jdbc-- StatementSQL注入演示

最新推荐文章于 2022-12-22 21:39:21 发布
最新推荐文章于 2022-12-22 21:39:21 发布
阅读量114 收藏
点赞数
分类专栏: jdbc 文章标签: jdbc
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43619461/article/details/121164861
版权

SQL注入 PreparedStatement Java 安全性 数据库连接
关键词由CSDN通过智能技术生成

StatementSQL注入演示

解决方案:
preparedStatement
测试用户名: 1' or
测试密码: or '1'='1

// StatementSQL注入演示
    @Test
    public void statementSqlDemo() throws ClassNotFoundException, InstantiationException, IllegalAccessException, SQLException, IOException {

        // 注册驱动
        Class<?> aClass = Class.forName("com.mysql.jdbc.Driver");
        Driver driver =(Driver) aClass.newInstance();
        DriverManager.registerDriver(driver);
        FileInputStream fileInputStream = new FileInputStream("src/cn/usts/edu/config/db.properties");
        Properties properties = new Properties();
        properties.load(fileInputStream);
        String url=(String) properties.get("url");
        String user=(String) properties.get("user");
        String password=(String) properties.get("password");

        // 建立连接
        Connection connection = DriverManager.getConnection(url, user, password);

        // 执行sql
        Scanner scanner = new Scanner(System.in);
        System.out.println("输入用户名");//
        String name = scanner.nextLine();// nextLine不会空格切断    用户名 1' or
        System.out.println("输入密码");  
        String psd = scanner.nextLine();// nextLine不会空格切断   万能密码 or '1' = 1'
        String sql ="select admin.amin,admin.psd from admin where amin='"+name+"'and psd='"+psd+"'";

        Statement statement = connection.createStatement();
        ResultSet resultSet = statement.executeQuery(sql);

        // 获取结果
        if (resultSet.next()){ // 查询到结果才会有记录
            System.out.print("登陆成功");
        }else{
            System.out.print("登陆失败");
        }


        // 切断链接
        resultSet.close();
        statement.close();
        connection.close();


