SQL注入

最新推荐文章于 2024-06-13 21:16:20 发布
最新推荐文章于 2024-06-13 21:16:20 发布
阅读量65 收藏
点赞数
分类专栏: MySQL 文章标签: 数据库 jdbc SQL注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46367450/article/details/119521494
版权

SQL注入问题

sql存在漏洞,会被攻击导致数据泄露,本质:SQL会被拼接 or

代码测试

db.properties文件

driver = com.mysql.cj.jdbc.Driver
url = jdbc:mysql://localhost:3306/school?serverTimezone=UTC
username = root
password = 123456

JDBC工具类

import java.io.InputStream;
import java.sql.*;
import java.util.Properties;

public class JdbcUtils {
    private static String driver = null;
    private static String url = null;
    private static String username = null;
    private static String password = null;

    static {

        try {
            InputStream in = JdbcUtils.class.getClassLoader().getResourceAsStream("db.properties");
            Properties properties = new Properties();
            properties.load(in);
            driver = properties.getProperty("driver");
            url = properties.getProperty("url");
            username = properties.getProperty("username");
            password = properties.getProperty("password");
            //驱动只用加载一次
            Class.forName(driver);
        } catch (Exception e) {
            e.printStackTrace();
        }
    }
    //获取连接
    public static Connection getConnection() throws SQLException {
        return DriverManager.getConnection(url, username, password);
    }

    //释放资源
    public static void release(Connection conn, Statement st, ResultSet rs){
        if (rs!=null){
            try {
                rs.close();
            } catch (SQLException e) {
                e.printStackTrace();
            }
        }
        if (st!=null){
            try {
                st.close();
            } catch (SQLException e) {
                e.printStackTrace();
            }
        }
        if (conn!=null){
            try {
                conn.close();
            } catch (SQLException e) {
                e.printStackTrace();
            }
        }
    }
}

SQL注入代码

package jdbc;
import utils.JdbcUtils;
import java.sql.Connection;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;

public class SQL注入 {
    public static void main(String[] args) {
        //login("yuan","666666");
        login("'or '1=1","' or '1=1");//技巧
    }
    //登录业务
    public static void login(String username,String password){
        Connection conn = null;
        Statement st = null;
        ResultSet rs = null;
        try {
            conn = JdbcUtils.getConnection();
            st = conn.createStatement();
            //SELECT * FROM testmd5 WHERE NAME = 'yuan' AND pwd = '666666'
            String sql = "SELECT * FROM testmd5 WHERE NAME = '"+username+"' AND pwd = '"+password+"'";
            rs = st.executeQuery(sql);
            while (rs.next()){
                System.out.println("id:"+rs.getInt("id"));
                System.out.println("name:"+rs.getString("name"));
                System.out.println("pwd:"+rs.getString("pwd"));
            }
        } catch (SQLException e) {
            e.printStackTrace();
        }finally {
            JdbcUtils.release(conn,st,rs);
        }
    }

}
/*
结果:
id:1
name:zhangsan
pwd:e10adc3949ba59abbe56e057f20f883e
id:2
name:lishi
pwd:123456
id:3
name:wangwu
pwd:e10adc3949ba59abbe56e057f20f883e
id:6
name:yuan
pwd:666666
id:7
name:boss
pwd:666666
*/

