SQL注入

最新推荐文章于 2016-09-17 16:52:51 发布
最新推荐文章于 2016-09-17 16:52:51 发布
阅读量264 收藏
点赞数
分类专栏: JDBC 文章标签: sql注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wangws506/article/details/52557854
版权

1.登陆程序
login.jsp —- LoginServlet(web层) —- UserService(业务层) —- UserDAO(数据层)
1.1 login.jsp

<%@ page language="java" contentType="text/html; charset=UTF-8"
    pageEncoding="UTF-8"%>
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>Insert title here</title>
</head>
<body>
<h1>登陆表单</h1>
<h3 style="color:red;">${msg }</h3>
<form action="/day13/login" method="post">
    <table>
        <tr>
            <td>用户名</td>
            <td><input type="text" name="name"/> </td>
        </tr>
        <tr>
            <td>密码</td>
            <td><input type="password" name="pwd" /></td>
        </tr>
        <tr>
            <td colspan="2">
                <input type="submit" value="登陆"/>
            </td>
        </tr>
    </table>
</form>
</body>
</html>

1.2 LoginServlet(web层)

public void doGet(HttpServletRequest request, HttpServletResponse response)
            throws ServletException, IOException {
        // 获得form表单对象 封装JavaBean
        request.setCharacterEncoding("utf-8");
        String name = request.getParameter("name");
        String pwd = request.getParameter("pwd");

        User user = new User();
        user.setName(name);
        user.setPwd(pwd);

        // 传递 JavaBean 给 业务层
        UserService userService = new UserService();
        User existUser = userService.login(user);

        // 根据结果决定跳转页面
        if (existUser == null) {
            // 登陆失败
            request.setAttribute("msg", "用户名或者密码错误");
            request.getRequestDispatcher("/login.jsp").forward(request,
                    response);
            return;
        } else {
            // 登陆成功
            request.getSession().setAttribute("existUser", existUser);
            request.getRequestDispatcher("/welcome.jsp").forward(request,
                    response);
        }
    }

1.3 UserService(业务层) 

public User login(User user) {
        // 查询 将 user对象传递 DAO
        //根据用户名 和 密码查询其它信息 如果返回null证明 用户名或者密码错误
        UserDAO userDAO = new UserDAO();
        return userDAO.login(user);
    }

1.4 UserDAO(数据层)

public User login(User user) {
        // JDBC查询
        User existUser = null;
        Connection conn = null;
        PreparedStatement stmt = null;//预编译
        ResultSet rs = null;
        try {
            conn = JDBCUtils.getConnection();
            String sql = "select * from users where name = ? and pwd = ?"; // 数据库编译时
            stmt = conn.prepareStatement(sql); // 将sql 发送给数据库进行编译
            // 设置参数
            stmt.setString(1, user.getName()); // or -- 传入数据值,不会作为关键字 --防止注入
            stmt.setString(2, user.getPwd());

            // 因为之前 将sql 传递数据库
            rs = stmt.executeQuery();
            // 如果登陆成功 只有一条记录
            if (rs.next()) {
                existUser = new User();
                existUser.setId(rs.getInt("id"));
                existUser.setName(rs.getString("name"));
                existUser.setPwd(rs.getString("pwd"));
                existUser.setEmail(rs.getString("email"));
            }
        } catch (Exception e) {
            e.printStackTrace();
        }

        return existUser;
    }

2.SQL注入
SQL注入
在form中提交信息时,根据SQL语法特殊性,编写关键字,而这些关键字拼接到sql中会改变原来sql运行效果 — 达到攻击目的
String sql = “select * from users where name = ” and pwd =””;
如果用户输入关键内容,改变登陆结果
用户名: ddd’ or ‘1’=’1
密码:xxx
select * from users where name = ‘ddd’ or ‘1’=’1’ and pwd =’xxx’

用注释注入 –
用户名: ddd’ –
密码: xxx
select * from users where name = ‘ddd’ – ’ and pwd =’xxx’

不知道账户登陆
用户名: xxx’ or ‘1’=’1’ –
密码: xxx
select * from users where name = ‘xxx’ or ‘1’=’1’ – ’ and pwd =’xxx’

