mysql无论输入什么语句都报错_mysql语句的注入错误是什么?

最新推荐文章于 2021-05-19 18:56:38 发布
最新推荐文章于 2021-05-19 18:56:38 发布
阅读量235 收藏
点赞数
文章标签: SQL注入 数据库安全 PrepareStatement 数据过滤 安全防护
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_28914869/article/details/113458439
版权

mysql语句的注入式错误就是利用某些数据库的外部接口将用户数据插入到实际的SQL语言当中,从而达到入侵数据库乃至操作系统的目的。攻击者利用它来读取、修改或者删除数据库内的数据,获得数据库中用户资料和密码等信息,更严重会获得管理员的权限。

55e67018bdb42013c76ebe1d5596019c.png

sql注入式错误(SQL injection)SQL Injection 就是利用某些数据库的外部接口将用户数据插入到实际的数据库操作语言(SQL)当中,从而达到入侵数据库乃至操作系统的目的。它的产生主要是由于程序对用户输入的数据没有进行严格的过滤,导致非法数据库查询语句的执行。

《深入浅出 MySQL》

危害

攻击者利用它来读取、修改或者删除数据库内的数据,获得数据库中用户资料和密码等信息,更严重的就是获得管理员的权限。

例子//注入式错误

public static void test3(String name,String passward){

Connection connection = null;

Statement st = null;

ResultSet rs = null;

try {

// 加载JDBC 驱动

Class.forName("com.mysql.jdbc.Driver");

// 获得JDBC 连接

String url = "jdbc:mysql://localhost:3306/tulun";

connection = DriverManager.getConnection(url,"root","123456");

//创建一个查询语句

st = connection.createStatement();

//sql语句

String sql = "select * from student where name = '"+ name+"' and passward = '"+passward+"'";

rs = st.executeQuery(sql);

if(rs.next()){

System.out.println("登录成功。");

}else{

System.out.println("登录失败。");

}

} catch (Exception e) {

e.printStackTrace();

}

}

public static void main(String[] args) {

test3("wjm3' or '1 = 1","151515");

}

数据库信息

7b831f186d47b31e73870543857f56e0.png

如上面的代码所示,用户名为wjm3’ or '1 = 1,密码为151515,从数据库中可以看出我们没有这样的用户,本来应该显示登录失败,但是结果却是登陆成功,因为or '1 = 1 已经不是用户名里面的内容了,它现在为SQL 语句里面的内容,不论如何,结果都为true,等于不用输密码都可以登录。这里就产生了安全问题。

解决方法

1. PrepareStatement//注入式错误

public static void test3(String name,String passward){

Connection connection = null;

PreparedStatement st = null;

ResultSet rs = null;

try {

// 加载JDBC 驱动

Class.forName("com.mysql.jdbc.Driver");

// 获得JDBC 连接

String url = "jdbc:mysql://localhost:3306/tulun";

connection = DriverManager.getConnection(url,"root","123456");

//创建一个查询语句

String sql1 = "select * from student where name = ? and passward = ?";

st = connection.prepareStatement(sql1);

st.setString(1,name);

st.setString(2,passward);

//sql语句

//String sql = "select * from student where name = '"+ name+"' and passward = '"+passward+"'";

rs = st.executeQuery();

if(rs.next()){

System.out.println("登录成功。");

}else{

System.out.println("登录失败。");

}

} catch (Exception e) {

e.printStackTrace();

}finally{

try {

connection.close();

st.close();

rs.close();

} catch (SQLException e) {

e.printStackTrace();

}

}

}

public static void main(String[] args) {

test3("wjm3' or '1 = 1","151515");

}

上面这个代码不管name 参数是什么,它都只是name 参数,不会作为sql语句的一部分来执行,一般来说推荐这个方法,比较安全。

2.自己定义函数进行校验整理数据使之变得有效

拒绝已知的非法输入

只接受已知的合法输入所以如果想要获得最好的安全状态,目前最好的解决办法就是对用户提交或者可能改变的数据进行简单分类,分别应用正则表达式来对用户提供的输入数据进行严格的检测和验证。

其实只需要过滤非法的符号组合就可以阻止已知形式的攻击,并且如果发现更新的攻击符号组合,也可以将这些符号组合增添进来,继续防范新的攻击。特别是空格符号和其产生相同作用的分隔关键字的符号,例如“/**/”,如果能成功过滤这种符号,那么有很多注入攻击将不能发生,并且同时也要过滤它们的十六进制表示“%XX”。

