测试sql注入问题,了解前端登录功能

最新推荐文章于 2021-06-27 22:02:19 发布
最新推荐文章于 2021-06-27 22:02:19 发布
阅读量183 收藏
点赞数 1
文章标签: java jdbc mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44028537/article/details/114454365
版权

写在文章的开头,首先需要导入mysql/j 的jar包,去maven仓库直接下载就好

需要操作的数据表
在这里插入图片描述
数据表名:user,属性:
在这里插入图片描述

一、根据user表创建User实体类

/**
 * @author: changqing
 * @date: 2021/3/6 16:00
 */
public class User {
    private Long id;
    private String username;
    private String password;
    private String nickname;

    public User() {
    }

    public User(Long id, String username, String password, String nickname) {
        this.id = id;
        this.username = username;
        this.password = password;
        this.nickname = nickname;
    }

    public Long getId() {
        return id;
    }

    public void setId(Long id) {
        this.id = id;
    }

    public String getUsername() {
        return username;
    }

    public void setUsername(String username) {
        this.username = username;
    }

    public String getPassword() {
        return password;
    }

    public void setPassword(String password) {
        this.password = password;
    }

    public String getNickname() {
        return nickname;
    }

    public void setNickname(String nickname) {
        this.nickname = nickname;
    }

    @Override
    public String toString() {
        return "User{" +
                "id=" + id +
                ", username='" + username + '\'' +
                ", password='" + password + '\'' +
                ", nickname='" + nickname + '\'' +
                '}';
    }
}

二、封装一个JDBC的工具类,用来获取连接对象和关闭资源

import java.sql.*;

/**
 * @author: changqing
 * @date: 2021/3/6 13:43
 */
public final class JDBCUtil {

    private JDBCUtil() {
    }

    private static final String url = "jdbc:mysql://localhost:3306/jdbctest";
    private static final String user = "root";
    private static final String password = "123456";


    //注册驱动
      static {
          try {
              Class.forName("com.mysql.cj.jdbc.Driver");
          } catch (ClassNotFoundException e) {
              e.printStackTrace();
          }
      }

    /**
     * 获取数据连接对象
     * @return 数据库连接对象
     */
    public static Connection getConnection(){
        Connection connection = null;
        try {
            connection = DriverManager.getConnection(url, user, password);

        } catch (SQLException e) {
            e.printStackTrace();
        }
        return connection;

    }


    public static void closeAll(ResultSet set, Statement statement,Connection connection){

        if (set != null){
            try {
                set.close();
            } catch (SQLException e) {
                e.printStackTrace();
            }
        }

        if (statement != null){
            try {
                statement.close();
            } catch (SQLException e) {
                e.printStackTrace();
            }
        }

        if (connection != null){
            try {
                connection.close();
            } catch (SQLException e) {
                e.printStackTrace();
            }
        }

    }


}

三、创建User的数据访问对象UserDao类

import org.jgs2010entity.User;
import org.util.JDBCUtil;

import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;

/**
 * @author: changqing
 * @date: 2021/3/6 16:07
 */
public class UserDao {
    public User getOne(String username,String password) throws SQLException {
        //获取连接对象
        Connection connection = JDBCUtil.getConnection();


            //获取语句执行者,这里用预编译
        PreparedStatement preparedStatement =
                connection.prepareStatement("select*from user where username = ? and password = ?");
            //设置值
            preparedStatement.setString(1,username);
            preparedStatement.setString(2,password);
            //执行sql语句
        ResultSet resultSet = preparedStatement.executeQuery();

        User user = null;
        //将查到的结果存在user对象中
        if (resultSet.next()){
            user = new User(resultSet.getLong("id"), resultSet.getString("username"),
                    resultSet.getString("password"), resultSet.getString("nickname"));
        }

        //释放资源
        JDBCUtil.closeAll(resultSet,preparedStatement,connection);

        return user;
    }
}

四、测试类

/**
 * 测试sql注入问题
 * @author: changqing
 * @date: 2021/3/6 16:36
 */
public class Demo03 {
    public static void main(String[] args) throws SQLException {
        UserDao userDao = new UserDao();
        Scanner scanner = new Scanner(System.in);

        while (true){
            System.out.println("请输入用户名:");
            String username = scanner.nextLine();
            System.out.println("请输入密码 :");
            String password = scanner.nextLine();

            User one = userDao.getOne(username, password);
            if (one !=null){
                System.out.println("登录成功,欢迎"+one.getNickname());
            }else {
                System.out.println("用户名或密码错误。");
            }


