防注入攻击

最新推荐文章于 2023-06-29 11:52:41 发布
最新推荐文章于 2023-06-29 11:52:41 发布
阅读量291 收藏
点赞数
文章标签: java 数据库
原文链接:http://www.cnblogs.com/zhai1997/p/11375494.html
版权

1、可以注入攻击的登录

package pers.jdbc.log;

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.ResultSet;
import java.sql.Statement;
import java.util.*;

public class Log {

    public static void main(String[] args) throws Exception {
        // 输入用户名和密码
        Scanner sc = new Scanner(System.in);
        System.out.println("请输入账号");
        String zh = sc.nextLine();
        System.out.println("请输入密码");
        String mm = sc.nextLine();

        // 到数据库验证用户名和密码是否正确
        Class.forName("com.mysql.jdbc.Driver");

        String url = "jdbc:mysql://localhost:3306/student mangement system";
        String username = "root";
        String password = "root";
        Connection con = DriverManager.getConnection(url, username, password);

        Statement state = con.createStatement();

        String sql = "select * from Login where account='" + zh
                + "' and password='" + mm + "'";
        ResultSet re = state.executeQuery(sql);
        // 输出:正确显示欢迎,不正确显示错误
        if (re.next()) {
            System.out.println("登陆成功!");
        } else {
            System.out.println("输入账号或密码错误");
        }
        state.close();
        con.close();
        re.close();

    }

}

可以看出,在登陆的数据表中,并没有与之相对应的用户名和密码,但是也能登录成功。 其实在java代码中,运行的查询语句是这样的:select * from Login where account='zhai'and password='1' or 1=1,运行结果为true。

2、注入攻击的防止

package pers.jdbc.log;

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.util.Scanner;

public class Log1 {
    public static void main(String[] args) throws Exception {
        Class.forName("com.mysql.jdbc.Driver");
        String url = "jdbc:mysql://localhost:3306/student mangement system";
        String username = "root";
        String password = "root";
        Connection con = DriverManager.getConnection(url, username, password);
        Scanner sc = new Scanner(System.in);
        System.out.println("请输入账号");
        String account = sc.nextLine();
        System.out.println("请输入密码");
        String password1 = sc.nextLine();
        // 执行SQL语句,数据表,查询用户名和密码,如果存在,登录成功,不存在登录失败
        String sql = "SELECT * FROM login WHERE account=? AND password=?";
        // 调用Connection接口的方法prepareStatement,获取PrepareStatement接口的实现类
        // 方法中参数,SQL语句中的参数全部采用问号占位符
        PreparedStatement pst = con.prepareStatement(sql);

        // 调用p s t对象set方法,设置问号占位符上的参数
        pst.setObject(1, account);
        pst.setObject(2, password1);

        // 调用方法,执行SQL,获取结果集
        ResultSet rs = pst.executeQuery();
        while (rs.next()) {
            System.out.println(rs.getString("account") + "欢迎你");
        }
        rs.close();
        pst.close();
        con.close();
        sc.close();
    }
}

在java代码中,如果还进行注入攻击,运行的查询语句是这样的:select * from Login where account='zhai'and password=1' or ‘1=1,将运行错误。