指尖流逝先森
关注
shell执行某mysql报错_shell脚本执行mysql语句出现的问题
weixin_32047493的博客
02-11 1349
shell脚本执行mysql语句出现的问题,问群里的大牛的到解答,是单引号问题,改成双引号即可#小提示(对本主题没什么关联):ubuntu目前使用的是dash,导致一些for(()函数无法正常执行,sudo dpkg-reconfigure dash选择NO,就改会bash了一。脚本内容如下:#/bin/bashhostname=‘192.168.2.52‘port=3306username=‘...
MYSQL报错注入
聚鼎安全
01-08 3566
目录审计思路报错语句报错函数查询表floor报错函数讲解报错原理语句xpath语法报错函数讲解语句整数溢出报错exppowcot列名重复报错name_constjoin using几何函数报错不存在函数报错 审计思路 代码中带入查询的参数没有经过任何过滤并产生报错,具有报错信息提示,就可以用报错查询。 常用报错检测符号:’ \ ; %00 ) ( # " 报错函数通常尤其最长报错输出的限制,面对这种情况,可以进行分割输出。 特殊函数的特殊参数进运行一个字段、一行数据的返回,使用group_c
Mysql插入语句报错
weixin_45943526的博客
05-19 550
Mysql插入语句含有中文字段时发生报错 PS:如果更改my.ini文件时候可以直接保存,可以忽略2 3 两个步骤 1.首先打开安装目录找到my.ini 文件 - -2.右键属性 3.点击安全 --编辑 - 找到user(我这里是最后一个)----下面的权限点击完全控制 4.找到 default-character-set=utf8 设置为 default-character-set=gbk 5.保存 重新打开命令窗口 发现可以写入中文字段了 ...
数据库出现sql注入错误
weixin_30367945的博客
07-17 119
检查sql语句中的逗号 比如 from前多了一个逗号,字段之间缺少逗号等 转载于:https://www.cnblogs.com/wangbiubiu/p/9324845.html
输入mysql语句时遇到的一些小问题
尘一
10-17 166
(持续更新中。。。) 遇到的一些单词: cascade 级联constraint约束duplicates副本,多重记录desc 降序asc 升序 遇到的一些错误: error 121   这是外关键字名字重复的错误,即使是在不同的表中,外关键字的名字也不能重复。 error 150   这类错误包括3种情况:     1. 外键和被引用外键类型不一样,比如integer和double  ...
编写sql语句错误总结(sql server)
biancheng669的博客
03-19 819
最近学习数据库概论,学习使用SQL server编写SQL语句。实现一些功能。遇到了好多问题,现和大家分享,一方面真诚地希望帮助到大家,另一方面自己也巩固一下! 1.无法连接到数据库 首先检查sqlsever服务是否启动,检查以及启动服务方法: 方法一:桌面右击我的电脑–>管理–>服务与应用程序–>服务, 方法二:按win+R组合键,在命令窗口输入services.msc,回车...
mysql无论输入什么语句报错_mysql报错
weixin_39531761的博客
01-18 704
1、无论在mysql中执行什么语句,都会报以下错误:You must reset your password using ALTER USER statement before executing this statement.在网上找了一下原因,看到以下信息这就是因为数据库的这个默认的default_password_lifetime参数导致的在数据库中执行select version(),显示...
mysql 自定义函数报错_Mysql自定义函数报错解决方法
weixin_34404808的博客
02-07 1280
[最近研究mysql数据库性能的相关问题,为了对比不同版本之间的差别。笔者找了一台测试服务器升级了该服务器的mysql数据库进行测试,在升级mysql过程中遇到了一些问题并将其1、在MySql中创建自定义函数报错信息如下:ERROR 1418 (HY000): This function has none of DETERMINISTIC, NO SQL, or READS SQL DATA in...
MySQL 一次执行多条语句的实现及常见问题
09-11
MySQL数据库系统在默认情况下出于安全性考虑,不支持一次性执行多条SQL语句,这可能会给开发者带来不便,尤其是在批量操作或者脚本执行时。然而,MySQL确实提供了支持多语句执行的功能,只是需要通过特定的方式来...
mysql 建表语句 stored as_Druid 解析Hive建表语句解析报错
weixin_28295799的博客
02-18 1192
