SQL注入问题及其解决办法

最新推荐文章于 2024-04-14 15:00:48 发布
最新推荐文章于 2024-04-14 15:00:48 发布
阅读量2.5k 收藏 5
点赞数 5
分类专栏: MySQL 文章标签: mysql java jdbc 数据库 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_49044908/article/details/116073409
版权

SQL注入问题及其解决办法

前几次的 JDBC 案列的数据库操作对象我一直使用的是 Statement 对象, 但是这个类实际上是存在一些问题的, 这就是我想要分享的 SQL 注入问题.

目录

SQL注入问题及其解决办法

问题发现

sql 注入的定义及其原因分析

问题解决------ PreparedStatement

PreparedStatement 和 Statement 比较

问题发现

前几天用 JDBC 编写一个从数据库获取用户名和密码登录的简单 java 程序发现了一个 bug

下面请看源代码:

// 连接数据库获取账号和密码登录
public class Test06 {
    public static void main(String[] args) {
        Connection conn = null;
        Statement stmt = null;
        ResultSet rs = null;
        PreparedStatement ps = null;
        try {
            Class.forName("com.mysql.jdbc.Driver");
            String url = "jdbc:mysql://localhost:3306/test?characterEncoding=utf8&useSSL=true";
            String username = "root";
            String password = "XXXX";
            conn = DriverManager.getConnection(url, username, password);
            Scanner scanner = new Scanner(System.in);
            System.out.print("请输入用户名: ");
            String un = scanner.nextLine();
            System.out.print("请输入密 码: ");
            String pw = scanner.nextLine();

            // 下面代码存在 sql 注入问题
            String sql = "select * from user where name = '" + un
                    + "' and password = '" + pw + "'";
            stmt = conn.createStatement();
            // 下面这个代码的含义为: 将sql语句给DBMS, DBMS进行编译
            // 是先提交后编译, 所以如果用户提供了非法信息, 就导致了 sql 语句含义被扭曲
            // 从而出现不符合用户需求的情况
            rs = stmt.executeQuery(sql);
            if (rs.next()) {
                System.out.println("登录成功");
            }else {
                System.out.println("登录失败");
            }

        } catch (ClassNotFoundException | SQLException e) {
            e.printStackTrace();
        } finally {
            try {
                if (rs != null) {
                    rs.close();
                }
            } catch (SQLException throwables) {
                throwables.printStackTrace();
            }
            try {
                if (stmt != null) {
                    stmt.close();
                }
            } catch (SQLException throwables) {
                throwables.printStackTrace();
            }
            try {
                if (conn != null) {
                    conn.close();
                }
            } catch (SQLException throwables) {
                throwables.printStackTrace();
            }
        }
    }
}

user 表的内容是: 

当我输入用户名为 "xxx"  密码为 "XXX' or '1' = '1" 时, 也可以显示登录成功, 但是根据上面显示, 数据库中显然没有这个账户和密码. 

 

根据这一句代码

String sql = "select * from user where name = '" + un + "' and password = '" + pw + "'";

 我们还原一下 sql 语句, 拼接后的 sql 语句为 

select * from user where name = 'xxx' and password = 'XXX' or '1' = '1'

我们在 MySQL 中执行一下这句代码, 结果如下

由于 '1' = '1' 恒成立, MySQL 将这个表的所有信息都查找出来了, 显然这是不合理的.

在实际的工程中, 如果有别有用心之人投机取巧, 那么这个数据库中的信息是不安全的.

sql 注入的定义及其原因分析

sql 注入, 简单的讲就是, 用户的输入导致 sql 语句的含义改变, 从而导致一些不符合预期的情况出现.

我们再往深处分析, 这种现象是因为用户提供的信息和原本的 sql 语句框架进行了拼接, 之后将这个合成的 sql 语句交给 DBMS 进行编译才产生了这样的现象.

如果我们可以事先将 sql 语句的框架编译, 然后将用户的信息进行文本层面的拼接或者替换, 就不会产生这种问题了.

问题解决------ PreparedStatement

上面我们分析了问题的原因, 以及解决方法, 刚好 java 中提供了这样一个类 PreparedStatement .

Prepared 的意思是准备好的, 预编译的, 这个数据库操作对象的意思为 预先编译过的数据库操作对象

使用方法如下:

PreparedStatement ps = conn.prepareStatement(String sql);

conn 是数据库连接对象

sql 是 sql 语句框架

这个对象(PreparedStatement)的原理是: 预先对 sql 语句的框架进行编译, 然后再给 sql 语句进行传值.

