SQL注入现象及其解决方案

最新推荐文章于 2024-09-26 15:01:53 发布
最新推荐文章于 2024-09-26 15:01:53 发布
阅读量926 收藏
点赞数
分类专栏: MYSQL 文章标签: mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_55782195/article/details/117949086
版权
本文探讨了SQL注入产生的原因,即用户输入的SQL关键字与底层SQL语句拼接导致语句含义扭曲。主要解决方案是使用`java.sql.PreparedStatement`接口,通过预编译SQL语句来防止用户信息直接参与编译,从而避免SQL注入风险。示例中展示了如何通过PreparedStatement改进程序,确保安全登录。
摘要由CSDN通过智能技术生成

一、SQL注入

1.1、SQL注入产生的原因

导致SQL注入的根本原团是:用户不是一般的用户, 用户是懂得程序的,输入的用户名信息以及密码信息中含有SQL语句的关键字,这个SQL语句的关键字和底层的SQL语句进行“字符串拼接”,导致原SQL语旬的含义被扭曲了。最最最主要的原因是:用户提供的信息参与了SQL语句的编译。
根本原因:先进行了字符串拼接,然后再进行编译

  • 举个例子!

数据库信息表t_user为:
在这里插入图片描述

连接数据库模拟用户登录

package resource;

import java.sql.*;
import java.util.HashMap;
import java.util.Map;
import java.util.Scanner;

/**
 * 模拟用户登录
 */
public class jdbcTest03 {
   
    public static void main(String[] args) {
   
        //初始化一个界面,可以让用户输入用户名和密码
        Map<String,String> userloginInfo=initUI();
        //连接数据库,验证用户名和密码是否正确
     boolean ok=checkNameAndpwd(userloginInfo.get("loginname"),userloginInfo.get("loginpwd"));
        System.out.println(ok?"登陆成功":"登陆失败");
    }

    /**
     *
     * @param loginname 登录名
     * @param loginpwd  登陆密码
     * @return  true表示登陆成功,false 表示登陆失败
     */
    private static boolean checkNameAndpwd(String loginname, String loginpwd) {
   
         //默认登陆失败
        boolean ok=false;
        Connection conn=null;
        Statement stmt=null;
        ResultSet rs=null;
        try{
   
            //1、注册驱动
            Class.forName("com.mysql.cj.jdbc.Driver");
            //2、获取连接
            conn= DriverManager.getConnection("jdbc:mysql://localhost:3306/students","root","root");
            //获取数据库操作对象
            stmt=conn.createStatement();
            //执行SQL语句(字符串拼接获取登录用户和密码)
            String sql="select * from t_user where login_name='"+loginname+"' and login_pwd='"+loginpwd+"'";
            rs=stmt.executeQuery(sql);//此时会发送sql给DBMS,进行sql语句的编译
            //处理查询结果集
            if(rs.next()){
   
