演示Sql注入

已于 2022-09-21 09:25:38 修改
阅读量330 收藏 1
点赞数 2
于 2022-05-18 14:18:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_57907966/article/details/124841364
版权

MySql 用户表 SQL注入 PreparedStatement 数据安全
关键词由CSDN通过智能技术生成

在MySql中新建一个用户表user,存入用户和密码

import java.sql.*;

//演示SQL注入
public class JDBCDEMO4 {
    public static void main(String[] args) throws Exception {
        //1.注册驱动
    //   Class.forName("com.mysql.cj.jdbc.Driver");

        //2.获取连接
        //如果连接的是本机的mysql服务器,并且mysql的默认端口号是3306,则url可以写为jdbc:mysql:///db1
        String url="jdbc:mysql://127.0.0.1:3306/db1?serverTimezone=GMT&useSSL=false";
        String username="root";
        String password="20020630";
        Connection conn=DriverManager.getConnection(url,username,password);

        String name="张三";//用户的账号
        String pwd="1234";//用户的密码
        //3.定义sql

        String sql="select * from user where name='"+name+"'and pwd='"+pwd+"'";
        System.out.println(sql);

        Statement statement = conn.createStatement();
        ResultSet resultSet = statement.executeQuery(sql);
        if(resultSet.next()){
            System.out.println("登录成功");

        }
        else {
            System.out.println("登录失败");
        }

        //7.释放资源
        statement.close();
        conn.close();

    }
}

 随便写一个账号

密码改为

'or '1'='1
import java.sql.*;

//演示SQL注入
public class JDBCDEMO4 {
    public static void main(String[] args) throws Exception {
        //1.注册驱动
    //   Class.forName("com.mysql.cj.jdbc.Driver");

        //2.获取连接
        //如果连接的是本机的mysql服务器,并且mysql的默认端口号是3306,则url可以写为jdbc:mysql:///db1
        String url="jdbc:mysql://127.0.0.1:3306/db1?serverTimezone=GMT&useSSL=false";
        String username="root";
        String password="20020630";
        Connection conn=DriverManager.getConnection(url,username,password);

        String name="ddwqdsdasd";//用户的账号
        String pwd="'or '1'='1";//用户的密码
        //3.定义sql

        String sql="select * from user where name='"+name+"'and pwd='"+pwd+"'";
        System.out.println(sql);

        Statement statement = conn.createStatement();
        ResultSet resultSet = statement.executeQuery(sql);
        if(resultSet.next()){
            System.out.println("登录成功");

        }
        else {
            System.out.println("登录失败");
        }

        //7.释放资源
        statement.close();
        conn.close();

    }
}

 此时的sql语句变为了显示能够成功登录

使用PrepareStatement防止sql的注入

import java.sql.*;

//PrepareStatement
public class JDBCDEMO5 {
    public static void main(String[] args) throws Exception {
        //1.注册驱动
    //   Class.forName("com.mysql.cj.jdbc.Driver");

        //2.获取连接
        //如果连接的是本机的mysql服务器,并且mysql的默认端口号是3306,则url可以写为jdbc:mysql:///db1
        String url="jdbc:mysql://127.0.0.1:3306/db1?serverTimezone=GMT&useSSL=false";
        String username="root";
        String password="20020630";
        Connection conn=DriverManager.getConnection(url,username,password);

        String name="sdadsadsadasd";//用户的账号
        String pwd="'or '1'='1";//用户的密码
        //3.定义sql

        String sql="select * from user where name=? and pwd=?";
        System.out.println(sql);

        PreparedStatement statement = conn.prepareStatement(sql);
        statement.setString(1,name);
        statement.setString(2,pwd);
        ResultSet resultSet = statement.executeQuery();


        if(resultSet.next()){
            System.out.println("登录成功");

        }
        else {
            System.out.println("登录失败");
        }

        //7.释放资源
        statement.close();
        conn.close();

