java存在sql注入吗_存在sql注入式***的最差实践代码(Java新手注意了)

最新推荐文章于 2022-11-07 17:19:46 发布
最新推荐文章于 2022-11-07 17:19:46 发布
阅读量129 收藏
点赞数
文章标签: java存在sql注入吗
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_31991991/article/details/114820785
版权

package cn.zhd;

import java.io.*;

import org.apache.log4j.*;

import java.sql.Connection;

import java.sql.DriverManager;

import java.sql.SQLException;

import java.sql.Statement;

import java.sql.ResultSet;

public class LoginDemo {

public void execute(String user,String pass){

boolean foo=false;

try{

Class.forName("com.mysql.jdbc.Driver");

Connection con=DriverManager.getConnection("jdbc:mysql://localhost/students","root","");

Statement stam=con.createStatement();           //存在注入***漏洞:select * from login where user='' or'x'='x' or 'x'='' and '1'

ResultSet rs=stam.executeQuery("select * from login where user='" + user + "' and pass='"+ pass + "'");

while(rs.next()){

foo=true;

}

if(foo){

System.out.println("登陆成功");

}

else

{

System.out.println("用户名密码错误");

}

}catch(ClassNotFoundException e){

e.printStackTrace();

}catch(SQLException e){

e.printStackTrace();

}

}

public static void main(String[] args){

Logger log=Logger.getLogger(LoginDemo.class);

try{

LoginDemo ld=new LoginDemo();

BufferedReader bf=new BufferedReader(new InputStreamReader(System.in));

log.info("请输入用户名");

String bf_str=bf.readLine();

log.info("请输入密码");

String bf2_str=bf.readLine();

bf.close();

ld.execute(bf_str,bf2_str);

}catch(IOException e){

e.printStackTrace();

}

}

}

当输入用户名的时候输入:' or 'x'='x' or '2'='

密码随便输.....

成功登陆了吧.....

