MySQL-演示如何被别人注入攻击

最新推荐文章于 2024-06-18 10:53:33 发布
最新推荐文章于 2024-06-18 10:53:33 发布
阅读量2k 收藏 2
点赞数
分类专栏: SQL
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41690324/article/details/82820858
版权

这是其中一种方式 

package demo;

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;
import java.util.Scanner;

/*
 * Java程序实现用户登录,用户名和密码数据库检查
 * 演示如何被别人注入攻击
 */
public class JDBCDemo3 {
	public static void main(String[] args) throws ClassNotFoundException,
			SQLException {

		// url,username,password是自己设定的
		Class.forName("com.mysql.jdbc.Driver");
		String url = "jdbc:mysql://localhost:3306/mybase";
		Connection con = DriverManager.getConnection(url, "root", "root");
		Statement stat = con.createStatement();

		Scanner sc = new Scanner(System.in);
		String username = sc.nextLine();
		String password = sc.nextLine();
		// 执行SQL语句,查询数据表的用户名和密码,如果存在登陆成功,不存在登陆失败
		String sql = "SELECT * FROM users WHERE username='" + username
				+ "' AND PASSWORD='" + password + "'";
		//输出sql语句
		System.out.println("sql语句"+sql);
		ResultSet rs = stat.executeQuery(sql);
		while (rs.next()) {
			System.out.println(rs.getString("username") + "   "
					+ rs.getString("password"));
		}

		rs.close();
		stat.close();
		con.close();
	}
}

我的表

正常情况下,无论用户名密码是否匹配都是正常的

注入攻击时,

即便是随便输入用户名,但只要密码带有'or' 1=1,也会把表都展示

原理就是本来sql语句为

SELECT * FROM users WHERE username=username AND PASSWORD=password;

变成了

SELECT * FROM users WHERE username=username AND PASSWORD=password or '1=1';

 

