JAVA学习笔记 MySQL8 - SQL注入

最新推荐文章于 2024-05-12 08:31:27 发布
最新推荐文章于 2024-05-12 08:31:27 发布
阅读量327 收藏
点赞数
分类专栏: JAVA学习笔记 MySQL 文章标签: sql java 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44238109/article/details/123521350
版权

什么是SQL注入

用户往传值的地方传递进来了SQL语句导致原有SQL语句的逻辑发生改变,从而达到一些非法目的,这个过程叫做SQL注入。

select count(*) from user where username='abcd' and password='' or '1'='1'

PreparedStatement

  • 带有预编译效果的执行SQL语句的对象。
  • 通过此对象可以解决SQL注入的问题。

将编译SQL语句的时间点从执行时提前到了创建时, 在创建PreparedStatement对象时将SQL语句进行编译,此时用户输入的内容还没有放到SQL语句里面, 这时编译的好处是将SQL语句业务逻辑锁死, 之后再将用户输入的内容添加进去,这样原有SQL语句的逻辑就不会被用户输入的内容改动,从而避免了SQL注入的问题。

String sql = "select count(*) from user where username=? and password=?";
            PreparedStatement ps = conn.prepareStatement(sql);
            //替换掉?
            ps.setString(1,username);
            ps.setString(2,password);
            ResultSet rs = ps.executeQuery();

改进上篇注册

        //获取连接
        try (Connection conn = DBUtils.getConn()) {
            //查询用户名是否存在
            String sql = "select id from user1 where username=?" ;
            PreparedStatement ps = conn.prepareStatement(sql);
            ps.setString(1,username);
            ResultSet rs = ps.executeQuery();
            if (rs.next()) {
                System.out.println("用户名已存在!");
                return;//结束方法
            }
            //代码继续执行说明没有注册过
            String regSql = "insert into user1 values(null,?,?,?)";
            PreparedStatement regPs = conn.prepareStatement(regSql);
            regPs.setString(1,username);
            regPs.setString(2,password);
            regPs.setString(3,nick);
            regPs.executeUpdate();//执行注册
            System.out.println("注册完成!");
        } catch (SQLException throwables) {
            throwables.printStackTrace();
        }