    }
}

白小筠
关注
SQL语句
weixin_45415867的博客
10-20 321
1:写一个包含连接和分组的sql 2:写一个包含连接和case when的sql 3:写一个包含连接和Cast()函数的sql 4:写一个包含连接和Convert()函数的sql 5:写一个包含子查询的sql 6:写一个视图的sql 7:创建索引的sql 8:分页存储过程sql 9:写一个触发器sql 9:写一个触发器sql CREATE TRRIGER ...
SQL注入原理及其简单演示
weixin_64066158的博客
04-24 6689
一 . SQL注入SQL injection:通过把SQL命令插入到web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器恶意执行的SQL命令。具体来说就是利用现有的程序将Sql命令注入到后台数据库引擎并且执行,它可以通过web表单中输入(恶意)的SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照 设计者意图去执行SQL语句。 SQL注入原理: 攻击者通过web 应用程序利用SQL语句或字符串将非法的数据插入到服务端数据库中,获取数据库的用户管理权限,然后将数据库管理用户权限提.
mysql中注入演示_SQL注入(案例演示
weixin_30921875的博客
01-19 267
SQL注入(案例演示)一、SQL注入是什么?在程序事先定义好的 查询语句中添加额外的SQL语句 ,在管理员不知情的情况下实现非法操作,以此来实现 欺骗数据库服务器执行非授权的任意查询 ,从而进一步得到相应的数据信息。SQL注入通俗说就是:通过SQL语句找到破绽,进行非法的数据读取。二、实现步骤说明:用一个简单的查询案列说明 SQL 注入案例使用的为:Java语言与MySQL数据库1.新建数据表1....
SQL注入(案例演示
二师兄想吃肉的博客
01-09 1788
一、SQL注入是什么? 二、实现步骤 1.新建数据表 2.SQL注入分析 3.代码案例 三、防止SQL注入的方式
mysql中注入演示_关于sql注入的简要演示(入坑抛砖)
weixin_35676977的博客
01-19 99
首先可能大家都会问什么是sql?Sql是数据库的一种类型,是用来存储网站数据的。每当我们点开一个网站,就会从网站的数据库中获取相关的内容。我们来梳理一下访问网页的简图:看完这个以后,我们发现一个问题,当我们对发送数据这块动足够脑筋的时候,只要输入合理是可以做很多事情的,我们可以利用其方式获取很多内容。接下来我们来讲解一下“ ' ”这个符号在sql中的运用首先'在sql中闭合一句话结束,如果这句话用...
SQL注入演示
zhansan的博客
03-19 1423
2种SQL注入演示,不知道密码也可以登录 -- 正常登录 select * from login1 where username ='zhangsan'and password = '123' -- 用户名任意,密码输入: ' or '1'='1 select * FROM login1 where username = 'xyz' and password = '' or '1'='1' -- 用户名zhangsan已知的情况下,用户名输入: zhangsan' -- (zhangsan' 空格--空格)
SQL注入漏洞演示源代码
07-15
在这个"SQL注入漏洞演示源代码"中,我们可以深入理解这种攻击方式的工作原理,并学习如何防止它。 SQL注入是通过在输入字段中插入恶意的SQL语句来利用不安全的Web应用程序的漏洞。当应用程序将用户输入的数据直接...
关于sql注入的简要演示(入坑抛砖)
09-09
本文将通过一个简单的示例来解释SQL注入的工作原理和演示如何利用它。 首先,我们需要理解SQL的基本概念。SQL,全称Structured Query Language,即结构化查询语言,是用于管理和操作关系型数据库的标准语言。当我们...
JDBC-05:PrepardeStatement解决SQL注入问题
最新发布
小贺想改变
11-05 350
PrepardeStatement解决SQL注入问题
Sql中的并(UNION)、交(INTERSECT)、差(minus)、除去(EXCEPT)详解
beidaol的专栏
05-06 7823
限制条件 (1)所有查询中的列数和列的顺序必须相同。 (2)比较的两个查询结果集中的列数据类型可以不同但必须兼容。 (3)比较的两个查询结果集中不能包含不可比较的数据类型(xml、text、ntext、image 或非二进制 CLR 用户定义类型)的列。 (4)返回的结果集的列名与操作数左侧的查询返回的列名相同。ORDER BY 子句中的列名或别名必须引用左侧查询返回的列名。 (5)不能...
