SQL注入问题

最新推荐文章于 2024-04-25 16:26:22 发布
最新推荐文章于 2024-04-25 16:26:22 发布
阅读量128 收藏
点赞数
分类专栏: 数据库 文章标签: sql 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45337294/article/details/116487508
版权

SQL注入问题

1.什么是sql注入问题

以登录为例:
正常登录通过name(zc)和passwd(12345)登录
但是在name="sd or 1=1"和passwd=(错误信息)是可以完成登录的
此时的拼接信息为
select * from user where name =XXX or1=1 and passwd =XXX
来改变SQL的意义

    public static String Login(String name,String passwd){
        getConnection();
        try {
            Statement statement = connection.createStatement();
            String sql="select * from user where name= "+name+"and passwd= "+passwd;
            ResultSet resultSet = statement.executeQuery(sql);
            if(resultSet.next()){
                return "success!";
            }else{
                return "fail";
            }
          
        } catch (SQLException e) {
            e.printStackTrace();
        }
        close();
        return "fail";
    }

//main函数中
String name="zc";
String passwd="12345";
String login=Login(name,passwd);

此时得到答案为success!

//main函数中
String name="sd or 1=1";
String passwd="1234";
String login=Login(name,passwd);

此时得到的答案仍然为success!

//main函数中
String name="sd or #";
String passwd="1234";
String login=Login(name,passwd);

select * from user where name =XXX # and passwd =XXX(在sql语句中#为注释符号)
故得到答案是success!
该现象为SQL注入问题。

2.如何解决SQL注入问题

public static String Login(String name,String passwd){
        getConnection();
        try {
            //使用PreparedStatement来实现,其中SQL中参数利用"?"占位符实现
            String sql="select * from user where name= ? and passwd= ? ";
            PreparedStatement statement = connection.prepareStatement(sql);
            //往SQL中的占位符给定数据  statement.setString的第一个参数是值占位符的位置,从1开始
            statement.setString(1,name);
            statement.setString(2,passwd);
            ResultSet resultSet = statement.executeQuery(sql);
            if(resultSet.next()){
                return "success!";
            }else{
                return "fail";
            }

        } catch (SQLException e) {
            e.printStackTrace();
        }
        close();
        return "fail";
    }

使用PreparedStatement来解决SQL的注入问题
将sql和参数分别传给数据库服务器端,会进行预编译,会先进行sql语法检查,在语法检查成功后才会进行执行,如果语法检查不过是无法执行的。

PreparedStatement和Statement的区别

1.SQL注入问题

Statement是将拼接的SQL在服务器端直接执行,无法避免sql注入问题。
PreparedStatement将sql和参数分别传给数据库服务器端,会进行预编译,会先进行sql语法检查,在语法检查成功后才会进行执行,如果语法检查不过是无法执行的,避免sql注入问题。

2.效率问题

PreparedStatement先进行预编译,再将编译结果拿来执行,Statement是在服务器端直接执行,PreparedStatement的效率高于Statement。

