java sql注入_java程序中sql注入分析及优化方案

最新推荐文章于 2024-07-30 22:48:45 发布
最新推荐文章于 2024-07-30 22:48:45 发布
阅读量968 收藏 1
点赞数 1
文章标签: java sql注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_35757732/article/details/114030932
版权
本文详细介绍了SQL注入的概念,通过一个Java程序中的登录模块例子展示了SQL注入如何发生,当用户输入特殊构造的字符串时,可以绕过验证获取敏感信息。接着,文章提出了避免SQL注入的方法,通过使用预编译SQL语句和参数绑定来增强程序的安全性。
摘要由CSDN通过智能技术生成

先来看看百度百科的解释:

所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容易受到sql注入***.

1.java程序中sql注入实例:

以用户登录为例,已知用户名admin。

1c92ecd9ef4f5b56d730b69ca1d5b40a.png

登录时,后台执行的sql如下所示:select * from sys_user where userid = '' and USERPWD = ''

在未知用户密码的前提下,若在用户名中输入admin' and 1=1 or 'a'='a,则实际执行的sql为如下所示:select * from sys_user where userid = 'admin' and 1=1 or 'a'='a' and USERPWD = ''

后台执行结果如下所示,导致用户密码泄露:

51e5f323353ed0284555183f1b4865ac.png

登录模块Dao层代码:public List> login(String username, String password) {

String sql = "select * from sys_user where userid = '"+username+"' and userpwd = '"+password+"'";

return jdbcTemplate.queryForList(sql);

}

2.java程序中避免sql注入

例如上面登录模块Dao层代码,采用的字符串拼接方式来拼接sql语句会导致sql会被注入,因此Dao中有关sql拼接字符串方式的sql理论上都有sql注入的风险。采用对象传入的方式可有效避免这一问题。将上面Dao中的方法优化后,如下所示:public List> login(String username, String password) {

String sql = "select * from sys_user where userid = ? and userpwd = ?";

List obj = new ArrayList();

obj.add(username);

obj.add(password);

return jdbcTemplate.queryForList(sql, obj.toArray());

