MySQL for Java的SQL注入测试

最新推荐文章于 2024-06-12 16:52:14 发布
最新推荐文章于 2024-06-12 16:52:14 发布
阅读量163 收藏
点赞数
文章标签: java 数据库 python
原文链接:https://my.oschina.net/zchuanzhao/blog/512560
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

只要你学JDBC,基本上所有的人都会和你说,Statement不能防止SQL注入, PreparedStatement能够防止SQL注入. 基本上参加工作了一段时间之后还是这么认为的, 没错, 这句是没有问题的, 但到底如何进行SQL注入?怎么直观的去了解SQL注入?这还是需要花一定的时间去实验的. 前提:以下的测试都是在一种理想环境下 首先准备好数据库环境, 以下是数据库的schema:
Sql代码
  1. create database java_mysql;
  2. use java_mysql;
  3. drop table if exists pstest;
  4. create table pstest(
  5.     id int(10) not null primary key auto_increment,
  6.     name varchar(32),
  7.     age int(3)
  8. );
  10. insert into pstest (name, age) values ('Tom', 23);
  11. insert into pstest (name, age) values ('Tom1', 23);
  12. insert into pstest (name, age) values ('Tom2', 23);
  13. insert into pstest (name, age) values ('Tom3', 23);
  14. insert into pstest (name, age) values ('Tom4', 23);
  15. insert into pstest (name, age) values ('Tom5', 23);
 以上就是建立了pstest表, 并插入了一些测试数据.
1. 测试Statement
Java代码
  1. public class StatementTest {
  2.     public static void main(String[] args) throws SQLException {
  3.         Connection con = null;
  4.         Statement stmt = null;
  5.         // name很强大, 传入了这么多东西
  6.         String name = "Tom';delete from pstest;select * from pstest where name='Tom";
  7.         String sql = createSql(name);   // SQL
  8.         System.out.println(sql);
  10.         try {
  11.             con = DBConn.getConnection();
  12.             stmt = con.createStatement();
  14.             stmt.execute(sql);
  15.         } catch(Exception e) {
  16.             e.printStackTrace();
  17.         } finally {
  18.             stmt.close();
  19.             con.close();
  20.         }
  21.     }
  23.     // 根据参数的name参数查询
  24.     private static String createSql(String name) {
  25.         String sql = "select id, name, age from pstest ";
  27.         // 拼接一下SQL
  28.         if(name != null && name.length() != 0) {
  29.             sql += "where name ='" + name + "'";
  30.         }
  31.         return sql;
  32.     }
  33. }
数据库连接的URL为:
Java代码
  1. "jdbc:mysql://localhost:3306/java_mysql";
其实上面的意图很简单:
Tom';delete from pstest;select * from pstest where name='Tom
就是想先执行一条SQL查询语句,然后把表的数据删除。
这只是理想环境. 实际上要想传入这么复杂的数据, 真的很难想象
 这里将URL单独拎出来是有作用的, 继续看下面
Run一下StatementTest. 会发现报异常了:
Java代码
  1. com.mysql.jdbc.exceptions.jdbc4.MySQLSyntaxErrorException: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'delete from pstest;select * from pstest where name='Tom'' at line 1
  想法很简单, 现实很残酷, 未能如所愿.
看到这里,你也应该想到了Statement的execute(String sql)默认是只能执行一条SQL的.
若想让execute(String sql)能够同时只能几条SQL语句, 怎么办?修改连接的URL:
Java代码
  1. jdbc:mysql://localhost:3306/java_mysql?allowMultiQueries=true
 重点是allowMultiQueries=true这个参数
再来Run一下StatementTest. OK,没有报任何的异常.打印的SQL为:
Sql代码
  1. select id, name, age from pstest where name ='Tom';delete from pstest;select * from pstest where name='Tom';
上面的SQL到底做了什么呢?
我们先观察一下:第一条是查询SQL, 第二条是delete, 第三条是查询SQL,其实第一条和第三条是一样的.
