html防sql注入攻击,JSP基本登录模块Ⅴ(防SQL注入攻击)

于 2021-06-11 16:08:20 发布
阅读量232 收藏
点赞数
文章标签: html防sql注入攻击

在JSP基本登录模块Ⅳ中,如果在密码栏输入“'or'1'='1”,我们发现不知道密码也可以登录成功。

这是因为当我们的密码为“'or'1'='1”时,SQL语句变为:

Select*FROM member Where username='magci'and password=''or'1'='1''1'='1'是永真的,这条SQL语句是能通过验证的。

这就是SQL注入攻击。

为了防止SQL注入攻击,可以使用PraparedStatement对象操作数据库。

改进后的登录模块如下:

附加功能:防止SQL注入攻击

登录模块至少需要以下几个页面:1.检查Cookie页面(index.jsp);2.输入用户信息页面(login.jsp);3.用户合法性验证页面(check.jsp);4.登录成功欢迎页面(pass.jsp)(检查Session设置);5.登录失败提示页面(failure.jsp);6.注销登录页面(logout.jsp)。

数据库:member.mdb

结构图:---------------------------------------------------------------------index.jsp||判断Cookie中有无用户名、密码----------------------|Y                 N||V|login.jspcheck.jsp||查询用户名、密码|V|member.mdb||返回结果|V|check.jsp||判断用户是否合法|---------------------||Y                N||V                       V|pass.jsp           failure.jsp------->||||检查session是否含有用户名|-----------------||Y             N||V                  V|pass.jsp          跳转------------------------->||||注销|V|logout.jsp------------------------------------>|---------------------------------------------------------------------index.jsp:

程序代码

index

String C_password="";//获取全部CookieCookie c[]=request.getCookies();for(i=0;i

{//在Cookie中查找用户名、密码,如果找到,则分别将其赋值给用户名、密码变量if("username".equals(c[i].getName()))

C_username=c[i].getValue();if("password".equals(c[i].getName()))

C_password=c[i].getValue();

}if(!"".equals(C_username)&&!"".equals(C_password))

{//Cookie中有用户名、密码,将用户名、密码提交到验证页面response.sendRedirect("check.jsp?username="+C_username+"&password="+C_password);

}else{//Cookie中没有用户名、密码,跳转到登录页面%>login.jsp:

程序代码

登录

登录页面

用户名:
密  码:
Cookie选项:不保存保存1分钟
check.jsp:

程序代码

验证页面

String Password=request.getParameter("password");

String IsCookie=request.getParameter("cookie");//定义标志,标记是否为合法用户,true为合法,false为非法Boolean isUser=false;//定义数据库连接驱动finalString DBDRIVER="sun.jdbc.odbc.JdbcOdbcDriver";//定义数据库连接地址finalString DBURL="jdbc:odbc:member";//定义变量存放SQL语句String sql=null;//定义数据库连接对象Connection conn=null;//定义数据库操作对象PreparedStatement pstmt=null;//定义结果集ResultSet rs=null;try{//加载数据库驱动Class.forName(DBDRIVER);//连接数据库conn=DriverManager.getConnection(DBURL);//预预处SQL语句sql="Select * FROM member Where username=? and password=?";//实例化数据库操作对象pstmt=conn.prepareStatement(sql);//设置psmt中“?”对应的变量pstmt.setString(1,Username);

pstmt.setString(2,Password);//查询数据库,返回结果集rs=pstmt.executeQuery();if(rs.next())

{//数据库中有符合的记录,合法用户isUser=true;

}//关闭结果集rs.close();//关闭操作pstmt.close();//关闭连接conn.close();

}catch(Exception e)

{

System.out.println(e);

}//判断用户名、密码的合法性if(isUser)

{//合法用户if("save".equals(IsCookie))

{//如果选择了保存Cookie选项,则保存CookieCookie c1=newCookie("username",Username);

Cookie c2=newCookie("password",Password);//设置Cookie保存时间为1分钟c1.setMaxAge(60);

c2.setMaxAge(60);

response.addCookie(c1);

response.addCookie(c2);

}//设置session属性session.setAttribute("username",Username);//跳转到欢迎页面%>pass.jsp:

程序代码

登录成功

{//session的username属性里含有用户名,可以浏览此页面%>

登录成功!!

欢迎光临!

注销登录

您还没有登录!

3秒之后跳转到登录页面

如果没有跳转,请点这里

}%>

failure.jsp:

程序代码

登录失败

登录失败!!

重新登录
logout.jsp:

程序代码

注销登录

注销成功!

