JDBC技术(二)——SQL注入

最新推荐文章于 2022-08-10 11:03:16 发布
最新推荐文章于 2022-08-10 11:03:16 发布
阅读量198 收藏 2
点赞数
分类专栏: JDBC 文章标签: JDBC SQL注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41819988/article/details/99864020
版权

【sql注入】

通过sql语句的漏洞,OR方法进行注入。

例:(创建用户表,用户名和密码如下)

CREATE TABLE users(
	id INT PRIMARY KEY AUTO_INCREMENT,
	username VARCHAR(100),
	PASSWORD VARCHAR(100)
	);
	
INSERT INTO users (username,PASSWORD) VALUES ('a','1'),('b','2');

验证登录代码:


import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.ResultSet;
import java.sql.Statement;
import java.util.Scanner;

/*
 *  Java程序实现用户登录,用户名和密码,数据库检查
 *  演示被别人注入攻击
 */
public class JDBCDemo2 {
	public static void main(String[] args)throws Exception {
		Class.forName("com.mysql.jdbc.Driver");
		String url = "jdbc:mysql://localhost:3306/day07";
		String username = "root";
		String password = "root";
		Connection con = DriverManager.getConnection(url, username, password);
		Statement stat = con.createStatement();
		
		Scanner sc = new Scanner(System.in);
		System.out.print("用户名:");
		String user = sc.nextLine();
		System.out.print("密码:");
		String pass = sc.nextLine();
		
		//执行SQL语句,数据表,查询用户名和密码,如果存在,登录成功,不存在登录失败
		String sql = "SELECT * FROM users WHERE username='"+user+"' AND PASSWORD='"+pass+"'";
		System.out.println("执行的SQL语句::"+sql);
		ResultSet rs = stat.executeQuery(sql);
		while(rs.next()){
			System.out.println("登陆成功!");
			System.out.println("您的用户名为:"+rs.getString("username")+"   您的密码为:"+rs.getString("password"));
		}
		
		rs.close();
		stat.close();
		con.close();
	}
}

正常登陆:

错误登陆:

进行密码注入

因为OR后面语句永远为真,所以密码判断永远成功。

 