噜啦l
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pymysql如何解决sql注入问题深入讲解
09-09
在Python的pymysql库中,处理SQL注入问题至关重要,因为如果不加以防范,可能会导致敏感数据泄露或系统破坏。本文将深入讲解如何使用pymysql有效地解决SQL注入问题。 首先,理解SQL注入的根本原因。当使用动态字符...
php 登录ssh 、sftp
Gxiaoshuai的博客
10-28 370
php 登录sftp 私钥转公钥 ssh-keygen -f aiyuyinftp -y > aiyuyinftp.pub 其中 aiyuyinftp为私钥 aiyuyinftp.pub为公钥
sql注入详解
m0_67392811的博客
06-12 5781
目录前言? ?一、漏洞原因分析二、漏洞危害三、sql注入防范四、如何挖掘sql注入漏洞五、常见的注入手法联合查询(union注入)报错注入基于布尔的盲注基于时间的盲注HTTP头注入宽字节注入堆叠查询二阶注入六、sql注入getshell的几种方式结构化查询语言(Structured Query Language,缩写:SQL),是一种特殊的编程语言,用于数据库中的标准数据查询语言。SQL注入SQL Injection)是一种常见的Web安全漏洞,主要形成的原因是在数据交互中,前端的数据传入到后台处理时,没
常见 SQL 注入绕过方法
Flag少侠的博客
04-25 1447
Web应用通常会使用输入过滤器,设计这些过滤器的目的是防御包括SOL 注入在内的常见攻击。这些过滤器可能位于应用的代码中(自定义输入验证方式),也可能在应用外部实现,形式为 Web应用防火墙(WAF)或入侵防御系统(IPS)
SQL注入相关问题总结
Bossfrank的博客
04-21 1271
本文介绍了SQL注入相关问题,包括各种SQL的注入类型、防御手段、绕过方法等。也可以作为面试的复习参考。
SQL注入的一些示例及解决SQL注入的方法
weixin_43618785的博客
03-09 8620
解决SQL注入的方法
SQL注入
m0_51457307的博客
11-08 2万+
一、什么是SQL注入 SQL注入SQL lnjection)是发生在Web程序中数据库层的安全漏洞,是比较常用的网络攻击方式之一,他不是利用操作系统的BUG来实现攻击,而是针对程序员编写时的疏忽,通过SQL语句,实现无账号登录,甚至修改数据库。也就是说,SQL注入就是在用户输入的字符串中添加SQL语句,如果在设计不良的程序中忽略了检查,那么这些注入进去的SQL语句就会被数据库服务器误认为是正常的SQL语句而运行,攻击者就可以执行计划外的命令或者访问未授权的数据。 二、SQL注入的原理 1.恶意拼接查
通过ibatis解决sql注入问题
08-29
iBatis解决SQL注入问题 iBatis是一个流行的持久层框架,广泛应用于Java企业级开发中。然而,在使用iBatis时,开发人员经常面临着SQL注入问题SQL注入是一种常见的安全威胁,可能会导致数据泄露、数据篡改、系统...
简单的sql注入问题
12-30
sql注入问题sql的特殊关键字与字符串拼接。会造成安全性的问题 1输入名随便,输入密码:a’ or ‘a’=’a sql:select* from user where username=‘123’ and password=‘a’ or ‘a’=‘a’ ** // 1.获取链接 ...
一次sql注入问题的筛查报告 ,主要 是sql 注入的问题
最新发布
05-10
以下是对"一次SQL注入问题的筛查报告"的详细分析和相关知识点的介绍: 一、SQL注入的基础知识 1. SQL注入原理:当用户输入的数据未经处理就直接拼接到SQL查询语句中时,攻击者可以通过构造特殊输入,使得查询执行非...
如何解决sql注入问题
07-22
如何解决sql注入问题如何解决sql注入问题
SQL注入总结
qq_46081990的博客
04-22 3937
SQL注入是一种将SQL代码插入或添加到应用(用户)的输入参数中的攻击,之后再将这些参数传递给后台的sql服务器加以解析和执行。由于sql语句本身的多样性,以及可用于构造sql语句的编程方法很多,因此凡是构造sql语句的步骤均存在被攻击的潜在风险。Sql注入的方式主要是直接将代码插入参数中,这些参数会被置入sql命令中加以执行。间接的攻击方式是将恶意代码插入字符串中,之后将这些字符串保存到数据库的数据表中或将其当成元数据。当将存储的字符串置入动态sql命令中时,恶意代码就将被执行。
SQL 注入问题的解决(PreparedStatement)
一切随缘的博客
11-19 8274
上篇博客结尾提到了代码的不足:存在SQL注入问题。下面演示一下什么是SQL,注入问题。(就拿上篇的代码举个例子)以上为正常现象,但有些“不法分子”抓住了代码的漏洞,干了一些不为人知的事情。What!竟然登录成功了!发生了甚么?让我们Debug一下,一探究竟。‘1’='1’为true,从而导致了整个柿子返回结果为true。
防止SQL注入攻击的10种有效方法
热门推荐
qq_28245087的博客
06-29 3万+
本文介绍了10种防止SQL注入攻击的方法,包括使用参数化查询、输入验证和过滤、存储过程、最小权限原则、ORM框架、准备语句、安全的数据库连接、避免动态拼接SQL语句、使用防火墙和入侵检测系统以及定期更新和维护数据库软件。输入验证和过滤是一种用于确保用户输入数据的安全性和有效性的技术。需要注意的是,具体的代码实现可能因使用的数据库驱动库而有所不同,但核心思想是相同的:使用PreparedStatement来执行参数化查询,将用户输入作为参数传递给查询,而不是直接拼接到查询字符串中,以提高应用程序的安全性。
SQL注入详解
m0_67391121的博客
07-28 3453
WAF(WebApplicationFirewall)的中文名称叫做“Web应用防火墙”,利用国际上公认的一种说法,WAF的定义是这样的Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。通过从上面对WAF的定义中,我们可以很清晰的了解到,WAF是一种工作在应用层的、通过特定的安全策略来专门为Web应用提供安全防护的产品。...
薄纱全网 史上最全SQL注入漏洞总结
MachineGunJoe666
07-07 1056
注入漏洞在十大Web安全漏洞之中,其主要原因是对用户的输入过滤不严,导致程序以危险的方式运行,注入漏洞应用最广泛,杀伤力也很大如最常见的sql注入,命令注入,还有代码注入、xss等。最常见的Web漏洞之一,作用对象在数据库中,程序没有对用户输入数据的合法性进行验证和过滤,导致sql查询语句被恶意拼接,sql注入漏洞存在的条件:参数用户可控、参数可以动态拼接sql语句并带入数据库查询、参数过滤不严。
【安全】SQL注入和解决方法
Roda的博客
01-03 2万+
目录 SQL注入 1、SQL注入说明 2、SQL注入影响 3、SQL注入示例 4、SQL注入解决方法 SQL注入 1、SQL注入说明 应用为了和数据库进行沟通完成必要的管理和存储工作,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值