java 注入攻击_JAVA 基础之SQL注入防范

最新推荐文章于 2024-08-24 04:39:10 发布
最新推荐文章于 2024-08-24 04:39:10 发布
阅读量130 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39990410/article/details/114459911
版权

SQL注入 Java 预编译语句 安全性 PreparedStatement
关键词由CSDN通过智能技术生成

java之sql注入漏洞

以及如何防范

所谓SQL注入,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力

首先创建一个数据库工具类

package zr;

import java.sql.Connection;

import java.sql.DriverManager;

import java.sql.PreparedStatement;

import java.sql.ResultSet;

import java.sql.SQLException;

import java.util.Scanner;

public class main2

{

public static void main(String[] args)

{

Scanner sc = new Scanner(System.in);

System.out.println("请输入用户名");

String username = sc.nextLine();

System.out.println("请输入密码");

String password = sc.nextLine();

try

{

Class.forName("com.mysql.jdbc.Driver");

} catch (ClassNotFoundException e)

{

System.out.println("加载驱动失败"+e.getMessage());

}

Connection conn = null;

PreparedStatement ps = null;

ResultSet rs = null;

try{

conn = DriverManager.getConnection("jdbc:mysql://localhost/study1?seUnicode=true&characterEncoding=UTF8", "root", "root");

String sql = "select count(*) c from T_Users where UserName='"+username+"' and PassWord = '"+password+"'";

ps = conn.prepareStatement(sql);

/*

* 存在注入漏洞 a' or 'a'='a

* 需要对其过滤

*/

/*String sql ="select count(*) c from T_Users where UserName=? and PassWord =?";

ps = conn.prepareStatement(sql);

ps.setString(1, username);

ps.setString(2, password);*/

rs = ps.executeQuery();

rs.next();

int c = rs.getInt("c");

System.out.println(c);

if(c<=0){

System.out.println("登录失败");

}

else{

System.out.println("登陆成功");

}

}catch(SQLException ex){

System.out.println("执行数据库出错"+ ex);

}

finally{

JDBCGB.closeQuiety(ps);

JDBCGB.closeQuiety(conn);

JDBCGB.closeQuiety(rs);

}

}

}

然后使用navicat工具在数据库里创建一个账号,再使用上面的代码进行登录

582f92d3ff3c7a14b5f8378b561aebd4.png

账号为任意值密码为

a' or 'a'='a

都可以登录成功原因是因为

2eb7b72f37b523aa747f419c9a7805b5.png

password的值永远为真值

所以where整个的数据也为真

这样就可以成功执行sql语句

261011b863ea02da8665c56197efa4e3.png

需要对sql语句进行过滤

ps = conn.prepareStatement(sql);

ps.setString(1, username);

ps.setString(2, password);