Druid 版本:com.alibabadruid-spring-boot-starter1.2.3Hive 建表SQLcreate table ads_data.sale_detail_one23 like ads_data.sale_detail_one1 STORED AS parquet该语句在hive引擎执行是正常的解析代码String hivesql = SQLUtils.forma...
解决MyQL数据库中1045错误的方法——Windows系统
热门推荐
南夏一木子的博客
07-02 39万+
在各种各样的适用场所,MySQL会出现各种各样的问题,经过足足半年的长跑,我的数据库终于修复了Bug,可以重新使用了。数据库出问题,那可能是家常便饭了。经过这足足半年的煎熬,我决定在以后的日子里,记录下我在使用数据库时遇到的色彩缤纷的问题,以及这些问题的解决方法。由此,今天写了这篇博客。 首先,给大家看看,这个问题是什么样子的。我在这里用到的MySQL可视化工具为Navicat。 这个错误...
SQL注入基础相关概念
weixin_41489908的博客
11-10 158
​你可以因为现任不好而分手,但千万不要认为别人更好,永远有人更好,眼下便是更好。。。 ---- 网易云热评 一、什么是SQL注入 SQL注入是指Web应用程序对用户输入的数据的合法性没有判断,前端传入后端的参数是攻击者可控的,并且参数带入数据库查询,那么攻击者可以通过构造不同的SQL语句来实现对数据库的任意操作。 开发人员可以使用动态SQL语句创建通用、灵活的应用。动态SQL语句是在执行过程中构造的,它根据不同的条件产生不同的SQL语句。(不同字段和不同条件) 这里的参数user_id..
MSSQL----报错注入/时间/布尔
bylfsj的博客
10-11 3748
1.简介 在上一章我们已经了解到了报错注入,其实MSSQL报错注入利用的就是显示或隐式转换来报错注入,比如以下就是典型的隐式转换 select * from admin where id =1 and (select user)>0-- select * from admin where id =1|(select user)-- 在将 nvarchar 值 ‘dbo’ 转换成数据...
dataframe保存为txt_TxtToMy下载-TxtToMy((txt导入myql数据库))v3.7免费版
weixin_39899021的博客
10-25 140
TxtToMy是一个数据转换软件,帮助数据库用户导入CSV (TXT)数据到MySQL数据库。用户能够通过TxtToMy更好地将文本(csv)文件数据导入Mysql,十分实用,感兴趣的用户可以自行下载体验。基本简介TxtToMy(txt导入myql数据库)是一款十分优秀的TXT导入到MYQL数据库工具。可以帮你把TXT和CSV中的数据导入到MSQL数据库的表中,支持向导和命令行两种操作方式,支持s...
mysql注_MySQL手注之报错注入
weixin_39969340的博客
01-28 132
报错注入:指在页面中没有一个合适的数据返回点的情况下,利用mysql函数的报错来创造一个显位的注入。先来了解一下报错注入常用的函数XML:指可扩展标记语言被设计用来传输和存储数据。concat:返回结果为连接参数产⽣的字符串报错注入常用的函数:extractvalue():对XML文档进行查询的函数语法:extractvalue(目标xml文档,xml路径)第二个参数xml中的位置是可操作的地方,...
mysql 常见输入报错_MySQL常见报错汇总
weixin_39932181的博客
01-18 429
1>.ERROR 1290 (HY000): The MySQL server is running with the --secure-file-priv option so it cannot execute this statement报错原因:在MySQL的配置文件中未指定“--secure-file-priv”参数的默认值,而改参数的功能就是确定使用SELECT ... INTO语...
sql注入问题解决——PrepareStatement
LeeBingNing的博客
01-16 4189
SQL注入攻击 -- 早年登录逻辑,就是把用户在表单中输入的用户名和密码 带入如下sql语句. 如果查询出结果,那么 认为登录成功. SELECT * FROM USER WHERE NAME='xxxx' AND PASSWORD='xxx'; -- sql注入: 请尝试以下 用户名和密码. /* 用户名:    密码: xxx */ -- 将用户名和密
mysql 报错 1313_mysql数据库执行lock tables 语句报错
最新发布
05-13
MySQL 错误 1313 表示你的 MySQL 用户没有 LOCK TABLES 权限,因此在执行 LOCK TABLES 语句时会报错。 要解决这个问题,你需要在 MySQL 中为该用户授予 LOCK TABLES 权限。可以通过以下步骤实现: 1. 以具有 root ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值