3秒后跳转到登录页面

如果没有跳转,请点这里

本文来自CSDN博客,转载请标明出处:http://blog.csdn.net/samsunge808/archive/2009/02/11/3878091.aspx
BE东欲
关注
致远互联FE协作办公平台 apprvaddNew.jsp SQL注入漏洞复现
0xSec
08-03 533
​致远互联FE协作办公平台 apprvaddNew.jsp 接口处存在SQL注入漏洞,未经身份验证的攻击者可以通过此漏洞获取数据库敏感信息,深入利用可获取服务器权限。
JSP SQL注入攻击分析
10-30
上周给别人做了个网站,无意间发现自己的作品有很多漏洞,在短短的20秒就被自己用sql注入法给干了。所以查了一点关于sql注入的资料,并且有点感悟,希望能与新手们分享一下。高手们见笑了!
超强JSPSQL注入攻击
cnbird's blog
04-16 5635
第一种采用预编译语句集,它内置了处理SQL注入的能力,只要使用它的setString方法传值即可: String sql= "select * from users where username=? and password=?; PreparedStatement preState = conn.prepareStatement(sql); preState.setString(1, us
PHP过滤post,get敏感数据
Feebas
11-23 4073
//php 批量过滤post,get敏感数据 if (get_magic_quotes_gpc()) { $_GET = stripslashes_array($_GET); $_POST = stripslashes_array($_POST); } function stripslashes_array(&$array) { while(list($key,$var) = each($a
JSP基本登录模块Ⅴ(SQL注入攻击)
samsunge808的专栏
02-11 1807
 在JSP基本登录模块Ⅳ中,如果在密码栏输入“ or 1=1”,我们发现不知道密码也可以登录成功。这是因为当我们的密码为“ or 1=1”时,SQL语句变为:Select * FROM member Where username=magci and password= or 1=11=1是永真的,这条SQL语句是能通过验证的。这就是SQL注入攻击。为了止S
sql注入
user_last的博客
10-14 132
什么是sql注入攻击 所谓SQL注入攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。 b.在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入攻击。 c.常见的SQL注入攻击过程例如: (1)某个ASP.NET Web应用有一个登录页面,这个登录页面控制着用户是否有权访问应用,它要求用户输入一个名称和密码。 (2)登录页面中输
SQL注入攻击及其范检测技术研究
05-09
### SQL注入攻击及其范检测技术研究 #### 一、SQL注入攻击概述 ##### 1.1 SQL注入技术定义 SQL注入(SQL Injection)攻击是指攻击者利用Web应用程序中未经过滤或验证的用户输入,向应用程序发送恶意SQL代码,...
JSP源码jsp+sql毕业选题系统(论文)
03-09
- 对用户输入的数据进行验证和过滤,SQL注入攻击; - 使用HTTPS协议传输敏感数据; - 实现用户权限控制机制,确保不同角色访问不同的资源。 3. **性能优化** - 使用缓存技术减少数据库查询次数; - 合理...
【计算机专业JSP-毕业设计100套之】JSP+SQL电量监视系统设计与实现(源代码+论文)
03-31
6. **安全性考虑**:在实际应用中,系统需要考虑安全问题,如SQL注入、XSS攻击等,这可能需要使用预编译语句、过滤输入数据等方式实现。 7. **论文撰写**:源代码之外,还包括论文部分,详细阐述系统的架构设计...
JSP源码JSP+SQL网上书店设计(源代码+论文)
最新发布
03-09
- **安全性考虑**:确保用户数据的安全,比如密码加密存储、SQL注入攻击等。 - **性能优化**:合理设计数据库表结构、采用缓存机制减少数据库访问次数等方法提高系统响应速度。 - **用户体验**:优化页面布局...
JSP如何SQL注入攻击
04-10
上周给别人做了个网站,无意间发现自己的作品有很多漏洞,在短短的20秒就被自己用sql注入法给干了。所以查了一点关于sql注入的资料,并且有点感悟,希望能与新手们分享一下。高手们见笑了!
html页面 sql注入,使用html仅阻止SQL注入
weixin_42361611的博客
06-03 436
在使用Javascript/HTML,以提高安全性是有办法做到这一点在HTML号正如其他人所指出的那样,你不能做任何事情提高安全性你的HTML或Javascript。原因是您的浏览器和您的服务器之间的通信对攻击者完全透明。任何开发人员可能都熟悉Firefox,Chrome等中的“开发人员工具”。即使是那些在大多数新型浏览器中都有的工具,也足以创建任意HTML请求(甚至通过HTTPS)。因此,您的服...
jsp mysql 注入_Jsp+Mysql网站注入并拿root权限的全过程
weixin_42365492的博客
02-01 517
很多人可能都知道asp,php的编程要sql注入漏洞,而并不知道jsp编程同样也需要sql注入漏洞.其实,一旦jsp代码有注入漏洞,将直接影响到整个系统的安全。本文就是主要展示一下我的一次JSP+MYSQL注入导出webshell的过程。www.***.***.cn是国内某一个著名研究所的网站,我们在这里对其进行善意的测试。当然,在写此文之前我已经将漏洞通知了网站管理员.并对文中所有的图片...
java(or jsp)sql注入
志当存高远
06-08 3426
1.使用prepareStatemenet2.使用正则表达式表达式一:Regex   knownBad   =   new   Regex(@"^?;/;/--|d(?:elete/sfrom|rop/stable)|insert/sintols(?:elect/s/*|p_)|union/sselect|xp_$");表达式二:      检测SQL   meta-characters的正则
jspsql注入
tanfei113的博客
03-28 933
一、SQL注入简介     SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 二、SQL注入攻击的总体思路 1.寻找到SQL注入的位置 2.判断服务器类型和后台数据库类型 3.针对不通的服务器和数据库特点进行SQL注入攻击  
JSP网站如何SQL注入攻击
langkeziju的专栏
07-19 1396
转载于:http://jingyan.baidu.com/article/5225f26b187d62e6fa0908f3.html SQL注入是目前很流行的一种攻击方式,可以达到多方面的破坏,对于JSP网站,如果疏忽,一样存在该问题: (1) 获取网站管理员密码,然后进行登陆后台破坏的目的; (2) 也可以获取整个数据库中的数据,造成数据泄漏; (3) 也可以删除修改数据库数据,
JSP SQL注入
weixin_30596023的博客
04-07 790
Login.JSP <%@ page language="java" import="java.util.*" pageEncoding="UTF-8"%> <% String path = request.getContextPath(); String basePath = request.getScheme() + "://" ...
JSP下Statement存在SQL注入攻击漏洞验证
EchoSun's Blog
10-30 1070
环境配置:mysql下 create database demo; use demo; create table user(username varchar(100),password varchar(100)); insert into user values("test","test"); send.jsp pageEncoding="UTF-8"%>
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值