        }



    }
}
盘点法兰西
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
sql注入检测工具
05-30
大家可以利用这个工具检测目前已经开发的外网网站,主要是将url地址暴露给外网用户的页面。防止受到外网的SQL注入攻击。
安全测试SQL注入
最新发布
qq_41661843的博客
02-24 655
SQL注入利用SQL注入漏洞,攻击者可以暴露数据库中的敏感信息,如用户账号、密码等字段值。
【数据库】SQL代码注入浅谈
深圳-雄少(XZee)
10-29 945
SQL代码注入浅谈 转载地址:http://www.51testing.com/html/84/359684-235292.html 通常大部分的网站你要得到更多的浏览权限,必须要经过登录进行身份验证,那么如何避开登录获取权限呢? 要避开登录,那么就要了解它的登录机制。 许多基于表单的登录功能应用程序使用数据库保存用户证书,用户每次登陆通常执行一个简单的SQL 查询语句 例如: Sel
宽字节SQL注入相关
baynk的博客
09-16 480
根据比赛题目写的环境,其余的都不用写了,有这两个就可以了,最近效率有点低,好在一直在坚持学习。 sql注入漏洞攻防 服务器场景:sqliserver 服务器场景操作系统:Microsoft Windows Server 2003(实际为win10) 服务器场景安装服务:apache2.4+php5.4+mysql集成环境 第一题,绕过IP的限制 通过伪造http头部信息,绕过服务器对于ip地址...
登录测试——SQL注入
Growing_way的博客
11-05 8589
登录页面的安全性测试包含一项:防止SQL注入 什么是SQL注入 SQL Injection:就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 例如: 填好正确的用户名(marcofly)和密码(test)后,点击提交,将会返回给我们“欢迎管理员”的界面。 select * from users where username=‘mar...
需要输入验证码的登录框使用SQLMAP进行注入攻击
我想做一个好人<svg/onload=Alert`1`>(
11-06 4937
多时候,在测试登录框注入的时候,会遇到有验证码。 这里考虑验证码单次输入不失效的场景。   首先,配置好burpsuite和chrome,输入admin' 密码随意,正确的验证码。   把request请求copy to file.然后不要关闭浏览器与burpsuite。   打开SQLMAP进行注入. SQLMAP -r raw.log --proxy="http://127.0....
sql注入学习——使用sql注入进行登录,使用union进行攻击注入
Demonslzh的博客
06-27 4209
1、sql注入环境搭建 为了方便对sql注入学习,我们首先搭建一个简单的web页面,数据库使用postgresql,具体页面如下 需要这个页面源码的可以去关注页面底部公众号后台回复获取 2、使用sql注入进行登录 数据库的用户信息如下 看下登录的一个主要逻辑,登录成功后前端页面显示当前用户所拥有的权限,登录失败则显示permission denied #!/usr/bin/env python3 # -*- coding: utf-8 -*- """ 1) change to directory co
SQL注入测试总结
热门推荐
07-11 4万+
SQL注入测试总结本文以MySQL数据库为例,其它数据库仅供参考。1 黑盒测试1.1 手工测试Web应用的主要注入点有:① POST请求体中的参数② GET请求头URL中的参数③ Cookie1.1.1 内联注入1、字符串内联注入测试字符串变种预期结果'N/ A触发数据库返回错误。' OR '1' = '1') OR ('1' = '1永真,返回所有行。value' OR '1' = '2valu...
【渗透测试实战】具体案例——讲讲SQL注入攻击是怎么回事?
请大家直接把问题写在评论区或留言,不要只说一句"你好 或 在吗",我会尽快回复的。
04-26 2432
目录 写在前面 1、 网站分析 2、初步探测 3、注入sql测试 4、获取查询长度 5、获取数据库相关信息 6、通过注入,我们拿到了数据库的初步信息 写在前面 作为一个防御型小白帽 你一定要知道进攻套路 才能有相应的防御措施 声明:只做测试,发现对方的漏洞,并不进行破坏性操作 1、 网站分析 地址:http://www.xxx.com.tw/ 这是一家中国TW地区的网站,看着满屏的繁体字,就不是很舒服 网站首页包括:关于我们、资料下载、联络方式等等。 ...
