Java -- SQL注入

最新推荐文章于 2024-08-01 21:10:16 发布
最新推荐文章于 2024-08-01 21:10:16 发布
阅读量3.7k 收藏 10
点赞数 1
分类专栏: Java 文章标签: 数据库 mysql java jdbc sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tryheart/article/details/108419454
版权

为什么会产生SQL注入问题

举一个简单的SQL注入攻击的例子:

假如我们有一个users表,里面有两个字段username和password。在我们的java代码中我们初学者都习惯用sql拼接的方式进行用户验证。
比如:” select id from users where username = ‘”+username +”’ and password = ‘” + password +”’ ” 这里的username和password都是我们存取从web表单获得的数据。

下面我们来看一下一种简单的注入,如果我们在表单中username的输入框中输入 ’ or 1=1# ,password的表单中随便输入一些东西,假如这里输入123.此时我们所要执行的sql语句就变成了 select id from users where username = ” or 1=1# and password = ‘123’,我们来看一下这个sql,因为1=1是true,后面 and password = ‘123’被注释掉了。所以这里完全跳过了sql验证。(在Mysql中#以后代表注释掉后面的语句

Statement 注入问题

Statement 用于执行不带参数的简单SQL语句,并返回它所生成结果的对象,每次执行SQL语句时,数据库都要编译SQL语句。容易产生SQL注入问题。

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;
 
 
class SqlInjection {
    public static void main(String[] args) {
        String driver = "com.mysql.jdbc.Driver";
        // String url =
        // "jdbc:mysql://localhost:3306/students?useUnicode=true&characterEncoding=UTF-8&useJDBCCompliantTimezoneShift=true&useLegacyDatetimeCode=false&serverTimezone=UTC";
        String url = "jdbc:mysql://localhost:3306/students";
        String user = "root";
        String password = "123456";
        Connection con = null;
        Statement statement = null;
        ResultSet resultSet = null;
 
        try {
            Class.forName(driver);
            con = DriverManager.getConnection(url, user, password);
            if (!con.isClosed()) {
                System.out.println("数据库连接成功");
            }
            statement = con.createStatement();
            String name = "zhangsan";
            // String name = "zhangsan' or 'a' = 'a";
            int age = 20;
//模拟 SQL 注入,采用拼接字符串的形式
            String sqlQuery = "select * from student where age=" + age + " and name='" + name + "'";
            resultSet = statement.executeQuery(sqlQuery);
            while (resultSet.next()) {
                System.out.println("id: " + resultSet.getInt("id") + "  name: " + resultSet.getString("name")
                    + "  age: " + resultSet.getInt("age"));
            }
 
        } catch (ClassNotFoundException e) {
            System.out.println("数据库驱动没有安装");
        } catch (SQLException sqlException) {
            System.out.println("数据库连接失败");
        } finally {
            try {
                if (resultSet != null) {
                    resultSet.close();
                }
                if (statement != null) {
                    statement.close();
                }
                if (con != null) {
                    con.close();
                }
            } catch (SQLException e) {
                System.out.println(e.getMessage());
            }
        }
    }
}

解决办法

PreparedStatement

java中预处理PrepareStatement为什么能起到防止SQL注入的作用
其实是因为SQL语句在程序运行前已经进行了预编译,在程序运行时第一次操作数据库之前,SQL语句已经被数据库分析,编译和优化,对应的执行计划也会缓存下来并允许数据库以参数化的形式进行查询,当运行时动态地把参数传给PreprareStatement时,即使参数里有敏感字符如 or ‘1=1’也数据库会作为一个参数一个字段的属性值来处理而不会作为一个SQL指令,因此可以避免了类似select * from user where name=‘aa’ and password = ‘bb’ or 1 =1;的SQL注入问题的发生。

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;
 
class SqlInjectionPreparedStatement {
    public static void main(String[] args) {
        String driver = "com.mysql.jdbc.Driver";
        String url =
            "jdbc:mysql://localhost:3306/students?useUnicode=true&characterEncoding=UTF-8&useJDBCCompliantTimezoneShift=true&useLegacyDatetimeCode=false&serverTimezone=UTC";
        String user = "root";
        String password = "123456";
        Connection con = null;
        PreparedStatement preparedStatement = null;
        ResultSet resultSet = null;
 
        try {
            Class.forName(driver);
            con = DriverManager.getConnection(url, user, password);
            if (!con.isClosed()) {
                System.out.println("数据库连接成功");
            }
            //对输入内容进行预编译,防止SQL注入
            String sqlQuery = "select * from student where age=? and name=?";
            preparedStatement = con.prepareStatement(sqlQuery);
 
