存在sql注入式攻击的最差实践代码(Java新手注意了)

最新推荐文章于 2023-03-10 19:28:41 发布
最新推荐文章于 2023-03-10 19:28:41 发布
阅读量201 收藏
点赞数
分类专栏: java 文章标签: SQL Java MySQL JDBC Hibernate
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wangpingjing/article/details/83947143
版权
下面是自己以前初学JDBC时候写的代码,存在sql注入漏洞。
不安全因素:statement。。。应该用Preparedstatement来代替statement,这样我们就可以使用占位符作为实参来定义sql语句,从而避免sql注入的攻击。
        当然也可以用statement,你得注意你的sql的写法,要是下例肯定不行。还得对url恶意传入参数进行过滤(SQL元字符处理)。。。这样就比较麻烦了,而且也无法保证绝对的安全。
        我们在用hibernate等框架的时候(hql语句),避免sql注入攻击也是一样的,关键是不要用string来构造sql语句,不管什么框架,还是纯JDBC,只要用Preparedstatement就OK。。。 一定要用占位符作为实参来构造sql(或hql)语句。
package cn.zhd;
import java.io.*;
import org.apache.log4j.*;
import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.SQLException;
import java.sql.Statement;
import java.sql.ResultSet;

public class LoginDemo {
  
   public void execute(String user,String pass){
       boolean foo=false;
       try{
           Class.forName("com.mysql.jdbc.Driver");
           Connection con=DriverManager.getConnection("jdbc:mysql://localhost/students","root","");
           Statement stam=con.createStatement();
            //存在注入攻击漏洞:select * from login where user='' or'x'='x' or 'x'='' and '1'
            ResultSet rs=stam.executeQuery("select * from login where user='" + user + "' and pass='"+ pass + "'");
           while(rs.next()){

                   foo=true;
              
           }
           if(foo){
               System.out.println("登陆成功");
           }
           else
           {
               System.out.println("用户名密码错误");
           }

       }catch(ClassNotFoundException e){
           e.printStackTrace();
       }catch(SQLException e){
           e.printStackTrace();
       }
      
   }
   public static void main(String[] args){
       Logger log=Logger.getLogger(LoginDemo.class);
       try{
           LoginDemo ld=new LoginDemo();
           BufferedReader bf=new BufferedReader(new InputStreamReader(System.in));
           log.info("请输入用户名");
           String bf_str=bf.readLine();
           log.info("请输入密码");
           String bf2_str=bf.readLine();
           bf.close();
           ld.execute(bf_str,bf2_str);
       }catch(IOException e){
           e.printStackTrace();
       }
      