为了直观的看上面SQL的执行效果, 我们再次执行下最开始的schema.sql
这时候数据库有6条数据
Sql代码
  1. mysql> select * from pstest;
  2. +----+------+------+
  3. | id | name | age  |
  4. +----+------+------+
  5. |  1 | Tom  |   23 |
  6. |  2 | Tom1 |   23 |
  7. |  3 | Tom2 |   23 |
  8. |  4 | Tom3 |   23 |
  9. |  5 | Tom4 |   23 |
  10. |  6 | Tom5 |   23 |
  11. +----+------+------+
执行一下
Sql代码
  1. select id, name, age from pstest where name ='Tom';delete from pstest;select * from pstest where name='Tom';
 这时候可以看到MySQL客户端
Sql代码
  1. mysql> select id, name, age from pstest where name ='Tom';delete from pstest;select * from pstest where name='Tom';
  2.     +----+------+------+
  3.     | id | name | age  |
  4.     +----+------+------+
  5.     |  1 | Tom  |   23 |
  6.     +----+------+------+
  7.     1 row in set (0.00 sec)                 -- 执行第一条查询SQL
  9.     Query OK, 6 rows affected (0.05 sec)    -- 执行第二条delete语句, Oh, No, 数据库全部的6条数据被删除了
  11.     Empty set (0.00 sec)                     -- 执行第三条SQL查询, 没有查询到任何数据
上面的注释已经写好了,就不多说了。
这时候的确已经实现了SQL注入.
2. 测试PreparedStatemet
Java代码
  1. public class PreparedStatementTest {
  2.     public static void main(String[] args) throws SQLException {
  3.         Connection con = null;
  4.         PreparedStatement ps = null;
  5.         ResultSet rs = null;
  6.         String sql = "select id, name, age from pstest where name = ? ";
  7.         try {
  8.             con = DBConn.getConnection();
  9.             ps = con.prepareStatement(sql);
  10.             ps.setString(1, "Tom';delete from pstest;select * from pstest where name='Tom");
  11.             rs = ps.executeQuery();
  12.         } catch(Exception e) {
  13.             e.printStackTrace();
  14.         } finally {
  15.             rs.close();
  16.             ps.close();
  17.             con.close();
  18.         }
  19.     }
  20. }
直接Run一下,OK,也没出现任何的异常,数据库中的数据也还在
但是我们到底执行了什么样的SQL, 查看MySQL的日志.
这里简单提下MySQL的日志,可以在my.ini下配置
Sql代码
  1. [mysqld]
  2. log=MySQL_Log    # 在这里加上日志名称
这时候会在MySQL/MySQL Server 5.1/Data/目录下生成MySQL_Log文件, 里面记录的就是日志了.
好了,回到正题,看一下刚刚PreparedStatementTest执行的SQL,在MySQL_Log中查看
Sql代码
  1. 120719 15:54:25      23 Connect   root@localhost on java_mysql
  2.            23 Query /* mysql-connector-java-5.1.20-SNAPSHOT ( Revision: ${bzr.revision-id} ) ...
  3.            23 Query SHOW WARNINGS
  4.            23 Query /* mysql-connector-java-5.1.20-SNAPSHOT ( Revision: ${bzr.revision-id} ) */SELECT @@session.auto_increment_increment
  5.            23 Query SHOW COLLATION
  6.            23 Query SET character_set_results = NULL
  7.            23 Query SET autocommit=1
  8.            23 Query select id, name, age from pstest where name = 'Tom';delete from pstest;select * from pstest where name='Tom'
  9.            23 Quit
 重点是最后一条SQL.
因为数据库中的数据都还在,我们就直接执行这条SQL
Sql代码
  1. select id, name, age from pstest where name = 'Tom';delete from pstest;select * from pstest where name='Tom'
查看MySQL的客户端
Sql代码
  1. mysql> select id, name, age from pstest where name = 'Tom';delete from pstest;select * from pstest where name='Tom';
  2.    Empty set (0.00 sec)                     -- 就执行了这一条查询的SQL语句
可以看到什么的字符串已经被转义了.
让我们来看一下转义字符:
Sql代码
  1. mysql> select 'Tom';delete';
  2. +-------------+
  3. | Tom';delete |
  4. +-------------+
  5. | Tom';delete |
  6. +-------------+
  7. 1 row in set (0.00 sec)
总结:其实从上面的测试中已经看出了。的确Statement是不安全的, 可以进行SQL注入, 而PreparedStatement可以防止SQL注入。就好比上面我们想在做查询的时候将pstest中的全部数据都删除掉一样. 前面已经说过这是在理想的环境下做的测试. 在真正的环境中,就想这么简单的实现SQL注入, 基本上是不可能的。而且Statemenet,让它执行execute(String sql)的时候同时执行多条SQL, 基本上不可能会去这么做的.
