mysql注入漏洞语句_SQL注入漏洞过程实例及解决方案

最新推荐文章于 2024-08-09 17:46:44 发布
最新推荐文章于 2024-08-09 17:46:44 发布
阅读量359 收藏
点赞数
文章标签: mysql注入漏洞语句
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42307002/article/details/113415957
版权

代码示例:

public class JDBCDemo3 {

public static void demo3_1(){

boolean flag=login("aaa' OR ' ","1651561"); //若已知用户名,用这种方式便可不用知道密码就可登陆成功

if (flag){

System.out.println("登陆成功");

}else{

System.out.println("登陆失败");

}

}

public static boolean login(String username,String password){

Connection conn=null;

Statement stat=null;

ResultSet rs=null;

boolean flag=false;

try {

conn=JDBCUtils.getConnection();

String sql="SELECT * FROM user WHERE username='"+username+"'AND password='"+password+"'"; //此处是SQL注入漏洞的关键,因为是字符串的拼接,会使查询语句变为:SELECT * FROM user WHERE username='aaa' OR '' AND password='1651561',此查询语句是可得到结果集的,便出现此漏洞

stat=conn.createStatement();

rs=stat.executeQuery(sql);

if(rs.next()){

flag=true;

}else{

flag=false;

}

} catch (SQLException e) {

e.printStackTrace();

}

return flag;

}

解决方法,使用PrepareStatment:

public static void demo3_1(){

boolean flag=login1("aaa' OR ' ","1651561");

if (flag){

System.out.println("登陆成功");

}else{

System.out.println("登陆失败");

}

}

public static boolean login1(String username,String password){

Connection conn=null;

PreparedStatement pstat=null;

ResultSet rs=null;

boolean flag=false;

try {

conn=JDBCUtils.getConnection();

String sql="SELECT * FROM user WHERE username=? AND password=?"; //使用?代替参数,预先设置好sql格式,就算在输入sql关键字也不会被sql识别

pstat=conn.prepareStatement(sql);

pstat.setString(1,username); //设置问号的值

pstat.setString(2,password);

rs=pstat.executeQuery();

if(rs.next()){

flag=true;

}else{

flag=false;

}

} catch (SQLException e) {

e.printStackTrace();

}

return flag;

