jdbc中sql注入问题

最新推荐文章于 2024-04-16 16:45:06 发布
最新推荐文章于 2024-04-16 16:45:06 发布
阅读量179 收藏 1
点赞数
分类专栏: 2020.6 文章标签: sql 安全 java jdbc
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44048676/article/details/106772725
版权

  1. 问题出现的原因

    在jdbc中用于编译sql对象的Statement类的使用如

    String sql = "select * from jdbc where username = '"+username+"' and password = '"+password+"' ";
//获取执行sql的对象
stmt = conn.createStatement();
//执行sql语句
stmt.executeQuery(sql);

    假如传入的参数username为 ’or 1=1 ;-- ,或者参数password为a’ or ‘a’ = 'a。

    分析:

    ​ --在sql中是注释符号,password参数被注释掉了,sql变成了只有一个条件,且是永远成立的;意味着此时无论录入什么数据,此sql都会有返回值;此时不仅sql起不到原先控制用户信息的作用,如果此程序用在了登录模块上,且对返回值只判断是否为空的情况下,我只要像上面这样录入username,password录入任何信息都可以登录系统。

  2. 解决办法

    一般使用Prepared Statement来解决以及数据校验做得更加严密

    //1.获取连接
conn =  JDBCUtils.getConnection();
//2.定义sql
String sql="select * from jdbc where username = ? and password = ?";
//3.创建preparedStatement对象(解决sql注入问题)
pstmt = conn.prepareStatement(sql);
//4.给占位符?赋值
pstmt.setString(1,username); //下标从1开始
pstmt.setString(2,password);
//5.执行sql
rs = pstmt.executeQuery();
JaverZ
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
sql注入详解
m0_67392811的博客
06-12 5804
目录前言? ?一、漏洞原因分析二、漏洞危害三、sql注入防范四、如何挖掘sql注入漏洞五、常见的注入手法联合查询(union注入)报错注入基于布尔的盲注基于时间的盲注HTTP头注入宽字节注入堆叠查询二阶注入六、sql注入getshell的几种方式结构化查询语言(Structured Query Language,缩写:SQL),是一种特殊的编程语言,用于数据库的标准数据查询语言。SQL注入SQL Injection)是一种常见的Web安全漏洞,主要形成的原因是在数据交互,前端的数据传入到后台处理时,没
SQL注入问题
hhgxysxj的博客
01-19 1661
下述操作将会以MySql数据库为例 引用的是ums库的t_user表 表只有一条数据,username与password的数据均为admin 1.简介 SQL注入攻击是比较常见的网络攻击方式之一 它不是利用操作系统的BUG来实现攻击,而是发生于应用程序之数据库层的安全漏洞。 针对程序员编写时的疏忽通过SQL语句,实现无账号登录,甚至篡改数据库 简单来讲,是在输入的字符串之注入SQL的指令 那么这些注入进去的指令就会被数据库服务器误认为是正常的SQL指令而运行 因此遭到破坏或是入.
03-MySQLJDBCjdbc使用过程、自定义JdbcUtil类、jdbc事务、sql注入、PreparedStatement类、c3p0和Druid连接池】
欢迎来到编程小栈
04-22 386
文章目录一、JDBC1、JDBC简介2、JDBC核心API使用01)JDBC注册驱动**显式注册驱动****隐式注册驱动**02)JDBC连接数据库03)JDBC操作数据库04)JDBC数据查询小结3、自定义JDBCUtil工具类4、JDBC事务5、SQL注入6、PreparedStatement解决SQL注入7、JDBC调用存储过程(了解)8、三层开发业务分析9、执行DQL查询结果封装成集合的操作10、连接池**01)单次创建连接的问题****02)连接池解决现状问题的原理****04)连接池好处****
漏洞篇(SQL注入三)_sql注入漏洞解决方法(1),带着问题深入学习Handler
最新发布
04-16 334
代码过滤了 or 和 AND,大小写同样都被过滤了。
Sql注入详解(原理篇)
Naive的博客
09-11 9068
