java 执行sql注入_java sql 注入 与防范

最新推荐文章于 2023-12-01 11:28:55 发布
最新推荐文章于 2023-12-01 11:28:55 发布
阅读量175 收藏
点赞数
文章标签: java 执行sql注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_33040687/article/details/114103597
版权

1.注入

db9285dc25dd7e074bcb91db5d9f99dd.png

2 .预防

c20570c8a33915c16be58366c4a6cfeb.png

package com.jdbc;

import java.sql.*;

import java.util.Scanner;

public class loginDemo {

public static void main(String[] args)throws ClassNotFoundException, SQLException {

//1.注册驱动

Class.forName("com.mysql.jdbc.Driver");

//2.连接

String url = "jdbc:mysql://localhost:3306/zfj";

String username = "root";

String password = "root";

Connection con = DriverManager.getConnection(url,username,password);

//3.语句执行对象 (执行sql) 返回值 Statement

//Statement stat = con.createStatement();

Scanner sc = new Scanner(System.in);

String user = sc.nextLine();

String pas = sc.nextLine();

//4.执行sql 查询 select

String sql = "SELECT * FROM user where user_name= ? AND user_sex=?";

//防止注入

PreparedStatement pst = con.prepareStatement(sql);

pst.setObject(1,user);

pst.setObject(2,pas);

System.out.println(sql);

ResultSet rs = pst.executeQuery();

//处理结果集

while (rs.next()){

//获取每列的的数据

System.out.println(rs.getString("id")+" "+rs.getString("user_name")+" "+rs.getString("user_age")+" "+rs.getString("user_sex"));

}

//5.释放资源

rs.close();

pst.close();

con.close();