下面给出例子:

String sql = "select * from user where name = ? and password = ?";
// 下面一行执行完, DBMS会将框架先编译好
PreparedStatement ps = conn.prepareStatement(sql);

其中 ? 为占位符, 代表这个位置将来可以替换

需要注意的是 PreparedStatement 的父类为 Statement , 所以它重写了父类中的 set 方法

下面讲解一下它的 set 方法: 例如

setSting(index, str) 为第 index 个 ? 获取字符串 str 填入, 会在传入的字符串两边加上单引号(第1个 ? 下标为1, 第2个 ? 下标为2, JDBC 中的下标都是从1开始的)

同理 setInt(index, int) 为获取 int 型的数据替换 ? 填入

下面我们给出改进后的代码:

import java.sql.*;
import java.util.Scanner;

// 连接数据库获取账号和密码登录
public class Test06 {
    public static void main(String[] args) {
        Connection conn = null;
//        Statement stmt = null;
        ResultSet rs = null;
        PreparedStatement ps = null;
        try {
            Class.forName("com.mysql.jdbc.Driver");
            String url = "jdbc:mysql://localhost:3306/test?characterEncoding=utf8&useSSL=true";
            String username = "root";
            String password = "xxxx";
            conn = DriverManager.getConnection(url, username, password);
            Scanner scanner = new Scanner(System.in);
            System.out.print("请输入用户名: ");
            String un = scanner.nextLine();
            System.out.print("请输入密 码: ");
            String pw = scanner.nextLine();

            // 下面代码存在 sql 注入问题
//            String sql = "select * from user where name = '" + un
//                    + "' and password = '" + pw + "'";
//            stmt = conn.createStatement();
//            // 下面这个代码的含义为: 将sql语句给DBMS, DBMS进行编译
//            // 是先提交后编译, 所以如果用户提供了非法信息, 就导致了 sql 语句含义被扭曲
//            // 从而出现不符合用户需求的情况
//            rs = stmt.executeQuery(sql);

            // 改进
            // sql 注入是因为用户提供的信息也参与编译了
            // 只要用户的信息不参与编译, 问题就解决了
            // 数据库操作对象使用 PreparedStatement
            // 这个对象属于预编译的数据库操作对象
            // 原理是预先对 sql 语句的框架进行编译, 然后再给 sql 语句进行传值
            // 下面的字符串为 sql 语句的框架 其中?为占位符
            // 一个?将来接受一个值, 注意 占位符不能用单引号引起来
            String sql = "select * from user where name = ? and password = ?";
            // 下面一行执行完, DBMS会将框架先编译好
            ps = conn.prepareStatement(sql);
            // 下面给?传值, 第1个?下标为1, 第2个?下标为2, JDBC 中的下标都是从1开始的
            // setSting(index, str) 为,为第index个?获取字符串str填入,会在传入的字符串两边加上单引号
            // 所以不用?两边不用加单引号
            // setInt(index, int) 为获取int型的数据
            ps.setString(1, un);
            ps.setString(2, pw);
            // 执行 sql 语句, 下面的函数就不用传入 sql 语句了, 因为此时的数据库操作对象中已经有了sql的信息
            rs = ps.executeQuery();

            if (rs.next()) {
                System.out.println("登录成功");
            }else {
                System.out.println("登录失败");
            }

        } catch (ClassNotFoundException | SQLException e) {
            e.printStackTrace();
        } finally {
            try {
                if (rs != null) {
                    rs.close();
                }
            } catch (SQLException throwables) {
                throwables.printStackTrace();
            }
            try {
//                if (stmt != null) {
//                    stmt.close();
//                }
                if (ps != null) {
                    ps.close();
                }
            } catch (SQLException throwables) {
                throwables.printStackTrace();
            }
            try {
                if (conn != null) {
                    conn.close();
                }
            } catch (SQLException throwables) {
                throwables.printStackTrace();
            }
        }
    }
}

测试一下: 

注入问题解决, nice.