}

挽挽深铃
关注
java sql注入l
10-01
package com.tarena.dingdang.filter; 02 03 import java.io.IOException; 04 import java.util.Enumeration; 05 06 import javax.servlet.Filter; 07 import javax.servlet.FilterChain; 08 import javax.servlet.FilterConfig; 09 import javax.servlet.ServletException; 10 import javax.servlet.ServletRequest; 11 import javax.servlet.ServletResponse; 12 import javax.servlet.http.HttpServletRequest; 13 14 public class AntiSqlInjectionfilter implements Filter { 15 16 public void destroy() { 17 // TODO Auto-generated method stub 18 } 19 20 public void init(FilterConfig arg0) throws ServletException { 21 // TODO Auto-generated method stub 22 } 23 24 public void doFilter(ServletRequest args0, ServletResponse args1, 25 FilterChain chain) throws IOException, ServletException { 26 HttpServletRequest req=(HttpServletRequest)args0; 27 HttpServletRequest res=(HttpServletRequest)args1; 28 //获得所有请求参数名 29 Enumeration params = req.getParameterNames(); 30 String sql = ""; 31 while (params.hasMoreElements()) { 32 //得到参数名 33 String name = params.nextElement().toString(); 34 //System.out.println("name===========================" + name + "--"); 35 //得到参数对应值 36 String[] value = req.getParameterValues(name); 37 for (int i = 0; i < value.length; i++) { 38 sql = sql + value[i]; 39 } 40 } 41 //System.out.println("============================SQL"+sql); 42 //有sql关键字,跳转到error.html 43 if (sqlValidate(sql)) { 44 throw new IOException("您发送请求的参数含有非法字符"); 45 //String ip = req.getRemoteAddr(); 46 } else { 47 chain.doFilter(args0,args1); 48 } 49 } 50 51 //效验
SQL注入Java
weixin_33958366的博客
10-23 96
前面这篇文章介绍了SQL注入,并且主要就PHP的内容做了实验: http://www.cnblogs.com/charlesblc/p/5987951.html 还有这篇文章对处理方案做了介绍(PreparedStatement in PDO or mysqli) http://www.cnblogs.com/charlesblc/p/5988919.html   那么对于Java是怎样的情况呢?...
Java代码审计之SQL注入
tpaer的博客
12-05 2456
复现了JavaJDBC及Mybatis框架采用预编译和非预编译时可能存在SQL注入的几种情况,并给予修复建议。
JAVA代码审计之SQL注入,基于Spring boot和jdbc以及mybatis
GXcodes的博客
08-02 3358
本节讲述JavaWeb代码审计存在SQL注入漏洞的情况。基于spring boot,mysql,两种连接方式:jdbc和mybatis。代码比较多,适合自己创建项目,跟着走一遍,如果只想了解原理,可以忽略代码,只看大概即可。比如Controller类或者sql语句的编写。SQL注入漏洞是对数据库进行的一种攻击方式。其主要形成方式是在数据交互,前端数据通过后台在对数据库进行操作时,由于没有做好安全防护,导致攻击者将恶意代码拼接到请求参数,被当做SQL语句的一部分进行执行,最终导致数据库被攻击。
JAVA代码审计篇-SQL注入
m0_60571990的博客
03-10 1554
JAVA代码审计篇-SQL注入
java+sql.rar_SQL java_java s_java sql_java sql 简单_java.sql.
09-20
Java,JDBC是Java API的一个部分,它提供了一组接口和类,使得Java程序可以连接到各种类型的数据库,如MySQL、Oracle、SQL Server等。JDBC的核心概念包括: 1. **Driver Manager**:它是Java应用程序与数据库...
st.rar_SQL java_SQL 导入_java sql_java sql 2000_数据库作业
09-21
`Statement`适用于静态SQL语句,而`PreparedStatement`则用于预编译的SQL语句,能防止SQL注入攻击。 4. **数据导入**:描述提到“先要导入其的两个数据库文件”,这通常是指`.bak`或`.mdf`等数据库备份或数据...
java-sql-inspector:用于测试Java代码是否存在SQL注入漏洞的实用程序
02-17
Java SQL Inspector是一款强大的工具,专为检测Java代码SQL注入漏洞而设计。SQL注入是一种常见的安全威胁,攻击者可以通过在输入字段插入恶意SQL代码来操纵数据库查询,从而获取敏感信息、修改数据甚至完全...
避免sql注入_动力节点Java学院整理
08-29
最后,在Java Web应用程序,可以采用预编译语句集来解决SQL注入问题。预编译语句集内置了处理SQL注入的能力,只要使用它的setXXX方法传值即可。使用预编译语句集可以提高代码的可读性和可维护性,提高性能,极大地...
sql数据库查询_java_java_sqlserver_sql_
10-01
例如,使用PreparedStatement防止SQL注入,通过批处理减少网络通信,合理设计数据库架构以优化查询效率,以及正确设置连接池来管理数据库连接。 在"chapter12"这个文件,可能包含了更深入的讲解,如高级查询技巧...
JAVA防止SQL注入攻击类的源代码
04-26
JAVA防止SQL注入攻击类的源代码(包含网页版和程序代码两部分)
java--SQL注入攻击
grey_mouse的博客
12-28 436
SQL注入攻击概述 该攻击也就是黑客或居心不良的人知晓了你底层使用拼接的方式连接SQL语句,也就有可能研究出绕过你检查的SQL语句,以下实例说明: 登录操作,检查用户名、密码是否正确 用Statement操作SQL语句 import java.sql.Connection; import java.sql.ResultSet; import java.sql.SQLException; ...
Java代码审计】SQL注入
大河之犬的博客
12-15 1969
SQL 注入(SQL Injection)是因为程序未能正确对用户的输入进行检查,将用户的输入以拼接的方式带入 SQL 语句,导致了 SQL 注入的产生。黑客通过 SQL 注入可直接窃取数据库信息,造成信息泄露输入用户可控直接或间接拼入 SQL语句执行因 SQL 注入漏洞特征性较强,在实际的审计过程我们往往可以通过一些自动化审计工具快速地发现这些可能存在安全问题的代码片,如使用奇安信代码卫士、Fortify 等自动化工具。
Java代码审计-SQL注入
最新发布
qq_44780157的博客
07-30 1007
Java代码审计之SQL注入
Java代码审计篇:SQL注入
hackzkaq的博客
12-01 1374
前期与常规注入代码审计一样,找sql语句看是否存在字符串拼接,如果存在,通过查找参数的调用逻辑,理清逻辑,在构造payload时,先注册一个正常的用户名,但是用户名是带有sql语句的,比如 “ ‘union select user(),2.3# “,此时在登陆的时候就可以显示对应的信息。MyBatis 的 like 子句使用#{}程序会报错,所以为了避免报错,在开发的时候使用${},当使用like ‘#%{name}%’时,会报错。而使用like ‘$%{name}%’,时会正常执行。
java SQL注入
点>>滴>>成>>海
10-11 294
1.用户名随便输入 2.密码:1‘  or '1'='1
javasql注入详解
萤火虫,点点星光
02-22 3847
(1)代码如下package cn.packa.wwy;import java.sql.Connection;import java.sql.DriverManager;import java.sql.ResultSet;import java.sql.SQLException;import java.sql.Statement;import org.junit.Test;public class...
JAVA jdbc(数据库连接池)SQL注入
javazaixian的专栏
08-24 915
1.SQL注入的概念…   所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容易受到SQL注入式攻击.当应用程序使用输入内容来构造动态sql语句以访问数据库时,会发生sql注入攻击。如果代码使用存储过程,而这些存储
静态代码审计之SQL注入java
一杯咖啡的渗透记忆
03-29 900
三种不同框架类型的SQL JDBC--sql注入 Hibernate--sql注入 Mybatis、iBatis-- sql注入 SQL注入手工审计方法 步骤1:全局搜索“+”,找到存在+ 拼接的sql语句,查看参数是否有过滤,一般在DAO层 追溯上层函数,直到,doPost(HttpServletRequest request,HttpServletResponse response) 查看整个流程,有没有过滤非法字符串,如果没有,则存在sql注入 找到..
java sql注入 正则_Java-java程序防止sql注入的方法
05-25
Java程序防止SQL注入的方法有以下几种: 1. PreparedStatement:使用PreparedStatement代替Statement,PreparedStatement使用占位符(?)来表示参数,这样可以有效防止SQL注入攻击。 2. 使用Java的正则表达式对...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值