在Java语言解决SQL 注入 —- 使用预编译 PreparedStatement
参见上面的登陆程序。

ts_Maple
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JSP基本登录模块Ⅴ(防SQL注入攻击)
samsunge808的专栏
02-11 1790
 在JSP基本登录模块Ⅳ中,如果在密码栏输入“ or 1=1”,我们发现不知道密码也可以登录成功。这是因为当我们的密码为“ or 1=1”时,SQL语句变为:Select * FROM member Where username=magci and password= or 1=11=1是永真的,这条SQL语句是能通过验证的。这就是SQL注入攻击。为了防止S
sql注入详解
热门推荐
good good study
05-05 20万+
SQL注入(SQL Injection)是一种常见的Web安全漏洞,主要形成的原因是在数据交互中,前端的数据传入到后台处理时,没有做严格的判断,导致其传入的“数据”拼接到SQL语句中后,被当作SQL语句的一部分执行。 从而导致数据库受损(被脱库、被删除、甚至整个服务器权限陷)。 即:注入产生的原因是后台服务器接收相关参数未经过滤直接带入数据库查询...
sql注入攻击流量情况
07-18
sql注入攻击流量情况
sql注入讲解ppt.pptx
08-10
SQL 注入基础知识总结 SQL 注入是指 web 应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在 web 应用程序中事先定义好的查询语句的结尾上添加额外的 SQL 语句,在管理员不知情的情况下实现非法...
pangolinsdl—sql注入工具
06-20
pangolinsdl—sql注入工具 很好用的sql注入工具 界面简洁好用 使用方便
metinfo 后台sql注入1
08-03
《MetInfo 后台SQL注入漏洞详解》 MetInfo,一款基于PHP和MySQL构建的内容管理系统,因其功能丰富和易于使用而广受欢迎。然而,随着技术的发展,安全问题也日益凸显。本文将深入探讨MetInfo 6.1.0版本中的一个SQL...
DB2数据库SQL注入手册1
08-08
DB2数据库SQL注入手册 DB2数据库SQL注入手册是指在使用DB2数据库时,如何检测和防止SQL注入攻击的一份指南。SQL注入是一种常见的Web应用程序安全漏洞,攻击者可以通过在输入字段中 inject恶意SQL代码来访问或控制...
JDBC查询指定条件的数据
wangws506的博客
05-08 9796
使用select语句的条件查询,需要用到where子句。package qddx.JDBC; import java.sql.*; public class QueryById { public bbsVo QuerybbsVoById(int id){ bbsVo vo = null; Connection conn = null; Prepa
JDBC修改表数据
wangws506的博客
05-08 4230
修改数据时用到update语句,使用这个语句时也要有条件的,指定修改某一行的数据,没有条件判断,则修改全部。package qddx.JDBC; import java.sql.*; public class UpdatebbsVo { public void update(bbsVo vo){ Connection conn = null; PreparedS
JDBC删除表数据
wangws506的博客
05-08 2729
delete 必须使用where 条件指定删除哪一行数据。通常用具有唯一性的主键进行标示。package qddx.JDBC; import java.sql.*; public class DeletebbsVo { public void deletebbsVo(int id){ Connection conn = null; PreparedStatem
JDBC使用事务实例
wangws506的博客
05-08 2123
package qddx.JDBC; import java.sql.*; public class useTransaction { public static void main(String[] args) { // TODO Auto-generated method stub Connection conn = null; Statem
JDBC向数据库中插入数据
wangws506的博客
05-08 969
新建数据库并插入相关数据create database bbs;use bbs;create table article ( id int primary key auto_increment, pid int, rootid int, title varchar(255), cont text, pdate datetime, isleaf int );insert into article
JDBC查询数据库中的数据
wangws506的博客
05-08 731
只用JDBC技术查询表中的全部内容时,需要使用查询全部的SQL语句,把查询结果放到List集合中。package qddx.JDBC; import java.util.*; import java.sql.*; //查询操作 public class Query { public List<bbsVo> showBBS(){ Connection conn = null;
JDBC事务使用实例(二)
wangws506的博客
09-17 639
MySQL和Oracle比较 MySQL数据库 默认情况下一条SQL就是一个单独事务,事务是自动提交的。 Oracle 数据库 默认情况下事务不是自动提交,所有SQL都将处于一个事务中,你需要手动进行commit提交/rollback回滚。 事务使用 2.1 MySQL中使用事务 start transaction 开启事务(所有对数据表增加、修改、删除操作 临时表进行) rollback
DAO模式
wangws506的博客
09-16 498
DAO模式:数据层用DAO模式完全将数据源底层实现封装起来,业务层开发人员不需要了解底层实现。通过对象操作完成对数据源增删改查! Business Object :代表数据的使用者 (业务层程序) DataAccessObject :抽象并封装了对底层数据源的操作 (数据层程序) DataSource 数据源 — mysql数据库 TransferObject 表示数据的Java Bean B
sql注入sql注入
最新发布
05-02
SQL注入是一种常见的安全漏洞,它允许攻击者通过在应用程序的输入字段中插入恶意的SQL代码来执行未经授权的数据库操作。攻击者可以利用这个漏洞来绕过身份验证、获取敏感数据、修改数据或者执行其他恶意操作。 为了...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值