            String name = "zhangsan' or 'a' = 'a";
            int age = 20;
 
            preparedStatement.setInt(1, age);
            preparedStatement.setString(2, name);
            resultSet = preparedStatement.executeQuery();
            while (resultSet.next()) {
                System.out.println("id: " + resultSet.getInt("id") + "  name: " + resultSet.getString("name")
                    + "  age: " + resultSet.getInt("age"));
            }
 
        } catch (ClassNotFoundException e) {
            System.out.println("数据库驱动没有安装");
        } catch (SQLException sqlException) {
            System.out.println("数据库连接失败");
        } finally {
            try {
                if (resultSet != null) {
                    resultSet.close();
                }
                if (preparedStatement != null) {
                    preparedStatement.close();
                }
                if (con != null) {
                    con.close();
                }
            } catch (SQLException e) {
                System.out.println(e.getMessage());
            }
        }
    }
}

SQL 注入检查项

程序员对SQL进行操作的时候拼接了SQL语句并且未过滤参数

检查SQL是否进行了拼接,检查参数是否被过滤

凡是有交互的地方都需要进行检查,都可构建SQL注入语句

星辰流炎
关注
专栏目录
java-sec-code sql注入漏洞分析
weixin_44687621的博客
08-14 507
之前在idea上搭建了项目java security code,并做了点简单的测试。发现虽然有Eureka组件的报错,但是还是能完美地实现简单命令执行漏洞的,今天尝试以下sql注入漏洞。 环境搭建 启动mysql服务,查看连接是否正常,并建立对应的数据库和数据表 如果出现time zone的错误,请提升mysql版本。或将jdbc连接改为 String url = "jdbc:mysql://localhost:3306/sectest?serverTimezone=UTC"; 接下来,开启服务,访问h
java 连接sqlserver使用的java-sqlserver-connect.jar包
04-09
- 使用PreparedStatement而不是Statement,可以防止SQL注入攻击,并提高执行效率,因为数据库可以预编译SQL语句。 - 考虑使用连接池(Connection Pool),如C3P0或HikariCP,以优化数据库连接的创建和管理,减少...
java sql注入l
10-01
package com.tarena.dingdang.filter; 02 03 import java.io.IOException; 04 import java.util.Enumeration; 05 06 import javax.servlet.Filter; 07 import javax.servlet.FilterChain; 08 import javax.servlet.FilterConfig; 09 import javax.servlet.ServletException; 10 import javax.servlet.ServletRequest; 11 import javax.servlet.ServletResponse; 12 import javax.servlet.http.HttpServletRequest; 13 14 public class AntiSqlInjectionfilter implements Filter { 15 16 public void destroy() { 17 // TODO Auto-generated method stub 18 } 19 20 public void init(FilterConfig arg0) throws ServletException { 21 // TODO Auto-generated method stub 22 } 23 24 public void doFilter(ServletRequest args0, ServletResponse args1, 25 FilterChain chain) throws IOException, ServletException { 26 HttpServletRequest req=(HttpServletRequest)args0; 27 HttpServletRequest res=(HttpServletRequest)args1; 28 //获得所有请求参数名 29 Enumeration params = req.getParameterNames(); 30 String sql = ""; 31 while (params.hasMoreElements()) { 32 //得到参数名 33 String name = params.nextElement().toString(); 34 //System.out.println("name===========================" + name + "--"); 35 //得到参数对应值 36 String[] value = req.getParameterValues(name); 37 for (int i = 0; i < value.length; i++) { 38 sql = sql + value[i]; 39 } 40 } 41 //System.out.println("============================SQL"+sql); 42 //有sql关键字,跳转到error.html 43 if (sqlValidate(sql)) { 44 throw new IOException("您发送请求中的参数中含有非法字符"); 45 //String ip = req.getRemoteAddr(); 46 } else { 47 chain.doFilter(args0,args1); 48 } 49 } 50 51 //效验