转载于:https://www.cnblogs.com/zhai1997/p/11375494.html

weixin_30823227
关注
什么是注入攻击,如何止sql注入攻击
qq_43956225的博客
10-14 2274
什么是SQL注入攻击? a. 所谓SQL注入攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。 b. 在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入攻击。 c. 常见的SQL注入攻击过程例如: (1) 某个ASP.NET Web应用有一个登录页面,这个登录页面控制着用户是否有权访问应用,它要求用户输入一个名称和密码。 (2) 登录页面中输入的内容将直接用来构造动..
C#实现登陆程序(MD5加密和SQL存储过程注入攻击
03-20
在本文中,我们将深入探讨如何使用C#编程语言来实现一个登录程序,该程序结合了MD5加密技术和SQL存储过程,以确保用户密码的安全并止SQL注入攻击。首先,我们来了解一下这两个关键技术。 MD5(Message-Digest ...
在ASP.NET中注入攻击[翻译]
weixin_33813128的博客
03-29 166
出处: MSDN 原文地址 应用范围: ASP.NET vertion 1.1 ASP.NET vertion 2.0   概要: 文本主要介绍如何校验用户输入从而注入攻击.校验用户输入是非常必要的,几乎所有程序级的攻击都包含恶意输入的手段. 你应该校验包括字段,查询字串参数,Cookie等一切用户输入项来保护你的程序免受注入攻击.你得假设所有的用户输入都是恶意的,确保在服...
5种方法止 jsp被sql注入
收集盒 Book box
09-22 6719
一、 SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 ===========================================
ASP网络编程安全指南(SQL Injection篇)
01-13 1310
作者: 风清扬 出处: E代V4 近段时间以来的网络攻击似乎多了起来,很多站点无故被黑甚至换掉首页。绝大多数站点被攻击的原因大都是由于站点程序上的漏洞,由攻击者得到WebShell后进而提升权限得到服务器主机权限。然而得到WebShell的途径也就集中到SQL Injection的攻击手法上。什么是SQL 注入攻击呢?来自官方的诠释:当应用程序使用输入内容来构造动态 SQL 语句以访问数据库时,会
数据库注入攻击
xkjscm的博客
04-30 652
这是学习笔记: 在表单提交之后, 我们通过  $_POST   或者  $_GET 获取表单数据, 然后插入数据库,   例如 $age 和 $name  是从表单提交的数据,  $age 是整形,  $name 是String,  $age 需要在插入数据库之前使用   intval() 转换为整形, $name  需要在SQL语句中使用 单引号 引起来
SQL注入攻击御技术白皮书.pdf
10-16
SQL注入攻击御技术白皮书.pdf 本文档主要介绍了SQL注入攻击的原理、方式、危害及御措施,旨在帮助读者更好地理解和御这种常见的数据库漏洞攻击方式。 1.SQL注入攻击简介 SQL注入攻击是一种针对数据库的...
Yii注入攻击笔记
09-09
### Yii框架御SQL注入与XSS攻击策略 在IT安全领域,止SQL注入和跨站脚本(XSS)攻击是任何Web应用开发中的关键环节。对于使用Yii框架的开发者而言,掌握有效的御措施尤为必要。本文将深入解析Yii框架中范...
《SQL注入攻击御 第2版》PDF版本下载.txt
07-17
### SQL注入攻击御知识点详解 #### 一、SQL注入概述 SQL注入是一种常见的Web应用程序安全漏洞,攻击者通过在应用程序的输入字段中插入恶意SQL语句,利用这些语句来操控数据库执行非授权操作。这种攻击方式可以...
止SQL注入的5种方法
06-13
止SQL注入的5种方法,小白分享,不喜勿喷,谢谢,,,
止SQL注入攻击的10种有效方法
最新发布
qq_28245087的博客
06-29 5万+
本文介绍了10种止SQL注入攻击的方法,包括使用参数化查询、输入验证和过滤、存储过程、最小权限原则、ORM框架、准备语句、安全的数据库连接、避免动态拼接SQL语句、使用火墙和入侵检测系统以及定期更新和维护数据库软件。输入验证和过滤是一种用于确保用户输入数据的安全性和有效性的技术。需要注意的是,具体的代码实现可能因使用的数据库驱动库而有所不同,但核心思想是相同的:使用PreparedStatement来执行参数化查询,将用户输入作为参数传递给查询,而不是直接拼接到查询字符串中,以提高应用程序的安全性。
注入
yanick技术博客
09-01 722
string sql = "insert into 表名 values(@字段)";SqlParameter s = new SqlParameter("@字段", FileByteArray);SqlCommand cmd = new SqlCommand(sql, conn);//conn为SqlConnection实例对象cmd.Parameters.Add(s);conn.Open();c
SQL注入攻击
weixin_62707591的博客
06-21 6736
攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,并且插入的恶意SQL命令会导致原有SQL语句作用发生改变,从而得到欺骗服务器执行恶意SQL命令的一种攻击方式。① 概述开源的自动化SQL注入工具,由Python写成② 主要功能扫描、发现、利用给定URL的SQL注入漏洞③ 特点。
注入攻击必须做到的
donghaima的专栏
01-14 354
输入文本框限制长度,够用就行; 不要直接使用字符串构造SQL命令,应该用SQLDataSource等控件或着参数构造命令,它们会帮你过滤有威胁的字符; 用Session 而不是Request,尽量不要暴露网页参数。并且一定要检查传递的参数,比如ID可以转换数字再转换成String使用;
注入的办法
北极光的博客
09-06 404
这是网上搜来的注入的办法: '检查URL输入 限制非法字符 url=LCase(request.querystring()) ip=request.ServerVariables("REMOTE_ADDR") pos1=instr(url,"%") pos2=instr(url,"'") pos3=instr(url,";") pos4=instr(url,"where")
什么是SQL注入攻击?列举抵御SQL注入攻击的方式?
mischen520的博客
05-29 408
SQL注入攻击,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 抵御sql注入攻击: 1.使用PreparedStatement 2.使用存储过程 3.验证输入/过滤输入 4.专业的安全产品 ...
php中止sql注入攻击
大鱼人不能忍烫金竹纤维短袖
01-17 802
(1)mysql_real_escape_string -- 转义 SQL 语句中使用的字符串中的特殊字符,并考虑到连接的当前字符集  使用方法如下: $sql = "select count(*) as ctr from users where username='".mysql_real_escape_string($username)."' and password='". my
如何绝对注入
m0_50453514的博客
04-15 3760
前不久的时候,发小 说不敢把自己的代码发到github上面,怕很多人找bug比较麻烦,我同时也在思考一个问题,平时审计或者黑盒的时候都没有留意,总是想着如何进攻别人,现在换一个角度来总结一下,如何做到百分百注入呢,也许从这个角度学习会让我进步更快。
Nginx 使用naxsi xss、注入攻击配置
06-09
要在Nginx中使用naxsi止XSS和注入攻击,需要进行以下配置: 1. 安装naxsi模块及其依赖项: ``` sudo apt-get install nginx-naxsi ``` 2. 启用naxsi模块: 在Nginx配置文件中添加以下内容: ``` load_module ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值