实训六:Web 安全加固
使用策略加固网站安全性。
工具:ITCLUB 博客,菜刀
1.SQL 注入防范
在用户登录界面用户名处输入万能密码 admin' or 1=1 --',密码处输入任意字符,点击登录,不能绕过后台登录系统。
失败原因:项目使用 PreparedStatement 方法完成 SQL 语句的执行,该方法要求在执行 SQL 语句之前,必须告诉 JDBC 哪些值作为输入参数,解决了普通 Statement 方法的注入问题,极大的提高了 SQL 语句执行的安全性。
在项目中找到用户登录模块所使用的关键SQL语句。
3、 修改登录模块的SQL查询相关语句,再次运行项目,使用万能密码admin' or 1=1 --'进行登录,观察是否能够成功登录