   }
}
当输入用户名的时候输入:' or 'x'='x' or '2'='
密码随便输.....
成功登陆了吧.....
(转)
wangpingjing
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
sql注入网站源码
04-09
挺好的带有sql注入漏洞的asp网站源码,可以自行搭建环境。
java-sql注入攻击
weixin_30312563的博客
01-04 226
注射攻击的原理 SQL注射能使攻击者绕过认证机制,完全控制远程服务器上的数据库。SQL是结构化查询语言的简称,它是访问数据库的事实标准。目前,大多数Web应用都使用SQL数据库来存放应用程序的数据。几乎所有的Web应用在后台都使用某种SQL数据库。跟大多数语言一样,SQL语法允许数据库命令和用户数据混杂在一起的。如果开发人员不细心的话,用户数据就有可能被解释成命令,这样的话,远程用户就不仅能向...
SQL注入漏洞演示源代码
01-12
SQL注入漏洞演示源代码 更多免费资源请查看:http://download.csdn.net/user/php_fly
java sql攻击_存在sql注入攻击最差实践代码Java新手注意了)
weixin_33930436的博客
02-16 88
package cn.zhd;import java.io.*;import org.apache.log4j.*;import java.sql.Connection;import java.sql.DriverManager;import java.sql.SQLException;import java.sql.Statement;import java.sql.ResultSet;publ...
asp.net下检测SQL注入攻击代码
01-02
代码如下: 代码如下:using System; using System.Text; using System.Web; using System.Web.UI.WebControls; using System.Text.RegularExpressions; namespace Common { /// <summary> /// 页面数据校验类 /// ...
SQLInner.zip 防止 SQL 注入攻击
06-30
SQL 注入攻击是指利用软件设计上的漏洞,在目标服务器上运行 SQL 命令以进行其他方攻击,动态生成 SQL 命令时没有对用户输入的数据进行验证,本实例为了使程序更加安全,使用 C#实现防止 SQL 注入攻击功能。...
SQL防注入攻击代码
06-12
通过防注入字符串实现SQL防注入攻击代码
JAVA代码审计之SQL注入
06-14
本章节课程主要从以下三方面详细的介绍了如何针对java代码sql注入的审计方法及黑盒验证: 1、JDBC连接方sql注入存在的形态及修复方法,like、in情况在如何安全使用预处理来防范sql注入 2、在使用Mybatis框架...
PHP代码审计-sql注入
博客地址 www.sec0nd.top
10-24 1287
最近想学代码审计了,但是我本身的代码水平不高,学的比较基础,适合入门级别的朋友们阅读先学php的审计,后面再学java的吧(java只懂一点点)就不太多的赘述漏洞和代码的基础了,遇到不会的搜索其他人的文章就可以学会的入门我是看的代码审计相关的一些知识后面实战的代码也在这里可以下载的。
SQL注入过滤 (Java版)
11-17
SQL 安全注入漏洞过滤器类 Java实现 Java类实现,以及配置文件web.xml
JAVA中防止SQL注入攻击类的源代码
04-26
JAVA中防止SQL注入攻击类的源代码(包含网页版和程序代码两部分)
java mysql sql注入攻击_java-sql注入攻击
weixin_31649177的博客
01-19 77
注射攻击的原理SQL注射能使攻击者绕过认证机制,完全控制远程服务器上的数据库。SQL是结构化查询语言的简称,它是访问数据库的事实标准。目前,大多数Web应用都使用SQL数据库来存放应用程序的数据。几乎所有的Web应用在后台都使用某种SQL数据库。跟大多数语言一样,SQL语法允许数据库命令和用户数据混杂在一起的。如果开发人员不细心的话,用户数据就有可能被解释成命令,这样的话,远程用户就不仅能向We...
攻击JavaWeb应用——4、SQL注入(下)
Fly_鹏程万里
05-17 1387
注:这一节主要是介绍Oracle和SQL注入工具相关,本应该是和前面的Mysql一起但是由于章节过长了没法看,所以就分开了。0x00 OracleOracle Database,又名Oracle RDBMS,或简称Oracle。是甲骨文公司的一款关系数据库管理系统。Oracle对于MYSQL、MSSQL来说意味着更大的数据量,更大的权限。这一次我们依旧使用上面的代码,数据库结构平移到Oracle上...
SQL 注入
365的足迹
08-18 512
sql注入 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。[1] 比如先前的很多影视网站泄露VIP会员。。。
一种新的攻击方法——Java Web表达注入
weixin_33957648的博客
11-16 111
【转】http://blog.csdn.net/kk_gods/article/details/51840683 1 2 3 4 5 java--Groovy命令执行: staticvoidmain(args){ defcmd="calc"; println"${cmd.execute()}"; } ...
2020-10-10
不二的博客
10-10 963
一:什么是sql注入   SQL注入是比较常见的网络攻击之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编写时的疏忽,通过SQL语句,实现无账号登录,甚至篡改数据库。 二:SQL注入攻击的总体思路    1:寻找到SQL注入的位置   2:判断服务器类型和后台数据库类型   3:针对不同的服务器和数据库特点进行SQL注入攻击 三:SQL注入攻击实例 String sql = "select * from user_table where username= ' "+us..
JAVA代码审计篇-SQL注入
m0_60571990的博客
03-10 1318
JAVA代码审计篇-SQL注入
SQL注入
CDLittleBoy的博客
05-07 2222
1、SQL注入最简单的原理代码 $id=$_GET['id']; $sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1"; ​ 注入点在于’id′,id',id′,id为接收传参的变量,基本思路是在传参中闭合前面的单引号,注释掉后面的单引号。 2、查找注入点的办法 ?id=1' #添加单引号就行传参闭合 ?id=1' [or/and] '1=2 #使用逻辑与或者逻辑或,判断where注入条件 3、常用注释符号 # --+ #URL解码后,“+”被解码为“
java写一段代码来检测是否存在SQL注入
最新发布
05-12
下面是一个简单的Java代码示例,用于检测SQL注入攻击: ```java public static boolean isSafe(String str) { // 利用正则表达检测是否包含SQL特殊字符 String regex = ".*[;:'\"\\\\].*"; if (str.matches...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值