其实,关于Statement的execute(String sql)语句能够同时执行多条SQL语句, 可以看MySQL自带的测试例子:
可查看testsuite.regression包下的ResultSetRegressionTest类:
Java代码
  1. public class ResultSetRegressionTest extends BaseTestCase {
  2.     public void testBug33678() throws Exception {
  3.         if (!versionMeetsMinimum(4, 1)) {
  4.             return;
  5.         }
  6.         createTable("testBug33678", "(field1 INT)");
  7.         // allowMultiQueries=true设置
  8.         Connection multiConn = getConnectionWithProps("allowMultiQueries=true");
  9.         Statement multiStmt = multiConn.createStatement();
  11.         try {
  12.             multiStmt.setFetchSize(Integer.MIN_VALUE);
  14.             // 一次性执行多条SQL语句
  15.             multiStmt
  16.                     .execute("SELECT 1 UNION SELECT 2; INSERT INTO testBug33678 VALUES (1); UPDATE testBug33678 set field1=2; INSERT INTO testBug33678 VALUES(3); UPDATE testBug33678 set field1=2 WHERE field1=3; UPDATE testBug33678 set field1=2; SELECT 1");
  18.     // 以下代码省略...
  19.     }
  20. }

转载于:https://my.oschina.net/zchuanzhao/blog/512560

weixin_33762321
关注
Mysql系列】MySQLSQL注入
weixin_54707168的博客
04-11 217
Mysql系列】MySQLSQL注入
JAVA高级】——吃透JDBC中的SQL注入问题和解决方案
热门推荐
不迁怒,不贰过。小知识,大智慧。
10-26 1万+
吃透JDBC中的SQL注入问题和解决方案
JAVA实现sql注入点检测
04-24
JAVA实现的网络爬虫以及对爬到的页进行sql注入的判断
JAVA代码审计之SQL注入代码审计
最新发布
weixin_68408599的博客
06-12 990
SQL注入漏洞是对数据库进行的一种攻击方式。其主要形成方式是在数据交互中,前端数据通过后台在对数据库进行操作时,由于没有做好安全防护,导致攻击者将恶意代码拼接到请求参数中,被当做SQL语句的一部分进行执行,最终导致数据库被攻击。可以说所有可以涉及到数据库增删改查的系统功能点都有可能存在SQL注入漏洞。虽然现在针对SQL注入的防护层出不穷,但大多情况下由于开发人员的疏忽或特定的使用场景,还是会存在SQL注入漏洞的代码。
java web sql注入_java web sql注入测试(1)---概念概述
weixin_35864328的博客
02-24 204
在进行java web 测试的时,经常会忽略的测试种类就是sql注入测试,这类缺陷造成的原因是开发技术在这方面欠缺的表现,随便不常见,但一旦有这类缺陷,就很因此对运营的数据造成很多不必要的损失,所以,还是还是值得关注部分,那什么是sql注入?SQL 注入是一种专门针对SQL语句的攻击方式。通过把SQL命令插入到web表单提交或输入域名或者页面请求的查询字符串中,利用现有的程序,讲这些恶意的SQL注...
JDBC_MYSQL.rar_JDBC-MYSQL_java jdbc mysql_java sql 简单
09-21
- 使用PreparedStatement可以防止SQL注入攻击,并提高查询效率。 7. **事务管理**: - JDBC提供对数据库事务的支持,通过`Connection`对象的`setAutoCommit(false)`来禁用自动提交,然后手动调用`commit()`或`...
Java代码审计】SQL注入
大河之犬的博客
12-15 1845
SQL 注入(SQL Injection)是因为程序未能正确对用户的输入进行检查,将用户的输入以拼接的方式带入 SQL 语句中,导致了 SQL 注入的产生。黑客通过 SQL 注入可直接窃取数据库信息,造成信息泄露。
浅谈JavaSQL注入问题
weixin_42603304的博客
03-07 2459
SQL注入什么是SQL注入Mybatis下SQL注入如何解决SQL注入 什么是SQL注入 所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 Mybatis下SQL注入 Mybatis的SQL语句可以基于注解的方式写在类方法上面,更多的是以xml的方式写到xml文件。Mybatis中SQL语句需要我们自己手动编写或者用generator自动生成。 编写xml文件时,Mybatis支持两种参数符号,一种是#,另一种是$。 Java
Jsp SQL.rar_JSP+Mysql_JSP_mysql_java mysql 访问_jsp mysql_jsp sql
09-21
4. **预编译语句与参数化查询**:使用PreparedStatement防止SQL注入,提高代码的可读性和安全性。 5. **结果集处理**:学习如何处理查询返回的结果集(ResultSet),并在JSP页面上显示数据。 6. **异常处理**:在...
