SQL注入现象及其解决方案

最新推荐文章于 2024-04-26 13:29:49 发布
VIP文章 最新推荐文章于 2024-04-26 13:29:49 发布
阅读量841 收藏
点赞数
分类专栏: MYSQL 文章标签: mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_55782195/article/details/117949086
版权

一、SQL注入

1.1、SQL注入产生的原因

导致SQL注入的根本原团是:用户不是一般的用户, 用户是懂得程序的,输入的用户名信息以及密码信息中含有SQL语句的关键字,这个SQL语句的关键字和底层的SQL语句进行“字符串拼接”,导致原SQL语旬的含义被扭曲了。最最最主要的原因是:用户提供的信息参与了SQL语句的编译。
根本原因:先进行了字符串拼接,然后再进行编译

  • 举个例子!

数据库信息表t_user为:
在这里插入图片描述

连接数据库模拟用户登录

package resource;

import java.sql.*;
import java.util.HashMap;
import java.util.Map;
import java.util.Scanner;

/**
 * 模拟用户登录
 */
public class jdbcTest03 {
   
    public static void main(String[] args) {
   
        //初始化一个界面,可以让用户输入用户名和密码
        Map<String,String> userloginInfo=initUI();
        //连接数据库,验证用户名和密码是否正确
     boolean ok=checkNameAndpwd(userloginInfo.get("loginname"),userloginInfo.get("loginpwd"));
        System.out.println(ok?"登陆成功":"登陆失败");
    }

    /**
     *
     * @param loginname 登录名
     * @param loginpwd  登陆密码
     * @return  true表示登陆成功,false 表示登陆失败
     */
    private static boolean checkNameAndpwd(String loginname, String loginpwd) {
   
         //默认登陆失败
        boolean ok=false;
        Connection conn=null;
        Statement stmt=null;
        ResultSet rs=null;
        try{
   
            //1、注册驱动
            Class.forName("com.mysql.cj.jdbc.Driver");
            //2、获取连接
            conn= DriverManager.getConnection("jdbc:mysql://localhost:3306/students","root","root");
            //获取数据库操作对象
            stmt=conn.createStatement();
            //执行SQL语句(字符串拼接获取登录用户和密码)
            String sql="select * from t_user where login_name='"+loginname+"' and login_pwd='"+loginpwd+"'";
            rs=stmt.executeQuery(sql);//此时会发送sql给DBMS,进行sql语句的编译
            //处理查询结果集
            if(rs.next()){
   