java-sql注入攻击
weixin_30312563的博客
01-04 234
注射式攻击的原理 SQL注射能使攻击者绕过认证机制,完全控制远程服务器上的数据库SQL是结构化查询语言的简称,它是访问数据库的事实标准。目前,大多数Web应用都使用SQL数据库来存放应用程序的数据。几乎所有的Web应用在后台都使用某种SQL数据库。跟大多数语言一样,SQL语法允许数据库命令和用户数据混杂在一起的。如果开发人员不细心的话,用户数据就有可能被解释成命令,这样的话,远程用户就不仅能向...
java代码审计-SQL的注入
最新发布
s44359487yad的博客
08-01 554
Java里面常见的数据库连接方式有三种,分别是JDBC,Mybatis,和Hibernate。Mybatis: $JDBC连接方式下: +、like、order by。
java当中sql注入详解
萤火虫,点点星光
02-22 3827
(1)代码如下package cn.packa.wwy;import java.sql.Connection;import java.sql.DriverManager;import java.sql.ResultSet;import java.sql.SQLException;import java.sql.Statement;import org.junit.Test;public class...
JAVA代码审计篇-SQL注入
m0_60571990的博客
03-10 1498
JAVA代码审计篇-SQL注入
java SQL注入
点>>滴>>成>>海
10-11 279
1.用户名随便输入 2.密码:1‘  or '1'='1
Java-Edge#Java-Interview-Tutorial#SQL注入1
07-25
解决sql注入sql预编译在服务器启动时,mysql client把sql语句模板(变量采用占位符)发给mysql服务器,mysql服务器对sql语句模板进行编
java-sql-inspector:用于测试Java代码是否存在SQL注入漏洞的实用程序
02-17
Java SQL Inspector是一款强大的工具,专为检测Java代码中的SQL注入漏洞而设计。SQL注入是一种常见的安全威胁,攻击者可以通过在输入字段中插入恶意SQL代码来操纵数据库查询,从而获取敏感信息、修改数据甚至完全...
mysql-connector-java-8.0.23.jar
12-18
6. **预编译语句**:提高执行效率,通过预编译SQL语句来防止SQL注入攻击。 7. **游标支持**:允许双向滚动和处理大数据集。 8. **连接池支持**:可以配合像C3P0、HikariCP或Apache DBCP等连接池组件,有效管理数据库...
JAVA实现sql注入点检测
04-24
JAVA实现的网络爬虫以及对爬到的页进行sql注入的判断
SQL注入过滤 (Java版)
11-17
SQL 安全注入漏洞过滤器类 Java实现 Java类实现,以及配置文件web.xml
SQL注入安全问题解决方案-JAVA
11-25
SQL注入安全问题解决方案-JAVA SQL注入安全问题解决方案-JAVA
Java应用程序中的SQL注入
最佳 Java 编程
05-12 665
在本文中,我们将讨论什么是SQL注入攻击。 以及它如何影响任何Web应用程序使用后端数据库。 在这里,我专注于Java Web应用程序。 开放Web应用程序安全项目(OWAP)列出了SQL注入是Web应用程序的主要漏洞攻击。 黑客将Web请求中的SQL代码注入Web应用程序并控制后端数据库,即使后端数据库未直接连接到Internet也是如此。 我们将看到如何解决和防止Java Web App...
java中有关sql注入的问题
08-30 1866
package web; import java.io.IOException; import java.sql.Connection; import java.sql.ResultSet; import java.sql.Statement; import javax.servlet.ServletException; import javax.servlet.http.HttpServle
Java代码审计之SQL注入
tpaer的博客
12-05 2418
复现了JavaJDBC及Mybatis框架采用预编译和非预编译时可能存在SQL注入的几种情况,并给予修复建议。
JAVA代码审计之SQL注入,基于Spring boot和jdbc以及mybatis
GXcodes的博客
08-02 3174
本节讲述JavaWeb代码审计中存在SQL注入漏洞的情况。基于spring boot,mysql,两种连接方式:jdbc和mybatis。代码比较多,适合自己创建项目,跟着走一遍,如果只想了解原理,可以忽略代码,只看大概即可。比如Controller类或者sql语句的编写。SQL注入漏洞是对数据库进行的一种攻击方式。其主要形成方式是在数据交互中,前端数据通过后台在对数据库进行操作时,由于没有做好安全防护,导致攻击者将恶意代码拼接到请求参数中,被当做SQL语句的一部分进行执行,最终导致数据库被攻击。
java中的sql注入实力_SQL注入Java
weixin_29012677的博客
02-27 102
前面这篇文章介绍了SQL注入,并且主要就PHP的内容做了实验:http://www.cnblogs.com/charlesblc/p/5987951.html还有这篇文章对处理方案做了介绍(PreparedStatement in PDO or mysqli)http://www.cnblogs.com/charlesblc/p/5988919.html那么对于Java是怎样的情况呢?首先,尽量避...
java sql注入 正则_Java-java程序防止sql注入的方法
05-25
Java程序防止SQL注入的方法有以下几种: 1. PreparedStatement:使用PreparedStatement代替Statement,PreparedStatement使用占位符(?)来表示参数,这样可以有效防止SQL注入攻击。 2. 使用Java的正则表达式对...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值