参数化查询预防SQL注入代码原理展示!

已于 2023-12-26 10:13:51 修改
阅读量343 收藏 1
点赞数
分类专栏: 渗透测试 文章标签: java 数据库 安全性测试
于 2023-08-28 16:07:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42628854/article/details/132540495
版权

本文目的:身为安全人员在给开发人员进行网络安全培训时进行代码演示必不可少,本文为记录培训时为java开发人员提供的sql注入漏洞产生原理的演示与防御方法的代码演示。

代码简介:使用mysql-connector-java-8.0.28.jar(不必局限于此版本)实现jdbc,针对sql注入防御采用预编译处理的方式,使用mysql数据库。

数据库表设计:简单的user展示表

idusernamepasswordphoneaddress
1zhangsanzhangsan52118866667777中国
2lisilisi66618899990000中国
3testtest18899991111中国

存在sql注入漏洞展示代码:

import java.sql.*;

public class SQLInjectionExample {
    public static void main(String[] args) {
        String username = "admin' OR '2'='2'-- qwe'";//万能密码注入
        String password = "password123";

        try {
            Connection conn = DriverManager.getConnection("jdbc:mysql://10.16.106.18:3306/sqltest", "root", "look@1024");
            Statement stmt = conn.createStatement();

            // 构建SQL查询语句
            String query = "SELECT * FROM user WHERE username='" + username + "' AND password='" + password + "'";
            ResultSet rs = stmt.executeQuery(query);

            if (rs.next()) {
                System.out.println("登录成功!");
            } else {
                System.out.println("用户名或密码错误!");
            }

            conn.close();
        } catch (SQLException e) {
            e.printStackTrace();
        }
    }
}

sql注入预处理防御代码展示:

import java.sql.*;

public class SecureSQLExample {
    public static void main(String[] args) {
        String username = "lisi' or 1=1";
        String password = "lisi666";

        try {
            Connection conn = DriverManager.getConnection("jdbc:mysql://10.16.106.18:3306/sqltest", "root", "look@1024");

            // 使用PreparedStatement和参数化查询
            String query = "SELECT * FROM user WHERE username=? AND password=?";
            PreparedStatement stmt = conn.prepareStatement(query);
            stmt.setString(1, username);
            stmt.setString(2, password);
            System.out.println(query);
            ResultSet rs = stmt.executeQuery();

            if (rs.next()) {
                System.out.println("登录成功!");
            } else {
                System.out.println("用户名或密码错误!");
            }

            conn.close();
        } catch (SQLException e) {
            e.printStackTrace();
        }
    }
}

