SQL之连接查询和sql注入的理解

最新推荐文章于 2022-05-07 10:08:54 发布
最新推荐文章于 2022-05-07 10:08:54 发布
阅读量233 收藏
点赞数
分类专栏: 分享 笔记 学习总结 文章标签: 数据库 sql mysql java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45592595/article/details/114386930
版权
笔记 同时被 3 个专栏收录
17 篇文章 0 订阅
订阅专栏
学习总结
14 篇文章 0 订阅
订阅专栏
分享
9 篇文章 0 订阅
订阅专栏

1.外连接和内连接的区别

内连接:查询的结果会显示表之间有连接匹配的所有行。

外连接:

  • 左连接(左外连接):以左表作为基准进行查询,左表数据会全部显示出来,右表如果和左表匹配的数据则显示相应字段的数据,如果不匹配则显示为null。
  • 右连接(右外连接):以右表作为基准进行查询,右表数据会全部显示出来,左表如果和右表匹配的数据则显示相应字段的数据,如果不匹配则显示为null。
  • 全连接:先以左表进行左外连接,再以右表进行右外连接。

2. sql 注入的理解和预防

  • 理解:通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。举例:当执行的sql为select * from user where username = “admin”or “a”=“a”时,sql语句恒成立,参数admin毫无意义。
  • 防止sql注入的方式:
  1. 预编译语句:如,select * from user where username = ?,sql 语句语义不会发生改变,sql 语句中变量用?表示,即使传递参数时为“admin or ‘a’= ‘a’”,也会把这整体当做一个字符创去查询。
  2. Mybatis 框架中的 mapper 方式中的#也能很大程度的防止 sql 注入($无法防止 sql 注入)。
大超在努力
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
数据库——MySQL(四)(JDBC、数据库链接、数据库增删改查、SQL注入攻击)
jin_luo的博客
03-13 449
数据持久化:(persistence)把数据保存到可掉电式存储设备中以供之后使用。数据持久化意味着将内存中的数据保存到硬盘上加以”固化”,而持久化的实现过程大多通过各种关系数据库来完成。可以存储在磁盘文件、XML数据文件中-----------------------------------------------------------------------------------------...
连接VM 中的SQL
weixin_33842328的博客
07-02 182
在VM 中装完SQL 后, 需要检查 1.SQL 访问相关的Service是否启动 2.是否允许远程登录 3.SQL的TCP/IP 是否启用 转载于:https://www.cnblogs.com/byshen/p/5635134.html...
记一次DVWA下的SQL注入测试
W0ngk,一个安全菜鸡,一直在模仿,尚未有超越。
01-10 304
文章目录一、前言二、Low级别的测三、Medium级别的测试 一、前言 本次测试环境:DVWA漏洞练习平台、kali、Firefox浏览器。 常用函数解析: 数据库系统函数 所具有的作用 一般使用方法 version() 通过该函数可以直接的查看数据库系统的版本号 select version() database() 该函数可以只管的查看当前操作的数据库名 select database() user() 查看当前数据库的用户权限以及用户名 select user() @@da
正则校验windows和linux路径
weixin_43173924的博客
09-07 1006
let winPath = /^[a-zA-Z]:(((\\(?! )[^/:*?<>\""|\\]+)+\\?)|(\\)?)\s*$/; let lnxPath = /^\/(\w+\/?)+$/i; if(!winPath.test(self.formItem.jarlocation) && !lnxPath.test(self.formItem.jarlocation)){ //校验不通过 }else{ //校验通过 } ...
初学SQL 注入之常见的几种注入类型
Just Do IT
12-21 3494
SQL注入原理 老生常谈,SQL注入攻击的本质就是把用户输入的参数当做SQL语句来执行,Web应用程序对用户输入数据的合法性没有判断和过滤,攻击者可以通过构造不同的SQL语句来实现对数据库的任意操作。比如增删改查等,如果数据库的用户权限足够大,还可以对操作系统执行操作。 这里需要满足2个条件: 1.用户可以控制自己的输入 2.输入得参数可以被拼接成sql语句执行。 危害:造成信息泄露,上传webshell,篡改网页信息等。 SQL注入分类 0x00 联合注入 原理没什么好说的,最简单的一种注入方式,下面直接
超级SQL注入连接工具.zip
02-18
这个“超级SQL注入连接工具”显然是一款专门用于测试和诊断SQL注入漏洞的软件,它可能包含了多种功能,如自动化扫描、手动测试、漏洞利用等。 该工具的版本号为V1.0.20180923,这表明它是2018年9月23日发布的第一版...
sql注入讲解ppt.pptx
08-10
SQL 注入基础知识点总结 SQL 注入是指 web 应用程序对用户...通过学习 SQL 注入基础知识、工具和环境搭建、MySQL 数据库基础知识、SQL 注入防御、SQL 注入类型和基本步骤,我们可以更好地理解和防御 SQL 注入攻击。
pangolinsdl—sql注入工具
06-20
