SQL 注入

最新推荐文章于 2024-08-05 22:55:20 发布
最新推荐文章于 2024-08-05 22:55:20 发布
阅读量212 收藏
点赞数
分类专栏: MySQL
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_37877068/article/details/71076540
版权

问题描述

在使用 PreparedStatement 之后可以解决 SQL 注入的问题, 但是其实如果字符串是 \' OR 1 = 1 OR \'' OR 1 = 1 OR ' , setString 之后的结果还是相同的, 那么这是真正的解决吗? MySQL 中的「\」也是转义的意思吗?

问题解决

MySQL 中的「\」

Java 测试代码

@Test
public void testLoginPreparedStat() throws Exception {

    //原本的用户名和密码
    String username = "DJ";
    String password = "admin";

    //如果使用SQL注入
    username = "' OR 1 = 1 OR '";
    password = "1";

    //创建连接进行查询
    Connection connection = JdbcUtil.getConnection();
    String sql = "SELECT * FROM t_login_day06 WHERE username = ? AND password  ?";
    PreparedStatement pst = connection.prepareStatement(sql);
    pst.setString(1, username);
    pst.setString(2, password);
    System.out.println(pst);
    ResultSet resultSet = pst.executeQuery();

    if (resultSet.next()) {
        System.out.println("恭喜登陆成功");
    } else {
        System.out.println("登陆失败");
    }
}

数据库内容

+----+-----------------+----------+
| id | username        | password |
+----+-----------------+----------+
|  1 | DJ              | admin    |
|  2 | ' OR 1 = 1 OR ' | 1        |
+----+-----------------+----------+

代码执行输出

com.mysql.jdbc.JDBC4PreparedStatement@63d4e2ba: SELECT * FROM t_login_day06 WHERE username = '\' OR 1 = 1 OR \'' AND password = '1'
恭喜登陆成功

根据输出结果可以得知「\」应该是转义的意思, 因为 SQL 语句中的 \' OR 1 = 1 OR \' 等价于数据库中的 ' OR 1 = 1 OR '