SQL 注入漏洞非常复杂,区分各种数据库类型,提交方法,数据类型等注入,同样此类漏洞是WEB安全严重的安全漏洞,学习如何利用,挖掘,修复也是很重要的。SQL 注入就是指 Web 应用程序对用户输入的数据合法性没有过滤或者是判断,攻击者可以在Web应用程序事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。
JDBC如何有效防止SQL注入
12-14
JavaJDBC编程,防止SQL注入至关重要,以下是一些有效的策略: 1. **预编译SQL语句(PreparedStatement)**: 使用`PreparedStatement`代替`Statement`是防止SQL注入的基本方法。预编译的SQL语句将参数化查询...
Mybatis防止sql注入的实例
08-30
这样可以避免sql注入问题。 Mybatissql语句是一个具有“输入+输出”功能,类似于函数的结构,例如:”int”> select id,title,author,content from blog where id=#{id} 这里,parameterType标示了输入的参数...
sqljdbcsqljdbc4 sqlserver最新驱动
04-21
在实际使用时,要注意安全最佳实践,比如避免SQL注入,使用预编译的PreparedStatement,及时关闭数据库连接,以及考虑使用连接池以提高性能和资源管理。 7. 兼容性: 这些驱动通常兼容各种SQL Server版本,包括...
sqljdbc42 jdbc for java
07-19
3. 参数化查询:避免SQL注入攻击,应使用PreparedStatement进行参数化查询。 4. 使用JDBC 4.2新特性:如利用try-with-resources语法自动关闭资源,简化代码。 总结,SQLJDBC42作为JavaSQL Server之间的关键接口,...
JAVA代码审计之SQL注入
06-14
本章节课程主要从以下三方面详细的介绍了如何针对java代码sql注入的审计方法及黑盒验证: 1、JDBC连接方式下sql注入的存在的形态及修复方法,like、in情况在如何安全使用预处理来防范sql注入 2、在使用Mybatis框架...
java编程学习笔记——mybatis SQL注入问题
玩赚AI大模型的博客
08-30 757
SQL 注入攻击  首先了解下概念,什么叫SQL 注入:  SQL注入攻击,简称SQL攻击或注入攻击,是发生于应用程序之数据库层的安全漏洞。简而言之,是在输入的字符串之注入SQL指令,在设计不良的程序当忽略了检查,那么这些注入进去的指令就会被数据库服务器误认为是正常的SQL指令而运行,因此遭到破坏或是入侵。  最常见的就是我们在应用程序使用字符串联结...
JDBCSQL注入
DZH2020的博客
08-14 1113
JDBCSQL注入
JDBC操作数据库08(sql注入问题
fanfjaiyun的博客
02-15 126
sql注入SQL注入SQLi)是一种注入攻击,,可以执行恶意SQL语句。它通过将任意SQL代码插入数据库查询,使攻击者能够完全控制Web应用程序后面的数据库服务器。攻击者可以使用SQL注入漏洞绕过应用程序安全措施;可以绕过网页或Web应用程序的身份验证和授权,并检索整个SQL数据库的内容;还可以使用SQL注入来添加,修改和删除数据库的记录。 sql注入步骤: 寻找注入点,构造特殊的语句 ...
防止SQL注入
weixin_33873846的博客
03-28 190
参考:http://hi.baidu.com/wangyue06/item/c00c824b35cf740ae835049c 1.传统JDBC,采用PreparedStatement 。预编译语句集,内置了处理SQL注入的能力 String sql= "select * from users where username=? and password=?"; //如果把?改为:u...
sql注入问题及解决方案
Geek的专栏
06-07 763
mysql注入问题
JDBCSQL注入问题小结
xmy1208945213的博客
09-03 141
SQL注入问题 ​在拼接sql时,有一些sql的特殊关键字参与字符串的拼接,会造成安全问题 1.例如: 输入的用户名随意,输入的密码:a’ or ‘a’ = ‘a 定义sql的代码如下: // 定义sql String sql = "select * from user where username = '" + username + "' and password = '" + password + "'"; ​ 如果根据所给例子输入随意的用户名和密码a’ or ‘a’ = ‘a,则最终执行的sq
jdbc sql注入
09-30
SQL注入是一种安全漏洞,指的是攻击者通过向用户输入的数据注入恶意的SQL代码,从而执行未经授权的数据库操作。攻击者可以通过修改原始的SQL查询或者添加额外的查询来绕过应用程序的身份验证和授权机制,进而获取...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值