迷失的星星
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
基于MySQL的SQL注入攻击(20191202232232).pdf
12-02
MySQL的SQL注入攻击(SEC-W05-003.1) 注入是从正常的WWW端口访问,而且表面看起来跟一般的Web页面访问没什么区别,可能 B/S模式应用开发的发展
mysql攻击_[转载] MySQL 注入攻击与防御
weixin_39908082的博客
01-18 298
预估稿费:500RMB投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿本文主要是做一个Mysql注入总结,对于Mysql来说利用的方式太过于灵活,这里总结了一些主流的一些姿势,如果有好的姿势可以多加交流,文章如果有错也欢迎各位dalao指出:)注入常用函数与字符下面几点是注入中经常会用到的语句控制语句操作(select, case, if(), …)比较操作(=, like,...
Web安全基础学习:SQL注入漏洞之Mysql注入
最新发布
qq_51862722的博客
06-18 943
SQL注入(SQL Injection)是一种常见的Web安全漏洞,形成的主要原因是web应用程序在接收相关数据参数时未做好过滤,将其直接带入到数据库中查询,导致攻击者可以拼接执行构造的SQL语句。
mysql sql注入例子_sql注入的各种实例情况
weixin_42718924的博客
02-05 669
/////////////////////////////////////命令注入攻击:使用的是system函数执行windows系统dir命令,来显示URL参数dir所指定的子目录的内容。 可以使用escapeshellarg函数来处理命令的参数,防止URI来进行命令注入攻击使用的是passthru函数执行windows系统命令,读取URL参数username所指定的来访者账号,并显示来访者...
mysql注入攻击_SQL注入
weixin_35712223的博客
02-08 90
SQL注入注入式***中的常见类型,SQL注入式***是未将代码与数据进行严格的隔离开,最后导致在读取用户数据的时候,错误的把数据作为代码的一部分进行执行,从而导致一些安全问题。SQL注入自诞生以来以其巨大的杀伤力而闻名于世。典型的SQL输入的例子就是当对SQL进行字符串拼接操作的时候,直接使用未加转义的用户输入内容作为变量,比如下面的这种情况:varcondition;condition=R...
SQL注入攻击
m0_51067047的博客
06-09 175
1、SQL注入 SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。 1.1、SQL注入问题 SQL存在漏洞,会被攻击导致数据泄漏 package com.jialidun.test; import com.jialidun.utils.JdbcUtils; import java.sql.Co
mysql-connector-java-5.1.39.0.zip
02-24
2. **SQL语句执行**:允许Java应用执行SQL查询、插入、更新、删除等操作,支持预编译的PreparedStatement和CallableStatement,提高性能并防止SQL注入攻击。 3. **事务处理**:支持ACID(原子性、一致性、隔离性和...
mysql-connector-java-8.0.13
11-07
4. **预编译语句(PreparedStatement)**:提供预编译的SQL语句,可以提高执行效率并防止SQL注入攻击。 5. **结果集处理**:Connector/J支持多种结果集处理方式,包括迭代遍历、获取元数据、处理Blob和Clob等大型...
第八节 Mysql POST基于错误注入-01
09-15
Mysql POST基于错误注入 本节课程主要讲解了Mysql POST基于错误注入攻击技术,包括使用Burpsuite抓取HTTP请求、POST基于错误单引号注入和双引号注入、Sqlmap安全测试等。 在Web应用安全测试中,Burpsuite是一款...
第二节 Mysql注入有关知识点-01
09-15
Mysql注入有关知识点 Mysql注入是指攻击者通过构造恶意输入, Inject恶意数据到Mysql数据库中,达到未经授权的访问、控制或破坏数据库的行为。...因此,数据库管理员需要加强数据库的安全性,避免Mysql注入攻击
mysql-connector-java-5.1.44.src mysql connector 源码
11-26
3. **SQL语句的预编译和执行**:预编译的PreparedStatement如何提高性能并防止SQL注入攻击。 4. **异常处理**:了解如何处理数据库操作中的错误和异常。 5. **事务管理**:学习如何在Java代码中控制数据库事务,包括...
mysql注入式实战攻击视频
08-10
具体介绍了mysql注入式实战攻击的方法,讲解详细,很适合菜鸟
mysql udf提权_攻击 Mysql 服务
weixin_39792751的博客
12-05 141
作者:Micropoor链接:https://micropoor.blogspot.commsf 内置关于mysql插件如下(部分非测试mysql 插件)关于msf常用攻击mysql插件如下:1.auxiliary/scanner/mysql/mysql_login2.exploit/multi/mysql/mysql_udf_payload3.exploit/windows/mysql...
mysql 数据库防御_MySQL数据库注入分析和防御
weixin_35077079的博客
02-10 188
Examples:四、版本&主机名&用户&库名五、表和字段1. 确定字段数(1) ORDER BYORDER BY用于判断表中的字段个数(2) SELECT ... INTO关于SELECT ... INTO 的解释可以看这一篇文章SELECT ... INTO解释当出现LIMIT时可以用以下语句:(3) 判断已知表名的字段数2. 查表名以下提过几种方式对库中表进行查询3....
mysql c语言 sql注入_【注入攻击】SQL注入(不完整总结)
weixin_39886251的博客
01-20 307
注入攻击数据与代码分离,可以说是专门为解决注入攻击而生的注入攻击的本质:用户输入的数据当作代码执行两个关键条件:一、用户能够控制输入;二、原本程序要执行的代码,拼接了用户输入的数据1 SQL注入典例:var ShipCity;ShipCity = Request.form(“ShipCity”);var sql = “select * from OrdersTable where ShipCity...
mysql注入攻击与防御word_SQL注入攻击与防御
weixin_33740988的博客
02-19 151
SQL注入是什么SQL注入是一种将SQL代码插入或添加到应用(用户)的输入参数中的攻击,之后再将这些参数传递给后台的SQL服务器加以解析并执行。SQL注入漏洞产生原理对构造成SQL语句的变量,过滤不严格,造成可以构造任意的SQL语句,传递到数据库执行。哪里能够引发SQL注入get query stringport stringhttp headerSQL注入分类UNION query SQL in...
web安全学习-sql注入-针对mysql攻击
Shanfenglan's blog
02-20 1553
文章目录1. 前言2. 注入攻击2.1 爆数据库名2.2 爆破表名2.3 爆破字段名2.4 爆破字段值2.5 写文件3. 盲注4. 绕过av5. udf/mof6. 参考文章 1. 前言 总结完mysql数据库的基本操作后,我们来看看如何对mysql数据库进行sql注入攻击。 2. 注入攻击 2.1 爆数据库名 2.2 爆破表名 2.3 爆破字段名 2.4 爆破字段值 2.5 写文件 3. 盲注 4. 绕过av 5. udf/mof 6. 参考文章 Bypass disabled_functions一些思路
对php+mysql注入攻击
linx-(luantan)
09-26 949
对php+mysql注入攻击看看以下的内容 $query ="SELECT *FROM user where user =".$_REQUEST [user] ..""; ...sql injection is impossible.However,if the value is being placed in a non-delimited portion of the query,s
Mysql数据库的安全性问题——注入攻击以及解决办法
Nullisleep的博客
08-09 1229
在日常生活中我们在网上购物、出行买票等一系列的操作时都需要很重要的一步,那就是先进入自己的个人账户,里面有更详尽的且别人看不到的私有个人信息,如果别人能够进入我们的个人账户,那就杯具了,本文将介绍一种安全性的隐患——仅通过获取正确的用户名就可以进入他人账户,它就是注入攻击,是Mysql数据库中内部机制产生的一种攻击方式。 注入攻击产生的原因是这样的:由于sql语句是由前台参数与后台语句拼接而来,在...
突破MySQL注入防御:绕过技巧与实操演示
首先,他介绍了MySQL的基本语法,这是进行注入攻击的基础。在SQL注入时,攻击者通常会利用关键字过滤和函数过滤机制来试图执行恶意代码。然而,这些过滤策略往往存在漏洞,因为它们可能过于简单,无法全面抵御复杂或...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值