NYY1996
关注
专栏目录
SQL 注入漏洞详解
Toasten
07-23 1836
SQL 注入即是指 Web 应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在 Web 应用程序中事先定义好的查询语句的结尾上添加额外的 SQL 语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询从而进一步得到相应的数据信息。
SQL注入原理以及Spring Boot如何防止SQL注入(含详细示例代码)
12-29
SQL注入是一种严重的安全威胁,它允许攻击者通过在应用程序的输入字段中插入恶意SQL代码来执行未经授权的数据库操作。攻击者通常寻找没有适当验证和过滤的用户输入,然后利用这些漏洞来构造能改变原始SQL语句意图的...
sql注入详解
内心不种满鲜花就会长满杂草
05-05 21万+
SQL注入SQL Injection)是一种常见的Web安全漏洞,主要形成的原因是在数据交互中,前端的数据传入到后台处理时,没有做严格的判断,导致其传入的“数据”拼接到SQL语句中后,被当作SQL语句的一部分执行。 从而导致数据库受损(被脱库、被删除、甚至整个服务器权限陷)。 即:注入产生的原因是后台服务器接收相关参数未经过滤直接带入数据库查询...
SQL注入
m0_51457307的博客
11-08 2万+
一、什么是SQL注入 SQL注入SQL lnjection)是发生在Web程序中数据库层的安全漏洞,是比较常用的网络攻击方式之一,他不是利用操作系统的BUG来实现攻击,而是针对程序员编写时的疏忽,通过SQL语句,实现无账号登录,甚至修改数据库。也就是说,SQL注入就是在用户输入的字符串中添加SQL语句,如果在设计不良的程序中忽略了检查,那么这些注入进去的SQL语句就会被数据库服务器误认为是正常的SQL语句而运行,攻击者就可以执行计划外的命令或者访问未授权的数据。 二、SQL注入的原理 1.恶意拼接查
sql注入
leekos的博客,分享web安全相关知识~
12-06 2171
sql提交注入
Go语言Gin框架安全加固:全面解析SQL注入、XSS与CSRF的解决方案
热门推荐
qq_35716689的博客
02-04 37万+
在使用 Gin 框架处理前端请求数据时,必须关注安全性问题,以防范常见的攻击。作者: 鼠鼠我捏,要死了捏
SQL注入攻击与防护
weixin_62707591的博客
06-21 6652
攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,并且插入的恶意SQL命令会导致原有SQL语句作用发生改变,从而得到欺骗服务器执行恶意SQL命令的一种攻击方式。① 概述开源的自动化SQL注入工具,由Python写成② 主要功能扫描、发现、利用给定URL的SQL注入漏洞③ 特点。
细说——SQL注入
LainWith的博客
10-09 7937
目录SQL是什么?什么是SQL注入漏洞原理漏洞原因为什么会有SQL注入注⼊点可能存在的位置漏洞危害提交方法判断注入点判断字符型还是数字型sql注入绕过获取网站路径SQL 注入读写文件1. 数据库支持文件读写2. 当前用户具有文件权限3. 知道文件绝对路径查询方式及报错盲注⭐查询方式报错盲注报错注入函数二次注入原理实施步骤举例堆叠查询DNSlog脑图常见数据库,及注入相关⭐注释符、数据库端口数据库文件后缀名特有的数据库查看当前用户或权限ASCII转换函数不同数据库注入结果的区别⭐Sql注入中连接字符串常用函数
Mybatis防止SQL注入
Jc0803kevin的专栏
07-13 1367
防止SQL注入的中心思想就是参数化查询,将输入当作参数传递,而不是直接拼接到 SQL 语句中。常见的防止SQL注入的方式1、#{}2、3、[配置 SQL 注入过滤器](#配置 SQL 注入过滤器)
SQL注入攻击
qq_67812668的博客
08-05 1275
1.SQL注入的原理SQL注入就是通过web表单吧SQL命令提交到web应用程序,由于程序没有细致的过滤用户输入的数据,造成字符串拼接,进而恶意的SQL语句被执行,造成数据库信息泄露,网页篡改,数据库被恶意操作等 2.SQL注入的危害数据库信息泄漏:数据库中存放的用户的隐私信息的泄露。网页篡改:通过操作数据库对特定网页进行篡改。网站被挂马,传播恶意软件:修改数据库一些字段的值,嵌入网马链接,进行挂马攻击。数据库被恶意操作:数据库服务器被攻击,数据库的系统管理员账户被窜改。
DB2数据库SQL注入手册1
08-08
DB2数据库SQL注入手册 DB2数据库SQL注入手册是指在使用DB2数据库时,如何检测和防止SQL注入攻击的一份指南。SQL注入是一种常见的Web应用程序安全漏洞,攻击者可以通过在输入字段中 inject恶意SQL代码来访问或控制...
sql注入讲解ppt.pptx
08-10
SQL 注入基础知识点总结 SQL 注入是指 web 应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在 web 应用程序中事先定义好的查询语句的结尾上添加额外的 SQL 语句,在管理员不知情的情况下实现非法...
SQL 注入天书.pdf
08-06
SQL注入是一种常见的网络安全漏洞,发生在应用程序使用用户输入的SQL代码直接构建数据库查询时。当攻击者能够通过输入恶意SQL语句来控制或篡改数据库查询,他们就能获取敏感信息、修改数据甚至完全控制系统。《SQL...
SQL注入漏洞全接触.ppt
11-15
"SQL注入漏洞全接触"知识点总结 一、 SQL注入漏洞的定义和原理 * SQL注入漏洞是指攻击者通过构造特殊的输入,来获取或修改服务器上的敏感数据。 * SQL注入漏洞的原理是从客户端提交特殊的代码,从而收集程序及...
3 GH7用(RH8字体大小显示不正常) 模型内套图框.gh
10-18
3 GH7用(RH8字体大小显示不正常) 模型内套图框.gh
PHP-030网盘系统资源文档共享网站毕业课程源码设计+论文资料
10-18
编号:330 随着计算机网络普及到我们的生活中,越来越多的人已经认识并切身感受到,单凭在学校图书馆自身的信息资源储量很难最大限度地满足广大学生读者的信息需求,随着21世纪网络技术的发展与应用,很多的网站进行资源的共享以及对接,实现资源共建共享提供了必要的技术条件,并且形成资源共享网站,并吸引更多的用户使用网站,同时进行资源的上传,是资源得到进一步的扩充,从而一个良性的循环使得可利用的资源越来越多。 本文采用PHP技术开发了基于Web的教育资源共享系统,并且对该系统的技术方案的选择、系统功能的设计和实现等进行了介绍。在这个系统中,采用的是php动态网页设计技术和mysql数据库,可以灵活的管理和发布各种资料信息。本系统共分6大功能模块:教育资源查询、用户的上传下载功能、教育资源添加、上传资源的分类管理以及其他管理。 1.会员的注册、添加、密码的修改; 2.会员的上传资料,下载资料,信息投诉,评论功能; 3.游客身份查询资料; 4.管理员添加信息资源、发布公告功能; 5.管理员对会员上传资料的审核功能; 6.管理员对资料的分类项目的管理和添加、修改功能;
记录一些与大型模型相关的知识和方法.zip
10-18
记录一些与大型模型相关的知识和方法
Kivy-2.0.0-cp38-cp38-win_amd64.whl
10-18
Kivy-2.0.0-cp38-cp38-win_amd64.whl
会员制医疗预约服务管理信息系统 JAVA毕业设计 源码+数据库+论文 Vue.js+SpringBoot+MySQL.zip
最新发布
10-18
会员制医疗预约服务管理信息系统 JAVA毕业设计 源码+数据库+论文 Vue.js+SpringBoot+MySQL 系统启动教程:https://www.bilibili.com/video/BV11ktveuE2d
SQL注入攻防深度解析
"SQL注入天书是一份详尽介绍SQL注入技术的资料,涵盖了从基础到高级的ASP注入方法和技巧,适合不同水平的读者学习。" SQL注入是一种常见的网络安全漏洞,发生在Web应用程序未能充分验证和清理用户输入时。当用户...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值