重新学习MySQL数据库11:以Java的视角来聊聊SQL注入
Java技术江湖
01-17 1924
Java的视角来聊聊SQL注入 转自 javatikuJava面试那些事儿2017-08-09 在大二就接触过sql注入,之前一直在学习windows逆向技术,认为web安全以后不是自己的从业方向,所以当时也就没有深入研究。工作多年来,本人也一直从事安全开发相关工作,随着Java的市场份额越来越重,在工作中接触Java的机会也越来越多,也是机缘巧合的契机,自己开始走向了偏 Java开...
java web sql注入测试(2)---实例测试
weixin_30488313的博客
12-02 385
以下篇幅,用一个简单的实例说明如何进行测试。 功能:根据用户NAME删除用户,采用的是SQL拼接的方式,核心代码部分如下: public static void deleteByName(String name)throws Exception{ Session session = seesionfactory.openSession(); org.hibernate.Tr...
java mysql sql注入_java安全-SQL注入漏洞
weixin_34837971的博客
01-27 345
漏洞简介SQL 注入漏洞在以下情况下出现:1. 数据从一个不可信赖的数据源进入程序。2. 数据用于动态地构造一个 SQL 查询。String userName = ctx.getAuthenticatedUserName();String itemName = request.getParameter("itemName");String query = "SELECT * FROM items ...
SQL注入测试
澎湖Java架构师的博客
05-18 396
0x01 等保测评项 GBT 22239-2019《信息安全技术 网络安全等级保护基本要求》中,8.1.4.4安全计算环境—入侵防范项中要求包括: a)应遵循最小安装的原则,仅安装需要的组件和应用程序; b)应关闭不需要的系统服务、默认共享和高危端口; c)应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制; d)应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求; e)应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞; f)应能够检
Mysql以及SQL注入Java学习笔记)
m0_59803718的博客
03-16 125
Mysql的进阶操作
JAVA代码审计篇-SQL注入
m0_60571990的博客
03-10 1482
JAVA代码审计篇-SQL注入
JAVA学习笔记 MySQL8 - SQL注入
weixin_44238109的博客
03-17 358
什么是SQL注入 用户往传值的地方传递进来了SQL语句导致原有SQL语句的逻辑发生改变,从而达到一些非法目的,这个过程叫做SQL注入。 select count(*) from user where username='abcd' and password='' or '1'='1' PreparedStatement 带有预编译效果的执行SQL语句的对象。 通过此对象可以解决SQL注入的问题。 将编译SQL语句的时间点从执行时提前到了创建时, 在创建PreparedStatement
java mysql 注入攻击_SQL注入攻击原因及预防
weixin_32239819的博客
01-27 156
前言客户测试反馈说我们的代码有SQL注入的风险,查了一下确实有一处。咱来说说SQL注入问题吧SQL注入到底是什么SQL注入是一种注入攻击,,可以执行恶意SQL语句。它通过将任意SQL代码插入数据库查询,使攻击者能够完全控制Web应用程序后面的数据库服务器。攻击者可以使用SQL注入漏洞绕过应用程序安全措施;可以绕过网页或Web应用程序的身份验证和授权,并检索整个SQL数据库的内容;还可以使用SQL注...
Java连接MySQL(SQL注入攻击以及解决方法)
哈哈哈哈_哈士奇的博客
08-30 2003
Java中简单的MySQL连接操作 基本步骤: 1.加载驱动类   Class.forName(“com.mysql.jdbc.Driver”); 2.建立连接   Connection conn = DriverManager.getConnection(url,user,password);   三个参数的解读:     url:"jdbc:mysql://localhost:3306/is...
Java防范SQL注入:策略与示例
"Java防止SQL注入是保护系统安全的关键措施,因为SQL注入攻击是通过利用程序员编程时未充分验证用户输入的漏洞进行的。这种攻击方式并不依赖操作系统或其他系统的漏洞,而是直接针对SQL语句。在描述的例子中,攻击者...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值