PreparedStatement 和 Statement 比较

1. PreparedStatement 解决了注入问题, 而 Statement 没有解决注入问题

2. PreparedStatement 编译一次可以执行多次, 而 Statement 编译一次执行一次

3. PreparedStatement 会在编译期做类型的安全检查, 而 Statement 不会做类型的安全检查, 例如 setString(1, 100) 编译期就会报错.

综上所述, 大部分情况使用 PreparedStatement , 只有极少数情况下需要使用 Statement 

比如就是需要 sql 注入的时候, 就是要进行 sql 语句拼接的时候:

比如, 淘宝中的产品升序或者降序排列, 我们需要使用关键字 desc , 这里如果使用 ? 替换的方式将不会对这个关键字编译, 而且替换的是'desc', 就会出现问题

下面总结何时使用PreparedStatement 和 Statement

PreparedStatement : 单纯的进行sql语句传值, 则可以使用

Statement : 必须要sql注入, 必须进行sql语句拼接的时候使用这个对象

 

今天就分享到这里, 希望大家多多评论.

 

 

 

 

迷亭君
关注
  • 5
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SQL注入原理与解决方法代码示例
09-09
2. 解决SQL注入的方法: - **预编译语句(PreparedStatement)**:JavaJDBC提供预编译语句接口,可以有效地防止SQL注入。预编译语句将查询模板与用户输入分开,确保用户输入的数据不会被解释为SQL代码。例如: `...
JDBC为什么要写Connection conn = null
qq_38006834的博客
07-05 5308
1、conn != null 这个是不确定上面的connection是否被初始化而判断的,因为很多时候写代码,使用懒加载模式,一般是先定义一个Connection conn=null,使用的时候才去初始化它的对象,这样可以减少内存的浪费。这个时候如果不确定conn是否被初始化的时候,最好在关闭前加上conn != null判断,不然直接关闭conn有可能报空指针错误。 2、conn.isClosed() 这个是判断当前连接是否被关闭,这个首先要保证Connection已经生成实例了。如果没有生成实例,就会
Java连接MySQL数据库
九之者
06-10 595
Java连接MySQL数据库 Connection conn=null; PreparedStatement stmt=null; ResultSet rs=null; try{ Class.forName("com.mysql.jdbc.Driver"); conn=DriverManager.getConnection("jdbc:mysql://localhost:3306/epet"...
漏洞篇(SQL注入三)_sql注入漏洞解决方法,最新网络安全架构师成长路线
最新发布
2401_83974142的博客
04-14 839
代码中过滤了 or 和 AND,大小写同样都被过滤了。
JDBC (重点)
qq_51389068的博客
09-13 472
JDBC (重点)
原始jdbc连接数据库的代码
burtquan的博客
02-11 1256
//此连接是针对于mysql的连接 public class MybatisJdbcConnection {     public static void main(String[] args){         Connection conn = null;         ResultSet res = null;         PreparedStatement prepar
学习JDBC,这一篇就够了!
weixin_44226752的博客
02-20 603
0. 客户端操作mysql数据库的方式: 使用第三方客户端来访问数据库。如:SQLyog,Navicat,SQLWave等。 使用mysql自带的命令行方式。 通过java来访问mysql数据库,即JDBC。 1. 什么是JDBC JDBCJava DataBase Connectivity,它是java访问数据库的规范,定义了一些接口,具体的实现由各大数据库厂商来实现。 每个数据库厂商根据自家的数据库的通信格式编写好自己的数据库驱动。(数据库驱动即操作数据库需要的具体的实现类)。所以我们只需要会调
sql注入及解决方法.doc
12-29
SQL注入是一种严重的网络安全问题,它发生在Web应用程序未能正确过滤或验证用户输入,导致攻击者能够注入恶意的SQL代码,从而获取未经授权的数据库访问权限。这种攻击通常发生在应用程序将用户提供的数据直接拼接到...
SQL注入漏洞过程实例及解决方案
09-08
为了解决这个问题,我们可以采用预编译的`PreparedStatement`对象,它能有效防止SQL注入。`PreparedStatement`会将用户输入的数据与SQL语句分离,确保即使输入包含特殊字符,也不会被解析为SQL命令的一部分。在`...
SQL注入漏洞全接触.ppt
11-15
* SQL注入漏洞的原理是从客户端提交特殊的代码,从而收集程序及服务器的信息,从而获取攻击者想得到的资料。 二、 SQL注入漏洞的危害 * SQL注入漏洞可能导致敏感数据泄露、服务器被入侵、网站沦陷等严重后果。 * ...
防止sql注入
weixin_42623237的博客
02-09 141