}

}

玖玥草莓
关注
javaSQL注入与XSS攻击
weixin_44976692的博客
01-15 2万+
通过了解和防范SQL注入和XSS攻击,我们能够提高Java应用的安全性,保护用户的信息免受威胁。大家好,欢迎来到本文!在Java开发中,安全问题一直备受关注,其中SQL注入和XSS攻击是两个常见的安全隐患。是一种攻击手段,通过在应用的用户输入中注入恶意的SQL代码,从而篡改、查询或者删除数据库中的数据。攻击者通过构造精巧的输入,使应用误认为这些输入是合法的SQL语句。**XSS攻击(跨站脚本攻击)**则是通过在Web页面中注入恶意脚本,使用户在浏览器上执行这些脚本,从而盗取用户信息或者执行一些恶意操作。
java sql注入l
10-01
package com.tarena.dingdang.filter; 02 03 import java.io.IOException; 04 import java.util.Enumeration; 05 06 import javax.servlet.Filter; 07 import javax.servlet.FilterChain; 08 import javax.servlet.FilterConfig; 09 import javax.servlet.ServletException; 10 import javax.servlet.ServletRequest; 11 import javax.servlet.ServletResponse; 12 import javax.servlet.http.HttpServletRequest; 13 14 public class AntiSqlInjectionfilter implements Filter { 15 16 public void destroy() { 17 // TODO Auto-generated method stub 18 } 19 20 public void init(FilterConfig arg0) throws ServletException { 21 // TODO Auto-generated method stub 22 } 23 24 public void doFilter(ServletRequest args0, ServletResponse args1, 25 FilterChain chain) throws IOException, ServletException { 26 HttpServletRequest req=(HttpServletRequest)args0; 27 HttpServletRequest res=(HttpServletRequest)args1; 28 //获得所有请求参数名 29 Enumeration params = req.getParameterNames(); 30 String sql = ""; 31 while (params.hasMoreElements()) { 32 //得到参数名 33 String name = params.nextElement().toString(); 34 //System.out.println("name===========================" + name + "--"); 35 //得到参数对应值 36 String[] value = req.getParameterValues(name); 37 for (int i = 0; i < value.length; i++) { 38 sql = sql + value[i]; 39 } 40 } 41 //System.out.println("============================SQL"+sql); 42 //有sql关键字,跳转到error.html 43 if (sqlValidate(sql)) { 44 throw new IOException("您发送请求中的参数中含有非法字符"); 45 //String ip = req.getRemoteAddr(); 46 } else { 47 chain.doFilter(args0,args1); 48 } 49 } 50 51 //效验
SQL注入Java
weixin_33958366的博客
10-23 95
前面这篇文章介绍了SQL注入,并且主要就PHP的内容做了实验: http://www.cnblogs.com/charlesblc/p/5987951.html 还有这篇文章对处理方案做了介绍(PreparedStatement in PDO or mysqli) http://www.cnblogs.com/charlesblc/p/5988919.html   那么对于Java是怎样的情况呢?...
JAVA代码审计篇-SQL注入
m0_60571990的博客
03-10 1551
JAVA代码审计篇-SQL注入
Java代码审计篇:SQL注入
hackzkaq的博客
12-01 1373
前期与常规注入代码审计一样,找sql语句看是否存在字符串拼接,如果存在,通过查找参数的调用逻辑,理清逻辑,在构造payload时,先注册一个正常的用户名,但是用户名是带有sql语句的,比如 “ ‘union select user(),2.3# “,此时在登陆的时候就可以显示对应的信息。MyBatis 的 like 子句中使用#{}程序会报错,所以为了避免报错,在开发的时候使用${},当使用like ‘#%{name}%’时,会报错。而使用like ‘$%{name}%’,时会正常执行
JAVA】如何解决SQL注入
热门推荐
阳阳的博客
11-02 1万+
如何解决SQL注入? 面试中经常问到,SQL注入是什么?又怎么防止SQL注入?为了不再尴尬得只回答出使用PreparedStatement,我们还是有必要了解一下其他的方式。 一、什么是SQL注入? 说简单点,就是部分用户在表单中输入sql语句的片段,对没有输入检验的网站可能带来毁灭性的打击,轻则绕过登录,重则...
JavaSQL注入防范与解决方法
02-18
JavaSQL注入防范与解决方法
防范Java中的SQL注入:策略与实践
最新发布
08-30
由于Java广泛用于企业级Web应用的开发,因此了解如何在Java中识别和防护SQL注入至关重要。本文将详细介绍SQL注入的原理、风险、以及如何在Java应用程序中进行有效的防护。 SQL注入是一种严重的安全威胁,但通过采取...
JAVA代码审计之SQL注入
06-14
本章节课程主要从以下三方面详细的介绍了如何针对java代码中sql注入的审计方法及黑盒验证: 1、JDBC连接方式下sql注入的存在的形态及修复方法,like、in情况在如何安全使用预处理来防范sql注入 2、在使用Mybatis框架...
Sql注入原理简介_动力节点Java学院整理
09-09
了解SQL注入的原理和防范措施是保障Web应用安全的关键。 1. SQL注入的定义: SQL注入是通过将恶意SQL命令嵌入到用户提交的表单数据或URL参数中,使得服务器在处理这些数据时误执行这些命令。例如,当用户在登录界面...
SQL注入安全问题解决方案-JAVA
11-25
SQL注入安全问题解决方案-JAVA SQL注入安全问题解决方案-JAVA
java SQL注入
点>>滴>>成>>海
10-11 294
1.用户名随便输入 2.密码:1‘  or '1'='1
Java防止SQL注入
weixin_33923148的博客
10-09 87
2019独角兽企业重金招聘Python工程师标准>>> ...
JAVA- SQL注入案例(黑马程序员)和避免 超级详细
meini32的博客
08-01 3033
SQL 注入SQL Injection)是一种常见的网络攻击技术,它利用应用程序没有正确过滤用户输入的数据,将恶意的 SQL 代码注入到应用程序中执行,从而导致应用程序的安全性受到威胁。通过一段字符串(伪造的sql代码)与真的代码进行拼接使整个 SQL语句的条件判断永远为真,从而绕过了应用程序的身份验证机制,获取了用户的数据。应用程序需要对用户输入的数据进行正确的验证和过滤!-概括:拼字符串导致分不清参数和执行的关键字!PreparedStatement接口。输入正确的用户名和密码=登录成功。
JAVA-JDBC解决SQL注入问题
sinat_41883676的博客
02-11 334
只要用户提供信息不参与SQL语句的编译过程,问题就解决了。 即使用户提供的信息中含有SQL语句的关键字,但是没有参与编译,不起作用。 PreparedStatement预操作 使用java.sql.PreparedStatement,其继承了java.sql.Statement PreparedStatement是属于与编译的数据库操作对象。 import java.sql.*; publi...
JAVA jdbc(数据库连接池)SQL注入
javazaixian的专栏
08-24 914
1.SQL注入的概念…   所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容易受到SQL注入式攻击.当应用程序使用输入内容来构造动态sql语句以访问数据库时,会发生sql注入攻击。如果代码使用存储过程,而这些存储
Java代码审计之SQL注入
tpaer的博客
12-05 2454
复现了Java中JDBC及Mybatis框架采用预编译和非预编译时可能存在SQL注入的几种情况,并给予修复建议。
java--SQL注入攻击
grey_mouse的博客
12-28 435
SQL注入攻击概述 该攻击也就是黑客或居心不良的人知晓了你底层使用拼接的方式连接SQL语句,也就有可能研究出绕过你检查的SQL语句,以下实例说明: 登录操作,检查用户名、密码是否正确 用Statement操作SQL语句 import java.sql.Connection; import java.sql.ResultSet; import java.sql.SQLException; ...
静态代码审计之SQL注入java
一杯咖啡的渗透记忆
03-29 895
三种不同框架类型的SQL JDBC--sql注入 Hibernate--sql注入 Mybatis、iBatis-- sql注入 SQL注入手工审计方法 步骤1:全局搜索“+”,找到存在+ 拼接的sql语句,查看参数是否有过滤,一般在DAO层 追溯上层函数,直到,doPost(HttpServletRequest request,HttpServletResponse response) 查看整个流程中,有没有过滤非法字符串,如果没有,则存在sql注入 找到..
Java防范SQL注入:策略与示例
"Java防止SQL注入是保护系统安全的关键措施,因为SQL注入攻击是通过利用程序员编程时未充分验证用户输入的漏洞进行的。这种攻击方式并不依赖操作系统或其他系统的漏洞,而是直接针对SQL语句。在描述的例子中,攻击者...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值