liu'mei
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JAVA实现sql注入点检测
04-24
JAVA实现的网络爬虫以及对爬到的页进行sql注入的判断
java sql攻击_存在sql注入攻击的最差实践代码Java新手注意了)
weixin_33930436的博客
02-16 88
package cn.zhd;import java.io.*;import org.apache.log4j.*;import java.sql.Connection;import java.sql.DriverManager;import java.sql.SQLException;import java.sql.Statement;import java.sql.ResultSet;publ...
Java程序员从笨鸟到菜鸟之(一百)sql注入***详解(一)sql注入原理详解
weixin_33701564的博客
10-24 194
前段时间,在很多博客和微博中暴漏出了12306铁道部网站的一些漏洞,作为这么大的一个项目,要说有漏洞也不是没可能,但其漏洞确是一些菜鸟级程序员才会犯的错误。其实sql注入漏洞就是一个。作为一个菜鸟小程序员,我对sql注入的东西了解的也不深入,所以抽出时间专门学习了一下。现在把学习成果分享给大家,希望可以帮助大家学习。下面我们就来看一下。 ...
Java代码审计连载之—SQL注入
weixin_30501857的博客
09-19 252
本文原创作者:黑客小平哥,本文属i春秋原创奖励计划,未经许可禁止转载! 前言 近日闲来无事,快两年都没怎么代码了,打算几行代码,做代码审计一年了,每天看代码都好几万行,突然发现自己都不会代码了,真是很DT。想当初入门代码审计的时候真是非常难,网上几乎找不到什么java审计的资料,摸索了很长时间,搜到的也仅仅讲了点原理,为了给想学java代码审计的朋友门一点入门资料,就开始《ja...
PHP&MySQL——防止SQL注入-代码片段
无限迭代中......
10-05 296
<?php /************************* 说明: 判断传递的变量中是否含有非法字符 如$_POST、$_GET 功能: 防注入 *************************/ //要过滤的非法字符 $ArrFiltrate=array("'","%","#","<",">","or","and","union","where","...
java开发基于SQLmap的SQL注入工具源码.zip
06-01
基于SQLmap的SQL注入工具源码.。基于SQLmap,使用Java开发 安装教程 安装JDK(需要有javafx) 安装Python 安装SQLmap 基于SQLmap的SQL注入工具源码.。基于SQLmap,使用Java开发 安装教程 安装JDK(需要有javafx)...
java-sql-inspector:用于测试Java代码是否存在SQL注入漏洞的实用程序
02-17
SQL注入是一种常见的安全威胁,攻击者可以通过在输入字段中插入恶意SQL代码来操纵数据库查询,从而获取敏感信息、修改数据甚至完全控制数据库系统。这款工具的出现是为了帮助开发者在软件发布之前预防这种类型的攻击...
JAVA代码审计之SQL注入
06-14
本章节课程主要从以下三方面详细的介绍了如何针对java代码sql注入的审计方法及黑盒验证: 1、JDBC连接方sql注入存在的形态及修复方法,like、in情况在如何安全使用预处理来防范sql注入 2、在使用Mybatis框架...
避免sql注入_动力节点Java学院整理
08-29
SQL注入是一种常见的Web应用程序漏洞,攻击者可以通过在输入字段中嵌入恶意SQL代码来攻击数据库。为了避免SQL注入,需要从多方面入手,包括权限控制、参数化语句、输入验证、数据库安全参数、多层环境防治、漏洞扫描...
SQL.rar_sql injection_sql 注入_sql注入
09-14
在"SQL.rar"中,我们看到与SQL注入相关的资源,包括一个名为"SQL.cpp"的C++源代码文件,这可能是用于模拟或测试SQL注入漏洞的程序。 SQL注入攻击的基本原理是利用用户输入的数据直接拼接到SQL查询中,如果输入未经...
JAVA中防止SQL注入攻击类的源代码
04-26
JAVA中防止SQL注入攻击类的源代码(包含网页版和程序代码两部分)
Java面试题解析之判断以及防止SQL注入
08-28
主要介绍了Java面试题解析之判断以及防止SQL注入,小编觉得还是挺不错的,具有一定借鉴价值,需要的朋友可以参考下
存在sql注入***的最差实践代码
weixin_34038652的博客
10-10 51
不安全因素:statement。。。应该用Preparedstatement来代替statement,这样我们就可以使用占位符作为实参来定义sql语句,从而避免sql注入的***。 当然也可以用statement,你得注意你的sql法,要是下例肯定不行。还得对url恶意传入参数进行过滤(SQL元字符处理)。。。这样就比较麻烦了,而且也无法保证绝对的安全。 ...
存在sql注入攻击的最差实践代码Java新手注意了)
我是个农民...
01-22 418
不安全因素:statement。。。应该用Preparedstatement来代替statement,这样我们就可以使用占位符作为实参来定义sql语句,从而避免sql注入的攻击。        当然也可以用statement,你得注意你的sql法,要是下例肯定不行。还得对url恶意传入参数进行过滤(SQL元字符处理)。。。这样就比较麻烦了,而且也无法保证绝对的安全。        我们
java JDBC Sql注入攻击
feixde的博客
06-03 282
查询: sql注入攻击和PreparedStatement: 其实本质就是PreparedStatement会对参数中的特殊字符进行转义处理,而不是直接拼接。它使用一个?占位,代表一个参数。在设置参数时,如果参数是字符串,拼接sql语句时会自动为字符串加上引号以此表明这是一个字符串,同时对参数内自带的特殊符号会进行转义处理。...
java spring 注入
java从入门到放弃
05-17 989
在配置文件里加了一个组件bean,在我的工具类里自动注入了这个组件,然后我在使用这个工具类的时候是new出来的。所以我在用这个类的时候,发现里面的组件总是null,就是说注入失败。后来发现,这个工具类必须也要通过注入的方加载,然后它里面的bean才能注入成功。(工具类想要注入,在类的前面加@component注解就可以了)还是对spring的一些原理了解的不够深,...
大数据必学Java基础(九十四):SQL注入攻击
Lansonli(蓝深李)的博客
11-07 1095
文章目录SQL注入攻击一、Sql注入说明二、具体实现1、 创建数据库表2、创建实体类3、测试代码4、测试结果三、总结SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。以模拟登录为例:在前台输入用户名和密码,后台判断信息是否正确,并给出前台反馈信息,前台输出反馈信息。 当输入了精心设计的用户名密码后,即使是错误的,也能登录成功,让登录
软件测试之记一次简单的sql注入java项目为什么不能产生sql注入安全问题
blingbling*的博客
12-03 259
前提:项目后端使用java语言 问题:前端传入特殊字符串为什么不能引起sql注入安全问题? 研究过程: 如果按照所有文章中说的这样: String sql= "select * from user_table where username="+username+"and password="+password; 输入:"or 1=1-- 则结果就会是:String sql= "select * from user_table where username=""or 1=1--and password="";
java 防止sql注入% _
最新发布
07-27
Java中防止SQL注入主要有两种方法: 1. 使用参数化查询(Prepared Statements):这是最常用且推荐的防止SQL注入的方法。通过将SQL查询语句中的参数使用占位符(?)表示,然后使用预编译的语句将参数传递给...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值