                ok=true;//如果结果集有数据
                String sname=rs.getStri
最低0.47元/天 解锁文章
Stars-Nine
关注
专栏目录
NL2SQL技术方案系列(4):金融领域NL2SQL技术方案以及行业案例实战讲解2
丨汀、的博客
04-24 454
NL2SQL技术方案系列(4):金融领域NL2SQL技术方案以及行业案例实战讲解2
SQL注入以及解决的办法
weixin_43653187的博客
05-14 964
我们以前很可能听过一个词语叫做SQL注入攻击,其是威胁我们系统安全的最危险的因素之一,那么到底什么是SQL注入攻击呢?这里我会用一个最经典最简单的例子来跟大家解释一下: 众所周知,我们的sql语句都是有逻辑的,例如下面这句: select * from usertable where username='admin' and password='abc123' 这句超级简单吧,我们都知道,这句最常用的是在登陆的时候,来查询用户输入的账号和密码匹配不匹配,来确定用户是否可以登陆的,大体上一看好像啥问题,但
SQL注入解决办法之一
爪哇程序猿
12-18 281
public class SqlProtect { private String sqlInjectionStr = "and|AND|exec|EXEC|insert|INSERT|select|SELECT|delete|DELETE|update|UPDATE|count|COUNT|*|%|chr|CHR|mid|MID|master|MASTER|tr...
常见安全漏洞及其解决方案_sql注入漏洞解决方法
最新发布
Galaxy_0的博客
09-26 1554
执行时,此后的文本将被忽略。但这并不是无代价的,受到损失最大的就是被控制的网站,往往随着暗链所指向的网站的权重不断提高,存在暗链的网站的权重将不断下降,搜索引擎排名也必然一再下降,严重影响网站的影响力。漏洞危害:该漏洞是通过版本号探测的,可能存在误报Apache HTTP Server是一款开源的流行的HTTPD服务程序.当处理包含大量Ranges头的HTTP请求时,ByteRange过滤器存在一个错误,攻击者可以向服务器发送特制HTTP请求,消耗大量内存,造成应用程序崩溃CVE-2011-3192。
SQL注入解决方案
m0_54356563的博客
10-14 3346
目录 SQL注入问题及解决方案 SQL注入问题解决方案: JDBC处理事务 1、SQL注入问题及解决方案 SQL注入:利用非法的SQL拼接来达到入侵数据库的目的 以登录为例: /** * 登录方法 */ boolean doLogin(String name, String passwd) { boolean result = false; try { //1、加载数据库驱动 MySQL-》com.my
关于网站SQL注入的问题,以及解决办法
weixin_30945039的博客
11-02 168
最近发现我们公司的ASP.NET的代码有拼接SQL语句的习惯!这是非常危险的。以下我举例说明一下例子1:statement := "SELECT * FROM users WHERE name = '" + userName + "'; "将用户名变量(即username)设置为:a' or 't'='t,此时原始语句发生了变化:SELECT * FROM users WHERE nam...
sql注入,怎么解决
qq_38983577的博客
08-30 3231
什么是sql注入:     就是通过输入某些参数,达到改变sql语句本身的含义,这种情况就称为sql注入,比如你输入密码时产生了一段sql语句: SELECT * FROM TABLE_NAME WHERE ID="输入值"; 用户在最后加了一个or 1=1;则执行的sql语句where条件永远为真。查询出来是啥就不说了。 那么怎么解决sql注入呢? 1、对输入字符进行校验过滤(正则或j...
Oracle数据库性能优化:解决SQL注入问题
4. **实际案例分析**:书中的大量实例来自真实的现场应用,这些案例深入剖析了各种性能问题的现象、成因,并给出了解决方案,帮助读者理解在实际工作中可能遇到的问题及其解决思路。 5. **实战性和可操作性**:作者...
JDBC从入门到熟练使用——功能类详解、增删改查(CRUD)、sql注入、事务、连接池
subsistent的博客
02-04 211
代表一个数据库连接(当connection不是null时,表示已连接数据库)二、JDBC(Java Database Connectivity)十一、 DAO 数据访问对象(Data Access Object)管理多个数据库驱动类,提供了获取数据库连接的方法。10.1 实体类(entity):零散数据的载体。13.2.1 编写 service 实现转账功能。保存SQL查询语句的结果数据(结果集)
SQL注入之宽字节注入
m0_38103658的博客