这里采用的是setstring的方法实现预编译处理

最终提升系统的安全性

weixin_39990410
关注
javaSQL注入与XSS攻击
weixin_44976692的博客
01-15 2万+
通过了解和防范SQL注入和XSS攻击,我们能够提高Java应用的安全性,保护用户的信息免受威胁。大家好,欢迎来到本文!在Java开发中,安全问题一直备受关注,其中SQL注入和XSS攻击是两个常见的安全隐患。是一种攻击手段,通过在应用的用户输入中注入恶意的SQL代码,从而篡改、查询或者删除数据库中的数据。攻击者通过构造精巧的输入,使应用误认为这些输入是合法的SQL语句。**XSS攻击(跨站脚本攻击)**则是通过在Web页面中注入恶意脚本,使用户在浏览器上执行这些脚本,从而盗取用户信息或者执行一些恶意操作。
java sql注入正则表达式_Java程序员从笨鸟到菜鸟之(一百零二)sql注入攻击详解(三)sql注入解决办法...
weixin_36074841的博客
02-24 615
我们了解了sql注入原理和sql注入过程,今天我们就来了解一下sql注入的解决办法。怎么来解决和防范sql注入,由于本人主要是搞javaweb开发的小程序员,所以这里我只讲一下有关于javaweb的防止办法。其实对于其他的,思路基本相似。下面我们先从web应用程序的角度来看一下如何避免sql注入:1、普通用户与系统管理员用户的权限要有严格的区分。如果一个普通用户在使用查询语句中嵌入另一个Dro...
java--SQL注入攻击
grey_mouse的博客
12-28 427
SQL注入攻击概述 该攻击也就是黑客或居心不良的人知晓了你底层使用拼接的方式连接SQL语句,也就有可能研究出绕过你检查的SQL语句,以下实例说明: 登录操作,检查用户名、密码是否正确 用Statement操作SQL语句 import java.sql.Connection; import java.sql.ResultSet; import java.sql.SQLException; ...
java-sql注入攻击
weixin_30312563的博客
01-04 237
注射式攻击的原理 SQL注射能使攻击者绕过认证机制,完全控制远程服务器上的数据库。SQL是结构化查询语言的简称,它是访问数据库的事实标准。目前,大多数Web应用都使用SQL数据库来存放应用程序的数据。几乎所有的Web应用在后台都使用某种SQL数据库。跟大多数语言一样,SQL语法允许数据库命令和用户数据混杂在一起的。如果开发人员不细心的话,用户数据就有可能被解释成命令,这样的话,远程用户就不仅能向...
java类的注入方式
weixin_41126568的博客
08-24 34
我整理的一些关于【Java】的项目学习资料(附讲解~~)和大家一起分享、学习一下:https://d.51cto.com/bLN8S1Java类的注入方式学习指南 在Java开发中,依赖注入是一种常见的设计模式,能够让我们的代码更加灵活、可测试和易于维护。本文将引导你通过注入的几种方式,帮助你理解如何实现Java类的注入...
java 命令注入攻击_Java编程安全漏洞之:注入漏洞
weixin_34175919的博客
02-13 1691
SQL_InjectionSQL查询语句注入,来自用户的数据通过字符串拼接的方式构筑到SQL语句中。修复建议使用带占位符的预编译执行方式的SQL语句,并且,所有非程序自身的数据都不参与SQL语句的构成。修复示例如:public void SQL_Injection(HttpServletRequest request, Connection c){String text = request.get...
Java -- 每日一问:你了解Java应用开发中的注入攻击吗?
Kevin Learn Android
11-18 526
每日一问:你了解Java应用开发中的注入攻击吗?
Java应用开发中的注入攻击
weixin_45748559的博客
09-13 389
注入式(Inject)攻击是一类非常常见的攻击方式,其基本特征是程序允许攻击者将不可信的动态内容注入到程序中,并将其执行,这就可能完全改变最初预计的执行过程,产生恶意效果。 下面是几种主要的注入攻击途径,原则上提供动态执行能力的语言特性,都需要提防发生注入攻击的可能。 首先,就是最常见的 SQL 注入攻击。一个典型的场景就是 Web 系统的用户登录功能,根据用户输入的用户名和密码,我们需要去后端数据库核实信息。 假设应用逻辑是,后端程序利用界面输入动态生成类似下面的 SQL,然后让 JDBC 执行。
Java Web防范SQL注入攻击.pdf
09-19