    }

在这里插入图片描述

大毛z
关注
专栏目录
【JAVA高级】——吃透JDBC中的SQL注入问题和解决方案
不迁怒,不贰过。小知识,大智慧。
10-26 1万+
吃透JDBC中的SQL注入问题和解决方案
03. jdbc Statement sql注入风险
Java 程序源
08-27 468
1. Statement 用法 Statement 用法比较简单, 不需要设置参数. 创建了Statment对象之后, 直接执行sql即可. 执行步骤可总结如下: 获取数据库连接 创建Statment对象 执行sql 增删改: 执行executeUpdate(sql)方法, 返回sql影响的行数 查询: 执行executeQuery(sql)方法, 返回查询结果ResultSet, 然后解析结...
#JDBC_演示SQL注入现象(解决SQL注入现象)
qq_53239252的博客
08-05 109
#JDBC_演示SQL注入现象(解决SQL注入现象)
SQL注入演示
zhansan的博客
03-19 1413
2种SQL注入演示,不知道密码也可以登录 -- 正常登录 select * from login1 where username ='zhangsan'and password = '123' -- 用户名任意,密码输入: ' or '1'='1 select * FROM login1 where username = 'xyz' and password = '' or '1'='1' -- 用户名zhangsan已知的情况下,用户名输入: zhangsan' -- (zhangsan' 空格--空格)
JDBC中关于StatementSql注入问题
发光吖的博客
09-11 1094
sql注入攻击指的是通过构建特殊的输入作为参数传入web应用程序,而这些输入大都是sql语法里的一些组合,通过执行sql语句进而执行攻击者所要做的操作,其产生的主要原因在于应用程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。 我们通过一个用户登录的小案例来大致了解sql注入的情况:(Oracle数据库环境) 首先准备一张表t_user: create table t_user( name varchar2(10) primary key, password varchar2(10) not n
【大数据系列之JDBC】(四):Statement存在SQL注入问题
CSDN 精品推荐
12-22 311
但是使用Statement会存在SQL注入问题,SQL 注入是利用某些系统没有对用户输入的数据进行充分的检查,而在用户输入数据中注入非法的 SQL 语句段或命令(如:SELECT user, password FROM user_table WHERE user=‘a’ OR 1 = ’ AND password = ’ OR ‘1’ = ‘1’) ,从而利用系统的 SQL 引擎完成恶意行为的做法。正常来将要用户名和密码全部匹配成功才可查询到,但是经过SQL注入后,上面的SQL后面会多一个。
JDBC-and-SQL-test
03-26
3. **Statement/PreparedStatement**:`Statement`用于执行静态SQL语句,而`PreparedStatement`则用于执行预编译的SQL语句,它可以防止SQL注入攻击,并提高性能。 4. **ResultSet**:当执行查询时,结果通常会被...
1_JDBC-demo.rar
最新发布
06-13
4. **PreparedStatement对象**:预编译的SQL语句,可以防止SQL注入攻击,并且效率高于Statement,因为它可以多次执行同一个模板SQL。 5. **ResultSet对象**:存储SQL查询结果,提供方法来遍历和访问结果中的每一行...
JDBC-SQL注入攻击问题及解决方案
Fly_Fly_Zhang的博客
07-07 772
什么是SQL注入: 由于dao层中执行的SQL语句是拼接出来的,其中一部分内容是用户从用户端输入的,当传入数据包含SQL关键字时,就有可能通过这些关键字来改变SQL的语义,从而执行一些特殊的操作,这就称为SQL注入问题。 SQL注入攻击演示: 首先我们创建一张用户表,里面包含用户名和密码。 mysql> select * from user; +----------+----------+ ...
jdbc-odbc-with-nevigation-facility.zip_Java编程_Java_
08-12
4. **Statement和PreparedStatement对象**:Statement用于执行静态SQL语句,而PreparedStatement则预编译SQL语句,提高性能,且能防止SQL注入攻击。 5. **ResultSet对象**:存储查询结果,提供遍历查询结果集的方法...
x-pack-sql-jdbc-7.4.2
02-22
x-pack-sql-jdbc-7.4.2
x-pack-sql-jdbc-7.4.2.jar
06-22
x-pack-sql-jdbc-7.4.2.jar jdbc驱动包 x-pack-sql-jdbc-7.4.2.jar jdbc驱动包
x-pack-sql-jdbc-7.7.1.jar
06-18
x-pack-sql-jdbc-7.7.1是数据库客户端连接elasticsearch的驱动jdbc
x-pack-sql-jdbc.rar
09-01
x-pack-sql-jdbc-7.7.1 + x-pack-sql-jdbc-7.7.1是数据库客户端连接elasticsearch的驱动jdbc
x-pack-core-6.4.0.jar (已破解)
09-06
直接替换elasticsearch-6.4.0/modules/x-pack-core/x-pack-core-6.4.0.jar,然后就可以使用sql功能了,推荐用dbvis工具来连接es
jdbcStatement产生的SQL语句注入问题解决办法
qq_42160112的博客
08-09 351
问题描述 用户输入一个城市编号,根据该城市编号,删除数据库中city表对应的记录。 正常执行: 注意,由于依赖于用户输入,用户就可以随便输入内容,拼接到sql语句中,假如用户的输入是: 100 or 1=1 请问,会出现什么结果? 以上这就称为sql注入问题 这种问题产生的根本原因就是,将用户输入的内容直接拼接到sql语句中执行!!! 解决办法 Preparement代替Statement 再次输入一直成立的id,它的结果只会删除掉id为12的城市,这样就解决了sql语句注入问题 使用以上这种占位符
JDBC:使用Statement引发SQL注入
赵博林
12-05 1162
1. 什么是 SQL 注入? jdbc程序执行时, sql语句在拼接时由页面传入参数,如果用户恶意传入一些sql中的特殊关键字,会导致sql语句意义发生变化,这种攻击方式就叫做sql注入。 2. 引子: sql注入的危害: 黑客可以一行代码登录超管账户,对数据库造成不可挽回的损失。 参考用户注册登录案例: // 用户登录验证(字符串拼接) String sql = "select * from s_user where loginName = '"+ loginName +"' and login
剖析JDBC代码——SQL注入攻击(浅显易懂)——Statement
FlorenceZKY的博客
04-19 322
1、创建一个模拟的类UserLogin package com.sie.train; import java.sql.Connection; import java.sql.DriverManager; import java.sql.ResultSet; import java.sql.SQLException; import java.sql.Statement; import java.u...
JDBCSQL注入攻击演示与解决方法
Java Island
09-27 943
SQL注入攻击与解决方案 Statement PreparedStatement
JDBC高级:Statement查询SQL数据详解
这个例子展示了如何在JDBC高级操作中使用`Statement`执行SQL查询,包括连接管理、SQL语句构建、结果集处理以及资源的妥善关闭,防止SQL注入风险。此外,它还演示了元数据(如字段名)的获取,以及如何将查询结果映射...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值