysqld/mysqld.log general_log是外部csv文件,若想提高查询性能:alter table general_log engine=myisam; 被修改参数:max_allowed_packet=20...
有关SQL服务器被攻击的问题
02-03 89
前不久,配置好在IDC机房托管的服务器后,回到公司,想来是可以安心工作了。没想到过了几天经常发现程序运行不正常。最后一查之下发现是SQL服务找不到。连上服务器后,发现在SQL服务停了,重新开启,过了几分钟又这是类似情况。反复几次,还是不能解决。只有静下心来研究一下。结果发现定时会有不同IP向服务器的1433端口发送UDP数据包,就是这些数据包让SQL服务给停了的。唉,不得不再次说到重庆联...
mysql数据库攻击
m0_52556320的博客
03-09 9400
又惊讶又惊喜 前两天跟着一个视频写一个小项目,然后没写完停下已经几天了,但是sqlyog在电脑上是一直打开的。 然后昨天中午,我趴在电脑前睡觉,一觉醒来,我的edge新增了两千多个页面,而且还在增加,我以为是我睡觉的时候不小心碰到电脑了,当时我已经感到了一丝丝的凉意。我想直接关edge,但是卡住了就关不了,然后我把电脑上当时打开的其他应用先关掉(包括sqlyog)然后edge也可以关掉了。 本来想重启一下的,但关掉窗口之后也没有发现什么问题,就没重启了。 然后,今天下午!!!! 我再接着写小项目的时候,告诉
关于 sql注入
JUST_IS的博客
05-04 1006
sql注入 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。比如先前的很多影视网站泄露VIP会员密码大多就是通...
SQL注入攻击与防御技术白皮书.pdf
10-16
本文档主要介绍了SQL注入攻击的原理、方式、危害及防御措施,旨在帮助读者更好地理解和防御这种常见的数据库漏洞攻击方式。 1.SQL注入攻击简介 SQL注入攻击是一种针对数据库的漏洞攻击方式,它是通过构造巧妙的SQL...
SQL注入攻击与防御 第2版》PDF版本下载.txt
07-17
这种攻击方式可以导致数据泄露、数据破坏、服务器控制权丢失等严重后果。 #### 二、SQL注入的原理 1. **输入验证不足**:当Web应用没有对用户提交的数据进行充分的验证时,攻击者就可以利用这个漏洞来注入恶意的...
SQL注入漏洞攻击与防御方式浅析.pdf
09-19
SQL注入攻击是一种常见的针对Web应用程序的攻击方式,其原理是利用程序开发中可能存在的安全漏洞,通过精心构造的URL参数或者表单提交参数,更改预先定义好的SQL语句的结构,从而实现非法的数据库操作。当开发者在...
SQL注入攻击及其预防方法研究
07-05
SQL注入攻击的原理包括利用Web应用程序对用户输入处理不当,如未对输入进行充分的验证、过滤或转义,从而将恶意SQL代码注入数据库查询中。攻击步骤通常包括对网站或应用的输入点进行探测,然后通过输入特定构造的SQL...
MySQL数据库遭到攻击篡改---使用备份和binlog进行数据恢复
well的专栏 ——— 心态有多开放,视野就有多开阔。
12-22 599
url:  http://www.csdn.net/article/2014-12-22/2823238 摘要:本文主要描述了MySQL遭到攻击篡改数据,利用从库的备份和主库的Binlog进行不完全恢复。 数据篡改即是对计算机网络数据进行修改、增加或删除,造成数据破坏。数据库数据被攻击了首先得查看是被删除了还是被篡改了?是否有备份数据,是否能够进行恢复并加固。本文来自数
SQL注入攻击:原理、风险与防范
最新发布
爱生活爱学习。
04-24 751
SQL注入攻击是一种常见的网络安全威胁,通过在Web应用程序中注入恶意的SQL查询语句,从而获取敏感信息、篡改数据库内容或实施其他恶意行为。本文将解释SQL注入攻击的原理、可能带来的风险,并提出防范这种类型攻击的有效措施。
MySQL数据库攻击,被删库勒索,逼迫我使出洪荒之力进行恢复数据
热门推荐
致力于不留技术债务cuizb.top
01-26 7万+
昨天连夜赶了一篇文章,讲述了一个被黑客连续攻击服务器三次的普通“搬砖人”,一次比一次艰难,一次比一次狠。 我给大家看几张图,看看黑客的“佳作” 首先创建一个数据库:README_FHX 然后创建表:README 插入一条数据 内容如下: 内容:以下数据库已被删除:*****。 我们有完整的备份。 要恢复它,您必须向我们的比特币地址bc1q6d96nllp6spyxruc0wmtkpk8e36949gny5qrcr支付0.0075比特币(BTC)。 如果您需要证明,请通过以下电子邮件与我们联系。
[Mysql] 防御和检查SQL注入攻击的手段
天天-工作博客
08-09 6817
SQL注入攻击的种类   知彼知己,方可取胜。首先要清楚SQL注入攻击有哪些种类。   1.没有正确过滤转义字符   在用户的输入没有为转义字符过滤时,就会发生这种形式的注入式攻击,它会被传递给一个SQL语句。这样就会导致应用程序的终端用户对数据库上的语句实施操
实际sql攻击案例及解决方案
yangjiehuan的专栏
04-16 1214
sql攻击,无非就是代码写的不严谨,或者就是开源代码惹的祸。     今 天遇到一个问题,发现某个表的数据无法读取,例如user表,于是进了数据库,开始和hack的战争之路。 1. 首先进去数据库,查看这个表是否正常,例如user表,select count 2. 一般都是异常的,然后调用命令 show processlist,这是个查看进程的,如果你发现很多waiting 和sleep信息
SQL注入攻击
Lucky小黄人的博客
02-23 164
原文链接:https://www.cnblogs.com/chenyoumei/p/8117925.html 1.SQL注入简介   SQL注入是普通常见的网络攻击方式之一,它的原理是通过在参数中输入特殊符号,来篡改并通过程序SQL语句的条件判断。 2.SQL注入攻击的思路   1.判断应用程序是否存在注入漏洞     判断方法:在参数后添加单引号" ' ",查看结果,譬如在登录时,用...
Mybatis中SQL注入攻击的3种方式,真是防不胜防!
HollisChuang's Blog
07-11 543
作者|sunnyf来源|https://www.freebuf.com/vuls/240578.html前言SQL注入漏洞作为WEB安全的最常见的漏洞之一,在java中随着预编译...
网络安全必学SQL注入,sql注入攻击实例
logic1001的博客
04-03 994
当找到某个变量关键词有 SQL 注入风险时,可以再根据调用链找到该存在注入风险的业务逻辑代码,查看参数来源是否安全、是否有配置SQL危险参数过滤的过滤器,最终确认是否存在SQL注入。内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…针对SQL注入的攻击行为可描述为通过在用户可控参数中注入SQL语法,破坏原有SQL结构,达到编写程序时意料之外结果的攻击行为。
阿里云中mysql数据库攻击了,最终数据找回来了
分享学习编程中的遇到的问题,总结平时的笔记
07-05 9269
阿里云中的数据库攻击了,弄了好久终于找回了丢失的数据
SQL注入攻击详解与防御策略
SQL注入攻击是一种严重的网络安全威胁,它发生在Web应用程序未能正确过滤用户输入的情况...了解并实施这些防御措施对于任何处理用户输入的Web应用程序来说至关重要,因为SQL注入攻击仍然是黑客获取敏感信息的常见手段。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值