由以上结果可知,通过SQL注入(本质是拼接字符串)可以获取数据库中所有的信息

如果要防止SQL注入,那就需要使用PreparedStatement对象

yuan_boss
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
sql注入攻击流量情况
07-18
sql注入攻击流量情况
pangolinsdl—sql注入工具
06-20
pangolinsdl—sql注入工具 很好用的sql注入工具 界面简洁好用 使用方便
超级sql注入工具
11-02
超级SQL注入工具(SSQLInjection)是一款基于HTTP协议自组包的SQL注入工具,支持出现在HTTP协议任意位置的SQL注入,支持各种类型的SQL注入,支持HTTPS模式注入。 超级SQL注入工具目前支持Bool型盲注、错误显示注入、...
sql注入网站源码
04-09
挺好的带有sql注入漏洞的asp网站源码,可以自行搭建环境。
SQL 注入天书.pdf
08-06
SQL 注入学习天书
【Qt实现录频】
m0_45463480的博客
06-13 49
请注意,这只是一个简单的示例代码,实际应用中你可能需要处理更多的细节,如捕获不同视频格式、处理录制过程中的错误等。希望这个示例对你有所帮助,另外你也可以在Qt官方文档中找到更多关于Qt Multimedia模块的详细信息。在Qt中实现录制视频可以通过使用Qt Multimedia模块来实现。在上面的示例中,VideoRecorder类提供了一个简单的界面,其中包括一个用于录制视频的按钮。当按钮被点击时,toggleRecord()槽函数将会启动或停止录制。
Spring Security实现用户认证四:使用JWT与Redis实现无状态认证
不做菜虚困的博客
06-12 658
在基本的通信流程中,我们一般采用Session去存储用户的认证状态。在Spring Security实现用户认证三中讲过,在拿到前端传输过来的用户名和密码之后,会有专门的过滤器处理这部分的需求,并且对认证成功的用户生成Token且存储在Session中。在下次发起请求时,直接从Session中取出同用户名的token进行密码哈希的比较要认证用户。对于无状态认证,则我们的认证不依赖与服务器端存储的Session的状态。所以无状态认证需要我们每次从前端传输一个包含完整认证信息的Token到服务器端进行自定义的认
jmeter性能优化之mysql监控sql慢查询语句分析
回家吃月饼的学习交流地
06-09 821
jmeter性能之sql慢查询语句分析
canal应用
qq_33816292的博客
06-12 99
canal分享模块链接。
快捷键专栏 IDEA、Navicat、电脑、Excle、Word等
忆往昔的博客
06-12 557
使用小技巧
源码编译安装LAMP
潇的博客
06-12 725
LAMP 架构是目前成熟的企业网站应用模式之一,指的是协同工作的一整套系统和相关软件,能够提供动态Web站点服务及其应用开发环境。LAMP是一个缩写词,具体包括Linux操作系统、Apache网站服务器、MySQL数据库服务器、PHP(或Perl、Python)网页编程语言。本章将以源码编译的方式搭建LAMP环境,能够满足企业定制化的需求。在构建LAMP平台时,各组件的安装顺序依次为Linux、Apache、MySQL、PHP。其中Apache和MySQL的安装并没有严格的顺序;
C#操作MySQL从入门到精通(16)——使用子查询
qq_34059233的博客
06-09 112
我们在查询数据的过程中有时候查询的数据不是从数据库中来的,而是从另一个查询的结果来的,这时候就需要使用子查询,本文进行详细介绍!
SpringBoot+MyBatis批量插入数据的三种方式
pscool的博客
06-12 632
在开发过程中,我们经常会遇到往数据库表中插入大量数据的场景,比如excel批量导入数据。那么该如何快速地插入数据呢?我们可以考虑使用批量插入来实现,实测100000条数据添加,后附具体实现代码。用一个 for 循环,把数据一条一条地插入。/*** 第一种方案,用 for语句循环插入 10万 条数据*/i < count;i++) {user.setName("方案1测试" + i);user.setGender("男");user.setUsername("方案1测试");
liquibase做数据库版本管理
weixin_44554979的博客
06-10 201
通过这个配置就会自动启动liquibase。
二开版视频CMS完整运营源码/新版漂亮APP手机模板/集成员分销功能等
jiyc2008的博客
06-13 538
【亲测二开版】麻豆影视CMS完整运营源码/2021新版漂亮APP手机模板/超强会员分销功能及多种会员租/对接免签约支付接口/送火车头模块/带文字搭建教程
RAG:如何从0到1搭建一个RAG应用
Miao的博客
06-10 823
检索增强生成)是一种强大的工具,整合了从庞大知识库中检索到的相关信息,并以此为基础,指导大型语言模型生成更为精准的答案,从而显著提升了回答的准确性与深度。2020 年,Meta AI 研究人员提出了RAG的方法,用于提高 LLM 在特定任务上的性能。信息滞后:LLM 的知识是静态的,来源于当时训练时的数据,也就是 LLM 无法直接提供最新的信息。模型幻觉:实践表明,当前的生成式 AI 技术存在一定的幻觉,而在一些常见的业务应用中,我们是希望保证事实性的。私有数据匮乏。
数据库复习
never1624的博客
06-13 737
针对某一具体关系数据库的约束条件,反映某一具体应用所涉及的数据必须满足的语义要求关系模型应提供定义和检验这类完整性的机制,以便用统一的系统的方法处理它们,而不要由应用程序承担这一功能2关系代数。
嵌入式学习记录6.13(qt day1)
最新发布
weixin_53529699的博客
06-13 116
【代码】嵌入式学习记录6.13(qt day1)
浅解Reids持久化
weixin_64260010的博客
06-10 344
rdb文件都是二进制,很小,里面存的是数据。
sql注入sql注入
05-02
SQL注入是一种常见的安全漏洞,它允许攻击者通过在应用程序的输入字段中插入恶意的SQL代码来执行未经授权的数据库操作。攻击者可以利用这个漏洞来绕过身份验证、获取敏感数据、修改数据或者执行其他恶意操作。 为了...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

yuan_boss

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值