10-24 718
SQL注入之宽字节注入 0x01简介 SQL注入近几年来连续被OWASP当作十大漏洞中最最危险的漏洞而存在。无论是从数据库中获得敏感信息还是执行一系列的恶意操作甚至是直接获取整个数据库权限,都可能发生在一次小小的提交参数的过程中。为此大多数网站开始对于SQL注入做了一定的防御方法,最早有人提出,将用户提交的所有敏感字符进行过滤和转义,要么将提交参数中的敏感字符过滤掉后再提交给数据库,要么对那些敏...
如何解决sql注入问题
07-22
如何解决sql注入问题如何解决sql注入问题
sql注入常用的解决方法
06-17
sql注入常用的解决方案 集中了常用的集中注入及解决注入的方案 对于sql注入防范于解决
如何解决SQL注入
jj89929665的博客
11-11 315
如何解决SQL注入? 一.什么是sql注入 SQL注入是一种网络攻击方式,是程序猿编写疏忽,通过SQL语句,实现无账号登录,甚至篡改数据库。 二.如何实现SQL注入攻击 寻找SQL注入位置 判断服务器类型和数据库类型 针对不同的服务器数据库特点进行SQL注入攻击。 三.攻击实例 String sql = select * from user_table where username='"username"' and password = '"password"'; 这样输入之后 就相当于 1 =
sql注入及解决方法
lomo1122的专栏
03-10 799
一、sql注入 sql语句拼接的方式容器被sql注入攻击,比如select * from user t where t.name='z' and t.passwd='123' or 1=1,如何黑客在你的参数中输入123' or 1=1',那么不管密码是多少,这条sql语句都执行成功,前提是知道了用户名。 二、屏蔽sql注入 sql语句使用占位符?或者命名参数name:的方式写sql
如何解决SQL注入问题
Aixiaohuangren的博客
07-16 2718
一.什么是SQL注入问题? 在刚开始学习JDBC的六大步骤中其中我们在第三步(获取数据库操作对象)我们通常会执行以下操作: 要执行SQL语句,首先需要获得java.sql.Statement实例 执行静态SQL语句。通常通过Statement实例实现。 Statement stmt = conn.createStatement() ; 但是这样会出现一个很大的纰漏,这个纰漏会导致一系列的安全问题,这就被称为SQL注入问题。 二.SQL注入实例 例如我后台的sql语句为 select * from s_st
SQL注入和解决方法
weixin_42377401的博客
11-15 769
SQL注入和解决方法一、SQL注入说明二、2、SQL注入影响三、3、SQL注入示例四、4、SQL注入解决方法 一、SQL注入说明 应用为了和数据库进行沟通完成必要的管理和存储工作,必须和数据库保留一种接口。目前的数据库一般都是提供api以支持管理,应用使用底层开发语言如Php,Java,asp,Python与这些api进行通讯。对于数据库的操作,目前普遍使用一种SQL语言(Structured Query Language语言,SQL语言的功能包括查询、操纵、定义和控制,是一个综合的、通用的关系数据库语言,
SQL注入以及解决方法
阳young的博客
01-26 8532
目录 SQL注入: 用例子说明: 1.创建user表,其中表中有三个字段,分别是id(有自增功能), username, password。并插入三条数据。 2.将数据库和Java连接并进行登录测试 3.运行代码:​ ​​这就是SQL注入现象, 为什么会出现这样的现象? 那我们怎么该避免这种情况呢?这时候就需要用到PreparedStatement对象。 SQL注入: 由于jdbc程序在执行的过程中,sql语句在拼接时使用了由页面传入参数。如果用户恶意传入一些sql中的特殊关键字,就会.
sql注入 mysql 执行命令 sql注入以及解决的办法
QQ3007250950的博客
07-23 1278
所以后面的where条件是一个恒等式,表所有的行都符合字符串1等于字符串1这个条件,又是或的关系,所以所有的行全部匹配,全部被搜索出来,这样再用行数来判断用户是否能登陆已经根本不行了,因为查出来的是所有行。这句超级简单吧,我们都知道,这句最常用的是在登陆的时候,来查询用户输入的账号和密码匹配不匹配,来确定用户是否可以登陆的,大体上一看好像啥问题,但是呢,假如我是一名黑客,我可以用一种巧妙地方式来登陆你这个系统,我账号随意输入一个,密码我输入一个 1 ‘or’ 1’='1 什么意思呢?
同态加密技术防止SQL注入攻击的新方案
"这篇文章探讨了如何利用同态加密技术来防止SQL注入攻击,提出了一个具体的同态加密解决方案,并且在该方案的基础上将其扩展到SQL集函数中,以实现在保护敏感信息的同时获取所需数据。作者强调同态加密在增强系统...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值