子木_Lee
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java Web程序设计教程
12-11
第4章sql与jdbc 64 4.1sql 64 4.1.1sql概述 64 4.1.2ddl与dml简介 64 4.1.3sql使用方法 65 4.2jdbc 67 4.2.1jdbc概述 67 4.2.2jdbc驱动程序 68 4.2.3使用jdbc读取数据 69 4.3项目实战——存储图书信息 73 ...
MySQL数据库05---JDBCSQL注入
m0_56161569的博客
09-29 67
一、JDBC 1、数据库驱动 驱动 : 声卡,显卡、数据库 我们的程序会通过数据库驱动,和数据库打交道! 2、JDBC 3、创建JDBC程序 步骤总结: 1、加载驱动 2、连接数据库DriverManager 3、获得执行sql的对象Statement 4、获得返回的结果集 5、释放连接 DriverManager // DriverManager.registerDriver(new com.mysq1.jdbc.Driver(); Class.forName("com.mysq1.jdbc.Dri
接口 PreparedStatement execute() executeQuery() executeUpdate() 以及SQL注入
Hurricane_m的博客
05-17 6473
execute boolean execute() throws SQLException 在此 PreparedStatement 对象中执行 SQL 语句,该语句可以是任何种类的 SQL 语句。一些预处理过的语句返回多个结果,execute 方法处理这些复杂的语句,executeQueryexecuteUpdate 处理形式更简单的语句。 exec...
SQL注入
m0_56187876的博客
04-03 53
SQL注入 package com; import java.sql.*; public class Demo03 { public static void main(String[] args) { Connection connection = null; Statement statement = null; ResultSet resultSet = null; try { //1.加载驱动
Java代码审计-SQL注入
as you know, nlp is fantasitc!
08-10 515
在执行executeQuery()方法时,如果没有对输入的数据进行提前处理,而是直接拼接到sql语句中,就可能造成sql注入,可以看做executeQuery()就是执行sql语句,而不会进行任何检查。这几个阶段,在预编译的过程中,数据库首先接收到的是带有占位符(?)的语句,解析生成语法树,并且缓存在cache中,然后接受对应的参数信息,从cache中取出语法树,设置参数,再执行优化和执行操作,占位符来代替数据的位置,注意先预编译再拼接数据,而不是拼接完数据之后再预编译(这样的预编译不起作用)...
避免Sql注入
三丰的专栏
10-08 685
package cn.itcast.jdbc;   import java.sql.Connection; import java.sql.PreparedStatement; import java.sql.ResultSet; import java.sql.SQLException; import java.sql.Statement;   public class SqlT
基于J2EE框架的个人博客系统项目毕业设计论文(源码和论文)
03-12
由于J2EE的开源的框架中提供了MVC模式实现框架Struts、对象关系模型中的Hibernate 的框架及拥有事务管理和依赖注入的Spring。利用现存框架可以更快开发系统。所以选择Java技术作为blog 的开发工具。 为了增加系统的...
Spring.3.x企业应用开发实战(完整版).part2
05-31
 《Spring3.x企业应用开发实战》是在《精通Spring2.x——企业应用开发详解》的基础上,经过历时一年的重大调整改版而成的,本书延续了上一版本追求深度,注重原理,不停留在技术表面的写作风格,力求使读者在熟练...
Spring3.x企业应用开发实战(完整版) part1
05-31
 《Spring3.x企业应用开发实战》是在《精通Spring2.x——企业应用开发详解》的基础上,经过历时一年的重大调整改版而成的,本书延续了上一版本追求深度,注重原理,不停留在技术表面的写作风格,力求使读者在熟练...
JDBC(六)——JDBC读取数据表,将数据存入对象中,并将对象存储到集合中
LeeBlog
08-21 2635
【问题】 JDBC读取Product数据表,将数据存入Product对象中,并将对象存储到集合中 【代码】 JDBC工具类 package cn.itcast.jdbcutil; /* * 实现JDBC的工具类 * 定义方法,直接返回数据库的连接对象 * * 写关闭方法 */ import java.sql.Connection; import java.sql.D...
JDBC技术(四)——PrepareStatement接口练习
LeeBlog
08-21 1084
【练习一】 使用PrepareStatement接口,实现数据表的更新操作 【代码】 import java.sql.Connection; import java.sql.DriverManager; import java.sql.PreparedStatement; /* * 使用PrepareStatement接口,实现数据表的更新操作 */ public class JD...
JDBC技术(十一)——使用 JDBC 驱动程序处理元数据
LeeBlog
04-14 271
一、使用 JDBC 驱动程序处理元数据 •Java 通过JDBC获得连接以后,得到一个Connection 对象,可以从这个对象获得有关数据库管理系统的各种信息,包括数据库中的各个表,表中的各个列,数据类型,触发器,存储过程等各方面的信息。根据这些信息,JDBC可以访问一个实现事先并不了解的数据库。 获取这些信息的方法都是在DatabaseMetaData类的对象上实现的,而DataBase...
JDBC技术(一)
LeeBlog
08-20 239
【概述】 JDBC(Java Data Base Connectivity,java数据库连接)是一种用于执行SQL语句的Java API,可以为多种关系数据库提供统一访问,它由一组用Java语言编写的类和接口组成。是Java访问数据库的标准规范 JDBC提供了一种基准,据此可以构建更高级的工具和接口,使数据库开发人员能够编写数据库应用程序。 JDBC需要连接驱动,驱动是两个设备要进行通信...
JDBC技术总结
LeeBlog
04-13 232
一、导包 、JBDC工具类 package com.jdbc.tools; import com.mchange.v2.c3p0.ComboPooledDataSource; import org.apache.commons.beanutils.BeanUtils; import javax.sql.DataSource; import java.sql.*; imp...
JDBCJ技术(七)——MySQL BLOB
LeeBlog
04-13 202
一、简介: MySQL中,BLOB是一个进制大型对象,是一个可以存储大量数据的容器,它能容纳不同大小的数据。 、MySQL的四种BLOB类型 三、BLOB具体实例 1.向数据库中插入BLOB类型的数据 例:插入一张图片 /** * 插入 BLOB 类型的数据 必须使用 prepareStatement:因为 BLOB类型 * 的数据是无法使用字...
JDBC技术(五)——JDBC工具类
LeeBlog
08-21 190
【目的】 自定义JDBC工具类,提高代码复用性 【代码】 /* * 实现JDBC的工具类 * 定义方法,直接返回数据库的连接对象 * * 写关闭方法 */ import java.sql.Connection; import java.sql.DriverManager; import java.sql.ResultSet; import java.sql.SQ...
JDBC技术(十)——DBUtils
LeeBlog
04-14 188
一、简介 commons-dbutils 是 Apache 组织提供的一个开源 JDBC工具类库,它是对JDBC的简单封装,学习成本极低,并且使用dbutils能极大简化jdbc编码的工作量,同时也不会影响程序的性能 1.QueryRunner类 1)简介 •该类简单化了SQL查询,它与ResultSetHandler组合在一起使用可以完成大部分的数据库操作,能够大大减少编码量。 ...
JDBC技术(三)——预防SQL注入攻击
LeeBlog
08-21 180
【前言】 针对上一篇博客中,通过SQL语句漏洞进行注入攻击的案例,在本篇博客,我们就来学习一下,如何预防SQL注入攻击。 【思路】 使用 Statement 的一个子接口 PreparedStatement prepareStatement(String sql) ,来实现预防SQL注入 【代码】 public class JDBCDemo3 { public static...
jdbc怎么防止sql注入
最新发布
06-10
为了防止SQL注入攻击,我们可以采取以下措施: 1. 使用预处理语句:使用预处理语句可以有效地防止SQL注入攻击。预处理语句是在执行SQL语句之前将SQL语句和参数分开处理,从而消除了SQL注入攻击的风险。 2. 使用参数化查询:参数化查询是一种将用户输入的数据与SQL语句分开处理的方法。它将用户输入的数据作为参数传递给SQL语句,从而避免了将用户输入的数据直接拼接在SQL语句中的风险。 3. 过滤用户输入:过滤用户输入是一种常见的防止SQL注入攻击的方法。我们可以对用户输入的数据进行验证和过滤,只允许符合规定的数据通过。 4. 限制数据库用户权限:限制数据库用户的权限可以避免恶意用户对数据库进行操作,从而降低SQL注入攻击的风险。 总之,为了防止SQL注入攻击,我们需要使用预处理语句、参数化查询、过滤用户输入和限制数据库用户权限等多种方法,从多个层面保证数据库的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值