通过理解PangolinsDL的原理和使用方法,安全专业人员能够更有效地评估和防护SQL注入风险,提升系统的安全性。同时,对于开发人员来说,使用这样的工具也是提高代码质量、避免常见安全漏洞的重要途径。
Android通过webservice连接Sqlserver实例
12-02
总的来说,Android通过WebService连接SQLServer涉及到Android网络编程、服务器开发、数据库操作等多个方面,需要对这些技术有深入理解和实践经验。通过学习和实践,开发者可以创建出高效、稳定且安全的数据交互应用...
使用Python防止SQL注入攻击的实现示例
09-16
#### 一、理解Python SQL注入 **定义:** SQL注入攻击是指攻击者通过恶意输入数据来操纵应用程序发送给数据库SQL命令,进而获取未授权的数据访问或其他敏感操作的一种安全威胁。这种攻击主要发生在应用程序没有...
虚拟机(VMware)安装MySQL图解和常用命令
qq_47906421的博客
09-26 3280
一,MySQL安装图解 1.官方网站下载安装包: 网址:https://dev.mysql.com/downloads/repo/yum/ 安装包如下: 2.通过WinSCP将安装包发送到centos的soft中,如下图 3.将rpm包安装上,使用命令 rpm -Uvh 安装包 如果安装成功,则会在/etc/yum.repos.d会多了两个mysql的repo文件,如下图 4.打开文件mysql-community.repo,内容如下: 如果想要使用哪一个版本,则在相对应的版本下面修改 Enab
sql99语法-左(右)外连接 sql99语法-全外连接
abc2580_的博客
10-22 369
二 、外连接 应用场景:用于查询一个表中有,另一个表没有的记录 特点: 1、外连接查询结果为主表中的所有记录 如果从表中有和它匹配的,则显示匹配的值 如果从表中没有和它匹配的,则显示null 外连接查询结果=内连接结果+主表中有而从表中没有的记录 2、左外连接,left join左边的是主表 右外连接,right join右边的是主表 3、左外和右外交换两个表的顺序,可以实现同样的效果。 查询男朋友 不再男神表 的女神名 左外连接 SELECT b.name,bo.* FROM beauty b LEF
SQL语句查询时防止SQL语句注入的方法之一
游海东的技术专栏
02-12 2582
1、传参时有可能出现SQL语句注入 StringBuffer sb = new StringBuffer(); if(StringUtils.isNotBlank(areaCode)) { sb.append("and t.area_code = '").append(areaCode).append("' "); } SQLQuery query = getSession().crea
sql注入 union联合查询注入(超详细)
jiji_king的博客
04-04 1万+
sql注入 union联合查询注入 我们以sqli-labs的第一关为例,来具体理解union联合查询注入的方法,理解每一步我为什么要这么去做。 好的,我们开始第一关! 首先查看sqli-labs第一关 这是第一关初始界面,在url界面输入?id=1 发现有回显,给我们回显了两个数据 当我们输入?id=1’ 时出现了语法错误,表示这里可能存在语法漏洞,我们进一步探索 当我们输入 ?id=1’ --+ 时,又回显正常,然后我们用 ?id=1’ and 1=1–+ 回显正常,?id=1’ and 1=2–
虚拟机连接本地数据库
热门推荐
tarcy的博客
10-15 1万+
我们在运行虚拟机上面的项目时,可能要用到本机的数据库,在使用过程中会遇到数据库拒绝访问的情况 ,这是因为在安装本地数据库时没有启动远程连接。 使用两种方法来解决这种问题 一、使用命令行模式   第一步 先切换到MySQL的安装路径下面的bin目录(我的MySQL的安装路径为D:\MySQL\MySQL Server 5.6\bin); 第二步 登录到mysql连接本地数据库 mysql...
SQL注入之五大注入手法
Clannad的博客
10-30 9595
文章目录1、UNION query SQL injection(可联合查询注入)2、Error-based SQL injection(报错型注入)3、Boolean-based blind SQL injection(布尔型注入)4、Time-based blind SQL injection(基于时间延迟注入)5、Stacked queries SQL injection(可多语句查询注入/堆...
Sql注入基础原理介绍(超详细)
weixin_30325487的博客
09-06 4315
一、Sql注入简介 Sql 注入攻击是通过将恶意的 Sql 查询或添加语句插入到应用的输入参数中,再在后台 Sql 服务器上解析执行进行的攻击,它目前黑客对数据库进行攻击的最常用手段之一。 二、Web 程序三层架构 三层架构(3-tier architecture) 通常意义上就是将整个业务应用划分为: 界面层(User Interface layer) 业务逻辑层(Business Logic...
[SQL注入] 联合查询
weixin_43586169的博客
05-07 571
详细概述了SQL注入中的四大基本手法之一的联合查询
sql的注入问题 连接查询查询
qq_31844775的博客
09-07 511
配合execute,列表化参数,或者正则匹配 # 数据库的链接 con = pymysql.connect(host='localhost', user='root', password='mysql', database='waterDB', port=3306,charset='utf8') #操作对象 cur = con.cursor() cur.execute() 可以...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值