用户登录页面--SQL注入
李书明(石家庄)的专栏
01-23 1万+
web网站攻击方式多种多样,sql注入是经常使用的攻击方向。攻击者把SQL命令插入到Web表单的输入域或页面请求的字符串,欺骗服务器执行恶意的SQL命令 SQL注入不是Web或数据库服务器中的缺陷,而是由于编程实践较差且缺乏经验而导致的。 动态拼接的SQL指令最易受攻击。 如登录时使用的SQL指令: $query = 'SELECT * from Users WHERE login = ' ...
知乎大神萧井陌web前端课程
10-24
第8章 传统数据库、sql注入和mongo安装使用、mongo日常使用 第9章 前端基础、dom和事件、js todo 第10章 ajax 第11章 css 第12章 linux基础 第13章 flask框架 第14章 使用sshkey连接linux服务器、rsa原理和git软件...
一款针对Webpack等前端打包工具所构造的网站进行快速、高效安全检测的扫描工具
04-12
本工具支持自动模糊提取对应目标站点的API以及API对应的参数内容,并支持对:未授权访问、敏感信息泄露、CORS、SQL注入、水平越权、弱口令、任意文件上传七大漏洞进行模糊高效的快速检测。在扫描结束之后,本工具还...
基于springboot大学生体质测试管理系统+LW+PPT.zip
04-25
系统实现了数据加密和防止SQL注入等安全措施,确保数据的安全性和完整性。 可以根据客户需求进行二次开发和定制,满足不同客户的需求。 提供详细的使用文档和技术支持,确保用户能够轻松上手使用本系统。
WEB前端助手(FeHelper)_v2019.09.0320.crx
01-14
网页油猴工具(网页特效、网页定制、脚本注入、自动刷新等) Ajax调试功能(需在控制台中使用) 网页编码设置(UTF-8、GBK、日文、韩文等) 我的便签笔记(便签笔记,支持导出) 人像背景移除(将人物照片中的...
基于Java springboot的体质测试数据分析及可视化设计源码+lw+ppt.zip
04-27
系统实现了数据加密和防止SQL注入等安全措施,确保数据的安全性和完整性。 可以根据客户需求进行二次开发和定制,满足不同客户的需求。 提供详细的使用文档和技术支持,确保用户能够轻松上手使用本系统。
登录测试用例sql语句注入
weixin_34195142的博客
08-11 2660
利用SQL注入漏洞登录后台的实现方法 作者: 字体:[增加减小] 类型:转载 时间:2012-01-12我要评论 工作需要,得好好补习下关于WEB安全方面的相关知识,故撰此文,权当总结,别无它意。读这篇文章,我假设读者有过写SQL语句的经历,或者能看得懂SQL语句 早在02年,国外关于SQL注入漏洞的技术文章已经很多,而国内在05年左右才开始的。   如今,谈SQ...
SQL注入测试测试
狂飙兔的博客
10-13 3342
SQL注入测试测试点 1.输入域的值为数字型,用1=1,1=2法 若满足条件,则存在SQL注入漏洞,程序没有对提交的整型参数的合法性做过滤或判断 2.输入域的值为字符型,用 ’1=1’, ’1=2’ 法 若满足条件,则存在SQL注入漏洞,程序没有对提交的字符型参数的合法性做过滤或判断 3.输入域中的值为搜索型,用’and [查询条件] and ‘%’=’% 等 若满足条件,则存在SQ
软件测试测试前端功能测试范围说明
06-10
前端功能测试是指对应用程序前端界面的各项功能进行测试,主要目的是验证应用程序的功能是否符合需求规格说明书中的要求,以及用户的期望。其测试范围包括以下方面: 1. 用户界面测试测试应用程序前端界面的外观和交互是否符合需求规格说明书中的要求,包括界面布局、颜色、字体、控件设计和操作等。 2. 功能测试测试应用程序前端界面的各项功能是否符合需求规格说明书中的要求,包括输入验证、数据处理、计算、输出等。 3. 兼容性测试测试应用程序前端界面在不同的操作系统、浏览器、分辨率和设备上的兼容性,确保应用程序在各种情况下都能正常运行。 4. 性能测试测试应用程序前端界面的响应速度、加载速度、界面刷新速度等,确保应用程序在各种情况下都能保持良好的性能。 5. 安全测试测试应用程序前端界面的安全性,包括输入验证、防止跨站脚本攻击、防止SQL注入、防止文件上传攻击等。 总之,前端功能测试的范围比较广泛,测试人员需要综合考虑应用程序的各种情况,确保应用程序的前端界面在各种情况下都能正常运行,并且满足用户的期望。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值