}

}

使用以上解决办法就无法通过SQL注入漏洞登陆用户成功。

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持我们。

本文标题: SQL注入漏洞过程实例及解决方案

本文地址: http://www.cppcns.com/shujuku/mysql/303508.html

咕咕粒
关注
sql注入 登录 mysql_利用SQL注入漏洞登录后台的实现方法
weixin_29313423的博客
01-19 544
早在02年,国外关于SQL注入漏洞的技术文章已经很多,而国内在05年左右才开始的。如今,谈SQL注入漏洞是否已是明日黄花,国内大大小小的网站都已经补上漏洞。但,百密必有一疏,入侵是偶然的,但安全绝对不是必然的。前些天,网上传得沸沸扬扬的“拖库”事件给我们敲响了安全警钟。在开发网站的时候,出于安全考虑,需要过滤从页面传递过来的字符。通常,用户可以通过以下接口调用数据库的内容:URL地址栏、登陆界面、...
mysql5 注入漏洞
10-30
mysql5注入漏洞代码
Mysql SQL注入漏洞
weixin_34060741的博客
06-17 212
学习网址:http://www.cnblogs.com/rush/archive/2011/12/31/2309203.html      https://www.cnblogs.com/sdya/p/4568548.html 网络安全:网络攻击技术——Broken authentication      网络攻击技术(三)——Denial Of Service      网络攻击技术(二...
浅析 MYSQL数据库SQL 注入漏洞
最新发布
weixin_44644646的博客
08-09 32
怎么发信sql漏洞
MySql注入漏洞
weixin_44906495的博客
04-20 1574
1、简介   1.1、SQL注入的本质   web程序代码中对于用户提交的参数未做过滤就直接放到SQL语句中执行,导致参数中的特殊字符打破了SQL语句原有逻辑,黑客可以利用该漏洞执行任意SQL语句.      1.2、什么是SQL注入   1.是一种将SQL语句插入或添加到应用(用户)的输入参数中的攻击   2.这些参数传递给后台的SQL数据库服务器加以解析并执行.      1...
漏洞-MySQL注入
山下南徒的博客
07-10 493
确定使用了MySQL PHP程序一般搭配MySQL http://dynamicfountain.com/page-products-en.php?id=29%27%20and%201=1--+True http://dynamicfountain.com/page-products-en.php?id=29%27%20and%201=1--False 由注释符判定数据库为MySQL。 引发报错信息 page.php?id=' String concatenation(字符串连接) http://dy
mysql注入漏洞_WEB 安全学习 一、mysql 注入漏洞
weixin_29009881的博客
02-08 219
转载: https://www.cnblogs.com/cui0x01/p/8620524.html一、Mysql数据库结构数据库A表名列名数据数据库B表名列名数据Mysql5.0以上自带数据库:information_schemainformation_schema:存储mysql下所有信息的数据库(数据库名,表名,列名)参数及解释database():数据库名user():数据库用户versi...
MySQL存储过程中实现执行动态SQL语句的方法
12-15
以下是一个实例,展示了如何在MySQL存储过程中实现执行动态SQL语句的方法: 首先,我们创建一个名为`set_col_value`的存储过程,它接受四个输入参数: 1. `in_table`:表示要更新的表名。 2. `in_column`:表示要...
SQL注入漏洞演示源代码
09-13
这个压缩包中的"SQL注入漏洞演示源代码"提供了一个实例,用于帮助理解这种漏洞的工作原理和防范措施。在这个源代码中,开发者可能模拟了一个存在SQL注入问题的web登录系统,以便用户能够通过实际操作了解这种漏洞。 ...
mysql sql语句性能调优简单实例
12-16
以下是一些关于MySQL SQL语句性能调优的简单实例和方法。 首先,我们关注的案例是一个名为`sp_wplogin_register`的存储过程,它在执行时显得非常缓慢。针对这种情况,我们可以采取以下步骤进行调试和优化: 1. **...
13 WEB漏洞SQL注入MYSQL注入
qq_52718293的博客
04-29 2116
SQL 是一门 ANSI 的标准计算机语言,用来访问和操作数据库系统-。SQL 语句用于取回和更新数据库中的数据。SQL 可与数据库程序协同工作,比如 MS Access、DB2、Informix、MS SQL Server、Oracle、Sybase 以及其他数据库系统。本来有一些基础知识有在sql注入小总里写,现在还是再提一下: information_schema.tables:记录所有表名信息的表 information_schema.columns:记录所有列名信息的表 table_name:表名
Web漏洞-mysql注入
qq_54190167的博客
03-20 872
web漏洞mysql注入
SQL注入漏洞mySQL基础
goldfish8848的博客
06-24 885
本文主要介绍数据库相关的基础知识,对之后SQL注入漏洞的学习有很大帮助
SQL注入漏洞Mysql与MSSQL特性)
errorr0
07-01 635
Mysql与MSSQL的特性
针对mysqlsql注入漏洞测试(MySql版)
白瞳洛的博客
08-11 656
我们先来判断下这个表中有几个字段使用 order by1以上的,如果说页面不正常了,肯定就超过这个数了,比如我们使用6来。6报错那就表述这个字段只有5个了。 id=1 order by 6# id=1-1 union select 1,2,3,4,5#--下面获取每个字段 我们换成user(),@@version数据库版本,database()当前使用的数据库,@@basedirmysql的安装路径,随后会返回一些敏感信息 id=1-1 union select user(),@@v...
WEB漏洞-SQL注入MYSQL注入
硫酸超的博客
07-27 485
SQL注入MYSQL注入前言高权限注入及低权限注入跨库查询及应用思路文件读写操作参考资料路径获取常见方法常见读取文件列表常见写入文件问题魔术引号及常见防护低版本注入配合读取或暴力 小于5.0版本 前言 MYSQL注入中首要明确当前注入点权限,高权限注入时有更多的攻击手法,有的能直接进行getshell操作。其中也会遇到很多阻碍,相关防御方案也要明确,所谓知己知彼,百战不殆。不论作为攻击者还是防御都需要了解其中的手法和原理,这样才是一个合格的安全工作者。 高权限注入及低权限注入 root在MYSQL数据
【墨者学院】MySQL数据库手工注入漏洞(详细篇)
weixin_71487689的博客
11-12 904
背景介绍: 安全工程师"墨者"最近在练习SQL手工注入漏洞,自己刚搭建好一个靶场环境Nginx+PHP+MySQL,PHP代码对客户端提交的参数未做任何过滤。尽情的练习SQL手工注入吧。 思路: 掌握SQL注入原理; 了解手工注入的方法; 了解MySQL的数据结构; 了解字符串的MD5加解密;
PHP SQL注入漏洞解析与防护策略
"这篇文档是关于PHP中SQL注入漏洞的示例及修复方法。通过介绍SQL注入的步骤和提供一个具体的实例,展示了如何利用注入漏洞非法访问数据库,并给出了防范措施。" 在PHP web开发中,SQL注入是一种常见的安全威胁,它...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值