Java Web防范SQL注入攻击Java Web平台因其跨平台性和"一次编写,到处运行"的特性,被广泛应用在各种web应用程序开发中。然而,如果不妥善处理用户输入,就可能为SQL注入攻击提供机会。以下是一些Java Web环境中...
防范Java中的SQL注入:策略与实践
最新发布
08-30
SQL注入是一种常见的Web应用安全漏洞,它允许攻击者通过在应用程序的输入字段中插入恶意SQL代码,从而对数据库进行未授权的访问或操作。由于Java广泛用于企业级Web应用的开发,因此了解如何在Java中识别和防护SQL...
Sql注入原理简介_动力节点Java学院整理
09-09
了解SQL注入的原理和防范措施是保障Web应用安全的关键。 1. SQL注入的定义: SQL注入是通过将恶意SQL命令嵌入到用户提交的表单数据或URL参数中,使得服务器在处理这些数据时误执行这些命令。例如,当用户在登录界面...
javasql注入攻击过滤器
08-09
javasql注入攻击过滤器 filter
你了解Java应用开发中的注入攻击
雪雪
04-28 319
比如利用哈希碰撞发起拒绝服务攻击(DOS,Denial-Of-Service attack),常见的场景是,攻击者可以事先构造大量相同哈希值的数据,然后以 JSON 数据的形式发送给服务器端,服务器端在将其构建成为 Java 对象过程中,通常以 Hastable 或 HashMap 等形式存储,哈希碰撞将导致哈希表发生严重退化,算法复杂度可能上升一个数量级(HashMap 后续进行了改进,我在。可以进行输入校验,限定什么类型的输入是合法的,例如,不允许输入标点符号等特殊字符,或者特定结构的输入。
你了解Java应用开发中的注入攻击吗?
Andrew_Chenwq的博客
04-24 332
你了解Java应用开发中的注入攻击吗? 安全是软件开发领域永远的主题之一,随着新技术浪潮的兴起,安全的重要性愈发凸显出来,对于金融等行业,甚至可以说安全是企业的生命线。不论是移动设备、普通PC、小型机,还是大规模分布式系统,以及各种主流操作系统,Java作为软件开发的基础平台之一,可以说是无处不在,自然也就成为安全攻击的首要目标之一 今天我要问你的问题是,你了解Java应用开发中的注入攻击吗? 典型回答 注入式(Inject)攻击是一类非常常见的攻击方式,其基本特征是程序允许攻击者将不可信的动态内容注入
java injection_injection(注入
weixin_39743722的博客
02-24 653
injection(注入)的意思:Java EE提供了注入机制,使您的对象能够获取对资源和其他依赖项的引用,而无需直接实例化它们。通过使用将字段标记为注入点的注释之一来装饰字段或方法,可以在类中声明所需的资源和其他依赖项。然后容器在运行时提供所需的实例。注入简化了代码并将其与依赖项的实现分离。资源注入资源注入使您能够将JNDI名称空间中可用的任何资源注入到任何容器管理的对象中,例如servlet、...
JAVA中的防SQL注入攻击
Demo_x的博客
11-10 437
要想知道怎么防SQL注入攻击,就要先了解什么是SQL注入攻击SQL注入攻击是网络中一种常见的攻击方式, 它利用程序中的疏忽,在参数中加入一些关键字对SQL语句进行更改,将密码验证部分的功能架空,从而实现无需 密码进行登录,甚至是对数据库进行破坏。在另一篇文章里提到的statement语句就有可能出现这样的情况。 那么怎么防止SQL注入攻击呢,方式其实有很多。这...
Java应用中的SQL注入攻击防范
CJ.Yang
04-24 362
说说自己对注入的一些体会吧。 什么叫SQL注入?顾名思义,就是依赖于SQL语句的一种攻击方式,主要采用特殊字符串来处理的SQL漏洞。 这个SQL依赖注入已经是很老的漏洞了,现在基本上DAO层的编写已经很少使用纯JDBC来写sql语句了。 所以在没有使用framework来做DAO,而直接使用JDBC且凭凑的SQL语句的话,那么很容易产生依赖注入的漏洞,如下...
java sql注入_java程序中sql注入分析及优化方案
weixin_35757732的博客
02-12 949
先来看看百度百科的解释:所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。比如先前的很多影视网站泄露VIP会员密...
SQL注入攻击详解与防范策略
"SQL数据库注入攻击的种类和防范手段" SQL数据库注入攻击是网络安全领域中的一个严重威胁,它发生在应用程序不正确地处理用户输入时,允许攻击者通过构造恶意的SQL语句来操纵数据库。以下是关于SQL注入攻击的种类...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值