马里亚纳景川
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
一篇文章弄懂mysql8新特性注入
蚁景网安学院
11-16 917
前言最近打比赛的时候遇到了mysql8的知识点,这里就从环境搭建开始到注入一起一步步慢慢学习。环境搭建我这里是用docker在服务器上拉的,然后用navicat来看的下载docker pu...
Java模拟SQL注入问题及解决方案
毫无感情的吃瓜群众的博客
02-01 660
Java模拟SQL注入问题及解决方案
深入浅出带你学习MYSQL8特性注入
最新发布
qq_53058639的博客
05-12 273
今天给大家带来的是MYSQL8版本的特性注入,说起SQL注入大家一定不陌生,可是你有没有想过,当SQL注入中最关键的函数SELECT被过滤后,我们要如何去执行SQL语句呢,这就是本文要讲的内容,即利用MYSQL8版本的特性来进行关键字的绕过注入。给大家分享了关于MYSQL8特性注入的知识不知道大家学会了没有,总结来说MYSQL8特性注入还是围绕了MYSQL8中新增的两个函数来展开的,有兴趣的小伙伴可以自己搭建环境去手动试一试,总的来说还是非常有趣的,喜欢本文的朋友希望能一键三连支持一下。本文正在参加。
MYSQL8.0特性—无select注入
Innocence_0的博客
08-15 177
mysql8.0之后又有了一个新特性,可以在过滤select的情况下,爆出我们需要的表名、字段、数据。
深入浅出了解MYSQL8特性注入是什么
Java_LingFeng的博客
11-17 571
今天给大家带来的是MYSQL8版本的特性注入,说起SQL注入大家一定不陌生,可是你有没有想过,当SQL注入中最关键的函数SELECT被过滤后,我们要如何去执行SQL语句呢,这就是本文要讲的内容,即利用MYSQL8版本的特性来进行关键字的绕过注入。
注入id列表_MYSQL8.0注入新特性
weixin_39606799的博客
12-23 493
更多全球网络安全资讯尽在邑安全0x01 环境配置出现了两个新的关键字table和values,本来想用phpstudy搭建的,但是这两个出现在8.0.19之后..phpstudy只有8.0.12选择使用docker搭建docker pull mysql:8.0.22docker run -itd -p 3306:3306 -e MYSQL_ROOT_PASSWORD=123456 mys...
云的学习笔记-云的学习笔记系统-云的学习笔记系统源码-云的学习笔记管理系统-基于ssm的云的学习笔记系统-ssm-java代码
02-06
zookeeper云的学习笔记-云的学习笔记系统-云的学习笔记系统源码-云的学习笔记管理系统-云的学习笔记管理系统java代码-云的学习笔记系统设计与实现-基于ssm的云的学习笔记系统-基于Web的云的学习笔记系统设计与实现-...
java学习笔记sql常用语句
12-14
DDL(Data Definition Language):数据库定义语句;  DML(Data Manipulation Language):用于增删改查数据库中数据;  DCL(Data Control Language)用来向用户赋予/取消对数据...”,但执行mysql语句则需要加“;”
java学习笔记Java-IO操作共19页.pdf.zi
10-30
java学习笔记Java_IO操作共19页.pdf.zip
Pwnhub2021七月赛NewSqlmysql8注入)
feng的博客
07-14 1603
Pwnhub2021七月赛NewSqlmysql8注入) 前言 以前虽然知道mysql8的sql注入,但是没有真正的去了解过,正好昨天晚上知道了pwnhub最近的比赛里出了这道题,就顺便复现,学习一下mysql8的SQL注入新特性。 学习文章 MYSQL8.0注入新特性 通过这篇文章学习一下基础的知识。 基础知识补充 文章中使用了information_schema.SCHEMA等来得到数据库,然后得到数据表,但实际上有这么个数据表information_schema.TABLESPACES_EXTEN
MySQLSQL 注入
12-16
MySQLSQL 注入 如果您通过网页获取用户输入的数据并将其插入一个MySQL数据库,那么就有可能发生SQL注入安全的问题。 本章节将为大家介绍如何防止SQL注入,并通过脚本来过滤SQL中注入的字符。 所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 我们永远不要信任用户的输入,我们必须认定用户输入的数据都是不安全的,我们都需要对用户输入的数据进行过滤处理。 以下实例中,输入的用户名必须为字母、数字及下划线的组合,且用户名长度为 8 到 20 个字符之间: if (preg_match("/^w{8
Java连接MySQL(SQL注入攻击以及解决方法)
哈哈哈哈_哈士奇的博客
08-30 1953
Java中简单的MySQL连接操作 基本步骤: 1.加载驱动类   Class.forName(“com.mysql.jdbc.Driver”); 2.建立连接   Connection conn = DriverManager.getConnection(url,user,password);   三个参数的解读:     url:"jdbc:mysql://localhost:3306/is...
PreparedStatement ps = conn.prepareStatement(sql);在eclipse中跑不通的问题,http报错500
热门推荐
XRN的博客
05-20 2万+
博主在eclipse中运行tomcat跑web项目进行学习的时候,愣是发现老是报错500,500不是404这种连不上数据库的问题。百度了好多都是说标题这句话传的是空指针导致错误,可是我感觉我的问题跟这个空指针有点不一样的。具体代码如下public class UserDAO { //用户名、密码、手机号 //数据的插入 //sql // insert into 表名(字段名1,字段名2,....
mysql 中prepare statement(预处理)
果汁华的博客
08-18 6807
  今天前同事问了一个sql语法优化问题,后来查资料的过程中,发现了一个prepare statement 这玩意。使用并测试了下性能,感觉未来能用上。记录下。 当时我在解决一个大表,分页问题。目前的分页sql一般有这几种(原文): --方法1: 直接使用数据库提供的SQL语句 ---语句样式: MySQL中,可用如下方法: SELECT * FROM 表名称 LIMIT M,N ---适...
【网安干货】MySQL8新特性注入技巧
HBohan的博客
08-17 1866
新增的表 information_schema.TABLESPACES_EXTENSIONS 从mysql8.0.21开始出现的, table 关键字出现的比较早,在8.0.19之后就有了,所以如果想要使用,还是先要试试这个表有没有,如果 mysql 版本正好在 8.0.19-8.0.21 之间的话,就无法使用了 这个表好用就好用在,它直接存储了数据库和数据表 mysql> table information_schema.TABLESPACES_EXTENSIONS; +-----------
MySQL8新特性注入技巧
2201_75857869的博客
01-14 151
只能输出一个字段的内容,limit只能控制行数,select 是可以控制输出指定字段但是这里不允许,因为是 MySQL版本是 8.0.21 所以我们可以采用 table 和 小于号进行盲注,table 始终显示表的所有列,我们可以注其中一个字段,这里过滤了 or 所以打算采用另一个存储数据库名和表单名的视图。关键字出现的比较早,在8.0.19之后就有了,所以如果想要使用,还是先要试试这个表有没有,如果 mysql 版本正好在 8.0.19-8.0.21 之间的话,就无法使用了。最后一位的比较时候就是小于(
Java入门之JDBC--sql注入mysql数据库)
wang_da_bing的博客
03-16 740
sql注入 注入的解释:通过将恶意SQL语句插入到特定SQL语句内,使特定SQL语句发生变化,最终达到欺骗数据库服务器使之执行恶意的SQL命令的一种方法。 例如如下代码: try { Class.forName("com.mysql.jdbc.Driver"); } catch (ClassNotFoundException e) { e.printStackTrace(); } Conn...
java sql注入例子
nyhyn的专栏
04-14 4841
我着重强调几点:1、默认Statement和PreparedStatement,每次只能执行一条sql,对应mysql可以通过增加url参数&allowMultiQueries=true解决。2、mysql的注释,可以用#、"-- ",多行注释/* */。若使用"-- ",注意后面要有一个空格3、mysql驱动已经修改为com.mysql.cj.jdbc.Driver,英文意思是之前的已...
java mysql 注入攻击_java-sql注入攻击
weixin_42127937的博客
01-27 188
注射式攻击的原理SQL注射能使攻击者绕过认证机制,完全控制远程服务器上的数据库。SQL是结构化查询语言的简称,它是访问数据库的事实标准。目前,大多数Web应用都使用SQL数据库来存放应用程序的数据。几乎所有的Web应用在后台都使用某种SQL数据库。跟大多数语言一样,SQL语法允许数据库命令和用户数据混杂在一起的。如果开发人员不细心的话,用户数据就有可能被解释成命令,这样的话,远程用户就不仅能向We...
vtk学习笔记 --- 显示坐标系
05-20
在vtk中显示坐标系可以通过添加vtkAxesActor对象实现。vtkAxesActor可以显示三个坐标轴,以及它们的标签和箭头。 下面是一个简单的示例代码,用于在vtk中显示坐标系: ```python import vtk ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

马里亚纳景川

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值