java中PreparedStatementStatement详细讲解
热门推荐
一只苟延残喘的卑微蝼蚁
03-05 13万+
大家都知道PreparedStatement对象可以防止sql注入,而Statement不能防止sql注入,那么大家知道为什么PreparedStatement对象可以防止sql注入 ...
PreparedStatement ps = conn.prepareStatement(sql);在eclipse中跑不通的问题,http报错500
XRN的博客
05-20 3万+
博主在eclipse中运行tomcat跑web项目进行学习的时候,愣是发现老是报错500,500不是404这种连不上数据库的问题。百度了好多都是说标题这句话传的是空指针导致错误,可是我感觉我的问题跟这个空指针有点不一样的。具体代码如下public class UserDAO { //用户名、密码、手机号 //数据的插入 //sql // insert into 表名(字段名1,字段名2,....
简单易懂SQL注入讲解
weixin_56606020的博客
03-14 787
SQL注入 注入原理:通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。 数值型注入: 当输入参数为数字时候可能为数值型,列如:https://123abc.com/tes.php?id=1我们可以在参数后面加 ’ 判断是否存在注入点,如果加 ‘ 后页面报错则有可能存在注入点 也可以用 and 1=1 页面正常 and 1=2 页面出错来判断是否存在.
CTFSHOW-sql注入
Yb_140的博客
08-13 2546
web171 最简单的sql注入,先演示基本操作 payload: -1' union select 1,2,database() --+ //得到数据库名为ctfshow_web -1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='ctfshow_web' --+ //得到数据表名为ctfshow_user -1' union select
sql的逻辑与或非
dhq_blog的博客
07-20 1万+
4.5  逻辑运算符  逻辑运算符包括:AND(与)、OR(或)、NOT(非),
java-7: 使用JDBC驱动连接mysql数据库遇到的若干问题
xushaozhang的专栏
10-03 789
如下在eclipse(Java EE IDE)使用JDBC连接MySql数据库,进行一个简单的select程序,只要能查询数据库,其他的都好办。 本文涉及两类问题:第一类是驱动报错,第二类是数据库连接报错。 以下代码是完整的驱动和数据库连接配置。 package org.szxu.volatileTest; import java.sql.Connection; import java....
sql中的 or 和 and
玩垃圾的人
07-22 7494
前言     在以前的项目中,都没有使用过or,这次用到了,就花时间来整理下. 使用     这里首先要说明的是优先级的问题,     or的优先级是倒一,     and的优先级是倒二. 例子1 SELECT * FROM USER WHERE 1=1 OR ID='1';     这里1=1查出的是所有的数据,id=1,包含在1=1中.所以这里查出的是所有数据. 例子2 ...
sql 求和并且将求和条件作为查询条件
ITgirl1的博客
07-06 3093
上代码 查询某张表中多批物资的库存数,并且要求库存数>0 SELECT operation_warehouse,mat_id,mat_num,specification_type,mat_type,unit,sum(stock_num) as tt,sum(balance_num), sum(occupy_num) FROM `ws_mat_stock` GROUP BY operation_warehouse,mat_id,mat_num,specification_type,mat_ty
SQL注入技巧与演示详解
资源摘要信息:"本次分享的主题是关于SQL注入演示,这一主题旨在向IT专业人员和有兴趣的读者展示SQL注入的概念、原理以及如何进行演示SQL注入是一种常见的网络攻击手段,它利用了应用程序中安全漏洞,通过将恶意...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值