SQL注入原理预防SQL注入的方法
m0_58816585的博客
05-31 1510
网络安全成为了现在互联网的焦点,这也恰恰触动了每一位用户的神经,担心网上的信息以及个人隐私遭到泄露。下面要为大家介绍的是SQL注入,对于sql注入,相信程序员都知道或者使用过,如果没有了解或完全没有听过也没有关系,我们可以通过下面来一起学习下。 什么是sql注入sql注入就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(
SQL注入是什么?SQL注入原理预防方法
JustinMars的博客
06-12 1089
SQL注入是由于对用户输入处理不当引发的严重安全漏洞,防止SQL注入需要综合使用参数化查询、准备语句、输入验证、转义等技术,同时遵循最小权限原则并进行定期安全测试代码审计。通过这些措施可以有效防止SQL注入攻击,保护应用程序和数据的安全。
java防止SQL注入
11-19
java防止SQL注入对一个系统十分的重要,系统没有安全保障,那再好的系统也是扯淡。在平时系统开发中一定注意安全漏洞
sql注入攻击与防御java_Java应用中的SQL依赖注入攻击和防范
weixin_39710295的博客
02-28 176
说说自己对注入的一些体会吧。什么叫SQL依赖注入?顾名思义,就是依赖于SQL语句的一种攻击方式,主要采用特殊字符串来处理的SQL漏洞。这个SQL依赖注入已经是很老的漏洞了,现在基本上DAO层的编写已经很少使用纯JDBC来写sql语句了。所以在没有使用framework来做DAO,而直接使用JDBC且凭凑的SQL语句的话,那么很容易产生依赖注入漏洞,如下用户登录模块(目前手头项目中就有活生生的例子...
Java预防 SQL 注入,从零基础到精通,收藏这篇就够了!
最新发布
韩束一叶子
03-21 1056
场景安全做法高风险做法(避免!执行 SQL 查询使用参数化拼接字符串生成 SQL动态表名/列名白名单校验合法值直接拼接用户输入输入验证正则表达式白名单过滤仅在前端验证或不做验证错误信息处理记录日志,返回通用错误提示返回详细数据库错误信息ORM 框架优先使用 Hibernate/JPA 的 Criteria 或 HQL手动拼接 HQL 或 JPQL关键点绝不信任用户输入:所有外部输入(包括 HTTP 请求参数、Cookie、Headers)均需验证和转义。代码审查。
java如何防止sql注入
weixin_44965143的博客
02-11 5881
什么是sql注入 SQL注入是比较常见的网络攻击方式之一,在客户端在向服务器发送请求的时候,sql命令通过表单提交或者url字符串拼接传递到后台持久层,最终达到欺骗服务器执行恶意的SQL命令;它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库sql注入可能产生的影响 恶意用户可以未经授权访问您的应用程序并窃取数据。 他们可以更改,删除数据库中的数据并关闭您的应用程序。 黑客还可以通过执行数据库特定...
java实战:防止SQL注入常用方法及代码示例
oandy0的博客
02-15 2283
本文将介绍几种在Java中防止SQL注入的常用方法,并提供详细的代码示例。我们将探讨使用预编译的SQL语句(Prepared Statements)、使用ORM框架、使用SQL模板引擎和参数化查询等方法。通过本文,可以了解到如何在Java应用程序中实施有效的安全措施,以防范SQL注入攻击。
SQL 注入防御方法总结
hjm4702192的专栏
01-11 783
SQL 注入是一类危害极大的攻击形式。虽然危害很大,但是防御却远远没有XSS那么困难。SQL 注入可以参见:https://en.wikipedia.org/wiki/SQL_injectionSQL 注入漏洞存在的原因,就是拼接 SQL 参数。也就是将用于输入的查询参数,直接拼接在 SQL 语句中,导致了SQL 注入漏洞。1. 演示下经典的SQL注入我们看到:select id,no from
SQL参数化查询防止注入原理解析
参数化查询预防SQL注入的有效方法,但其工作原理并不广为人知。本文将探讨为什么参数化查询能够防止SQL注入,并简述SQL执行的基本流程。" 在数据库操作中,SQL注入攻击通常是由于程序动态构建SQL语句,未对用户...
SQL 注入 SQL注入原理 如何避免SQL注入
12-12
SQL注入是网络安全领域的一个...预防SQL注入需要在软件开发的整个周期内,从设计、编码、测试到部署上线等环节实施周密的安全措施。通过上述方法的应用,可以有效地防范SQL注入攻击,保护Web应用程序及用户数据的安全。
Sql注入原理简介_动力节点Java学院整理
09-09
SQL注入是一种常见的网络安全威胁,主要针对使用SQL(结构化查询语言)操作数据库的应用程序。攻击者通过在输入字段中插入恶意的SQL代码,欺骗服务器执行非预期的数据库操作,从而获取敏感信息、篡改数据甚至破坏...
SQL注入安全问题解决方案-JAVA
11-25
SQL注入安全问题解决方案-JAVA SQL注入安全问题解决方案-JAVA
java开发中推荐的防御sql注入方法_java如何防止sql注入
weixin_33601402的博客
12-31 1323
SQL注入是比较常见的网络攻击方式之一。它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,被不法用户钻了SQL的空子,通过SQL语句,实现无帐号登录,甚至篡改数据库。下面本篇就来给大家介绍几种java防止sql注入的方法,希望对你们有所帮助。javaSQL注入,最简单的办法是杜绝SQL拼接。SQL注入攻击能得逞是因为在原有SQL语句中加入了新的逻辑,如果使用PreparedSta...
java开发中推荐的防御sql注入方法_java 防止sql注入的方法(非原创)
weixin_34620163的博客
12-31 772
一、SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 二、SQL注入攻击的总体思路一、SQL注入简介SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。二、SQL注...
javasql注入方法小结
chenjhit的博客
10-16 4091
本文对java操作数据库的一项重点内容——防sql注入进行说明。对现有方法进行了简单优劣讨论与总结,供大家参考讨论。 重点:不要将用户输入内容,在未经检查的情况下,直接拼接为sql语句进行数据库访问操作。 防sql注入方法如下: 过滤输入 对输入内容进行充分过滤,可以利用正则表达式进行匹配。 例如:“(?:’)|(?:–)|(/\*(?:.|[\n\r])?\/)|(and|exec|...
Java项目防止SQL注入的四种方案
热门推荐
学IT,找陈寒
10-10 1万+
SQL注入是一种严重的安全漏洞,但通过采取适当的预防措施,可以有效地防止它。在Java项目中,使用预编译语句、输入验证和过滤、ORM框架以及安全的数据库访问库是防止SQL注入攻击的四种常见方法。选择适合你的项目的方法,并始终保持警惕,以确保你的应用程序免受潜在的威胁。😊🙏Java面试技巧Java面试八股文 - 掌握面试必备知识(目录篇)Java学习路线2023年完整版Java学习路线图AIGC人工智能Chat GPT是什么,初学者怎么使用Chat GPT,需要注意些什么Java实战项目。
Nginx 防止SQL注入、XSS攻击的实践配置方法
justlpf的专栏
01-03 2290
参考文章:Nginx 防止SQL注入、XSS攻击的实践配置方法 将下面的Nginx配置文件代码放入到对应站点的.conf配置文件[server]里,然后重启Nginx即可生效。 if ($request_method !~* GET|POST) { return 444; } #使用444错误代码可以更加减轻服务器负载压力。 #防止SQL注入 if ($query_string ~*...
SQL 注入漏洞详解
m0_60571990的博客
12-19 3962
SQL 注入漏洞详解
代码审计-Java项目审计-SQL注入漏洞
A1_3_9_7的博客
11-12 455
代码审计必备知识点:1、代码审计开始前准备:环境搭建使用,工具插件安装使用,掌握各种漏洞原理及利用,代码开发类知识点。2、代码审计前信息收集:审计目标的程序名,版本,当前环境(系统,中间件,脚本语言等信息),各种插件等。3、代码审计挖掘漏洞根本:可控变量及特定函数,不存在过滤或过滤不严谨可以绕过导致的安全漏洞。4、代码审计展开计划:审计项目漏洞原理->审计思路->完整源码->应用框架->验证并利用漏洞代码审计两种方法:功能点或关键字分析可能存在的漏洞
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值