                ok=true;//如果结果集有数据
                String sname=rs.getString
最低0.47元/天 解锁文章
Stars-Nine
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【JAVA高级】——吃透JDBC中的SQL注入问题和解决方案
不迁怒,不贰过。小知识,大智慧。
10-26 1万+
吃透JDBC中的SQL注入问题和解决方案
SQL注入漏洞过程实例及解决方案
12-14
代码示例: public class JDBCDemo3 { public static void demo3_1(){ boolean flag=login("aaa' OR ' ","1651561");... if (flag){ ... }else{ ... public static boolean login(String username,String p
SQL 注入
365的足迹
08-18 480
sql注入 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。[1] 比如先前的很多影视网站泄露VIP会员。。。
封神台 kali sqlmap 注入常见问题
weixin_49071539的博客
11-25 1241
sqlmap使用前,测试网页是否存在可注入漏洞: 1.寻找形如“.asp?id=xx”类的带参数的URL。 2.去掉“id=xx”查看页面显示是否正常,如果不正常,说明参数在数据传递中是直接起作用的。 3.清空浏览器地址栏,输入“javascript:alert(document.cookie=“id=”+escape(“xx”));”,按Enter键后弹出一个对话框,内容是“id=xx”,然后用原来的URL刷新页面,如果显示正常,说明应用是用Request(“id”)这种方式获取数据的。 4.重复上面的步
SQL注入的场景复现和解决方案
欢迎来到 ABin-阿斌的博客:写一生代码,创一世佳话,筑一览芳华。
03-12 906
SQL注入(SQL Injection)是一种常见的网络攻击技术,它利用应用程序没有正确过滤用户输入的数据,将恶意的 SQL 代码注入到应用程序中执行,从而导致应用程序的安全性受到威胁。通简单来说,就是通过构造恶意的 SQL 语句,将恶意代码注入到应用程序中执行,从而实现各种攻击手段。
解决登录页面SQL注入问题
weixin_46609492的博客
06-09 1496
1.新建一个java项目: (1) 在项目中建一个properties文件 #配置连接数据库信息(动态生效) 键值对的形式 写数据库连接信息 driverclass= com.mysql.jdbc.Driver url=jdbc:mysql://localhost:3306/db2019 username=root password=sa123456 (2)新建一个JDBCUtil 类 package com.*; import java.io.FileInputStream; import
Kali linux在DVWA靶场的SQL注入
qq_74298120的博客
06-20 1435
SQL注入是一种常见的攻击方式,攻击者通过利用Web应用程序或其他应用程序对数据库的查询进行注入,掌控数据库系统,甚至控制整个应用程序。为了加强Web应用程序的安全性,学习SQL注入攻击技能的同时也要了解防御措施。
关于解决kali对主机dvwa进行sql注入失败问题
qq_36836233的博客
03-08 804
关于sqlmap的问题
Kali Linux SQL注入攻击教程
热门推荐
AsNeverBefore的博客
07-16 3万+
SQL注入是影响企业运营最具破坏力的漏洞之一,他会泄露保存在应用程序数据库中的敏感信息。本文利用虚拟机搭建测试环境,使用kali linux进行SQL注入实验
sql注入
m0_67352890的博客
05-13 453
靶场地址:http://110.40.154.100:8000/ 1.在浏览器上打开靶场 2.在网站后边输入 authenticate 进行用户验证 Django 提供的函数 authenticate 用于处理登录账户的验证是否存在 3.在网址后面输入damin 进入登陆页面 3.账号是:admin 密码随便输入,然后用burpsuite抓包 3.1打开burpsuite进行抓包 进入proxy 点击Intercept is off 点击刚才浏览器Log in 就抓...
SQL注入——渗透day07
qq_62716256的博客
09-01 946
wql注入
SQL注入原理与解决方法代码示例
09-09
主要介绍了SQL注入原理与解决方法代码示例,小编觉得还是挺不错的,这里分享给大家,供需要的朋友参考。
SQL注入安全问题解决方案-JAVA
11-25
SQL注入安全问题解决方案-JAVA SQL注入安全问题解决方案-JAVA
基于同态加密的防止SQL注入攻击解决方案
03-24
文章研究同态加密在防止SQL注入攻击方面的应用,提出了一种防止SQL 注入攻击的同态加密方案,并给出了该方案防止SQL 注入攻击的详细分析,指出同态加密可以有效防止SQL 注入攻击。在此方案的基础上,将同态加密应用...
Mysql_数据库事务
最新发布
weixin_69252724的博客
04-26 575
事务就是由单独单元的一个或多个sql语句组成,在这个单元中,每个sql语句都是相互依赖的。而整个单独单元是作为一个不可分割的整体存在,类似于化学当中的原子(一种不可分割的最小单位)。往通俗的讲就是,事务就是一个整体,里面的内容要么都执行成功,要么都不成功。不可能存在部分执行成功而部分执行不成功的情况。就是说如果单元中某条sql语句一旦执行失败或者产生错误,那么整个单元将会回滚(返回最初状态)。
一文整理完MySQL关系型数据库相关知识
打代码是一天,不打代码也是一天
04-23 1074
在开发中,数据库是专门用来存取数据的软件。数据库的职责就是管理数据的。根据存取数据的类型分为关系型数据库和非关系型数据库数据存储后呈现出来的效果类似上图的,是关系型数据库数据存储后呈现出来的效果类似上图的,是非关系型数据库。
MySQL--数据的增删改
pzn2506的博客
04-19 685
文中[ ]里面的内容可写可不写文中[ ]里。
MySQL 全表扫描成本计算
ZL4120505的博客
04-20 846
private:......IO 成本:从磁盘或内存读取数据页的成本。CPU 成本:访问记录需要消耗的 CPU 成本。导入成本:这一项直到 MySQL 8.0.29 都还没有被使用,先忽略。内存成本:这一项指的是占用内存字节数,计算 MRR(Multi Range Read)方式读取数据的成本时才会用到,也先忽略。全表扫描的成本就只剩 IO 成本、CPU 成本这两项了。全表扫描成本 =io_cost+ 1.1 +cpu_cost+ 1。
深入了解MySQL:从基础到特性,全面解读关系数据库管理系统的历史与应用
lph159的博客
04-23 1028
本文全面介绍了MySQL,这是一种广泛使用的开源关系数据库管理系统(RDBMS),由瑞典MySQL AB公司开发,目前由Oracle公司维护。作为一款具有强大后端功能的数据库软件,MySQL在网站建设、商业智能、数据分析等多个领域中发挥着关键作用。文章从MySQL的历史起源、核心特性,到其在实际应用中的广泛用途进行了详细的阐述。特别指出了MySQL的开源性、高性能、高可扩展性、安全性和灵活性等关键特性,并通过实例展示了如何使用MySQL进行数据库的创建和数据管理。
python LIKE 防sql 注入解决
04-26
Python中防止SQL注入解决方案是使用参数化查询,即使用占位符代替实际的变量值。使用参数化查询可以防止恶意用户输入SQL语句或者注入攻击。例如,使用Python的sqlite3模块进行查询时,可以使用问号(?)作为占位...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值