使用PreparedStatement对象防止sql注入 请输入用户名 sdfsdf 请输入密码 a' or 'a' = 'a 用户名或密码错误 Process finished with exit code 0 /* * 登陆方法 使用PreparedStatement **/ public boolean login2(String username,Stri...
JDBC】-- PreparedStatement实现数据库查询操作
张修宇的博客
07-21 4051
ORM思想(objectrelationalmapping)1、一个数据表对应一个java类2、表中一条记录对应java类的一个对象3、表中一个字段对应java类的一个属性JDBC结果集的元数据获取列数获取列的别名反射通过反射,创建指定类的对象,获取指定的属性并赋值。...
使用 Preparedstatement 选择和显示记录的 JDBC 程序
allway2的博客
07-23 210
我们正在使用Oracle数据库,但您可以使用任何具有所需信息的数据库。要获取表的记录,我们需要ResultSet对象并使用ResultSet的getXxx(-)方法,我们可以获取表的详细信息。现在,在这篇文章中,我们将发布一个Java程序来使用PreparedStatement对象选择和显示记录。注意-在开发JDBC应用程序时,不建议在SQL查询中使用*,因此不建议使用。现在让我们开发另一个JDBC程序,它将根据给定的值选择行并仅显示那些行的详细信息。...
JAVA数据库一般操作
zhbzhbzhbbaby的博客
07-13 288
主类import java.sql.Connection; import java.sql.PreparedStatement; import java.sql.ResultSet; import java.sql.SQLException; import java.util.List; public class Main { public static void main(Strin...
使用PreparedStatement执行批量插入sql的三种方式以及效率
weixin_45861045的博客
08-01 4998
jdbc学习
preparedStatement问号的理解
张晨光老师的播客
09-21 1889
/** * 根据表名查询总条数; * @param tableName * @return */ public int getCount(String tableName){ String sql="select count(*) from "+tableName; Connection conn=getConnec...
连接数据库出现conn is null可能的问题
qq_63068482的博客
04-20 3110
一,在确保代码正确的前提下,可能是mysql jar包版本太低 二,mysql jar包没问题可能是jdbc.properties出现错误,driveClassname 的内容是固定的为com.mysql.jdbc.Driver,检查是否错误😂😂我就是因为driveClassname的内容少了个jdbc ...
Java程序操作数据库SQLserver详解
热门推荐
冷血之心的博客
03-09 5万+
  (尊重劳动成果,转载请注明出处:https://blog.csdn.net/qq_25827845/article/details/51952823冷血之心的博客) 目录 数据库基本操作:增删改查(CRUD) crud介绍:(增、删、改、查操作) jdbc基本的概念  JDBC的分类: JDBCJava Data Base Connectivity,java数据库连接): J...
JDBC连接数据库时为什么要判断是否为null
weixin_38346215的博客
10-12 1164
一、项目实例 Connection conn = null; Statement stmt = null; try { ... } catch (Exception e) { e.printStackTrace(); } finally { //6、关闭资源,倒序关闭 if(stmt !=null) { stmt.close(); } ...
sql注入攻击实验遇到的问题及解决
05-21
SQL注入攻击是一种常见的网络安全攻击方法,可以通过操纵Web应用程序的SQL查询,来获取非法的访问权限和敏感信息。下面是一些可能遇到的问题及其解决方法: 1. 无法执行SQL注入攻击:可能是因为目标网站已经修复了漏洞或者采取了安全措施。此时需要寻找其他漏洞或者采用更高级的攻击技术。 2. SQL注入攻击只能获取部分数据:可能是因为目标网站的数据库表结构比较复杂,攻击者需要进一步深入挖掘和分析数据结构,才能获取全部数据。 3. SQL注入攻击导致系统崩溃或者数据丢失:可能是因为攻击者未正确评估攻击风险,或者过度利用漏洞导致系统崩溃。此时需要及时停止攻击,并尽快将问题报告给相关负责人员。 4. SQL注入攻击无法成功:可能是因为攻击者未掌握攻击技巧或者未正确构造攻击载荷,需要进一步学习和掌握相关知识。 针对SQL注入攻击,可以采取以下几种防御措施: 1. 对输入数据进行过滤和验证,防止恶意攻击载荷注入到SQL查询中。 2. 对数据库表结构进行优化和规范化,减少SQL注入攻击的风险。 3. 定期更新和升级数据库软件和应用程序,以修复已知的漏洞和安全问题。 4. 加强系统日志监控和审计,及时发现和响应异常行为和事件。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值