SQL注入问题

最新推荐文章于 2024-09-19 21:27:19 发布
最新推荐文章于 2024-09-19 21:27:19 发布
阅读量64 收藏
点赞数
分类专栏: JDBC 文章标签: sql 数据库 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xuebiaojun/article/details/129865501
版权

statement存在sql注入问题

public class StatementUserLoginPart {
	public static void main(String[] args) throws ClassNotFoundException, SQLException {
		Scanner scanner = new Scanner(System.in);
		System.out.println("请输入账号");
		String account = scanner.nextLine();
		System.out.println("请输入密码");
		String password = scanner.nextLine();
		Class.forName("com.mysql.cj.jdbc.Driver");
		//Connection connection = DriverManager.getConnection("jdbc:mysql://127.0.0.1:3306/test", "root", "123456");
		Properties info = new Properties();
		info.put("user", "root");
		info.put("password", "123456");
		Connection connection = DriverManager.getConnection("jdbc:mysql://127.0.0.1:3306/test", info);
		Statement statement = connection.createStatement();
		// 注意sql语句拼接
		String sql = "select * from test.t_user where account = '" + account + "' and PASSWORD = '" + password + "'";
		System.out.println(sql);
		ResultSet resultSet = statement.executeQuery(sql);
		if (resultSet.next()){
			System.out.println("登录成功!");
		}else {
			System.out.println("用户名或密码错误!");
		}
		resultSet.close();
		statement.close();
		connection.close();
	}
}

运行结果

请输入账号
root
请输入密码
' or '1' = '1
select * from test.t_user where account = 'root' and PASSWORD = '' or '1' = '1'
登录成功!
Process finished with exit code 0
阿尔的阳光y
关注
专栏目录
JAVA高级】——吃透JDBC中的SQL注入问题和解决方案
不迁怒,不贰过。小知识,大智慧。
10-26 1万+
吃透JDBC中的SQL注入问题和解决方案
解决SQL注入问题
heliuerya的博客
01-23 1404
解决SQL注入问题
SQL注入问题及其解决办法
qq_49044908的博客
04-23 2780
SQL注入问题及其解决办法 前几次的 JDBC 案列的数据库操作对象我一直使用的是Statement 对象, 但是这个类实际上是存在一些问题的, 这就是我想要分享的 SQL 注入问题. 目录 SQL注入问题及其解决办法 问题发现 sql 注入的定义及其原因分析 问题解决------ PreparedStatement PreparedStatement 和 Statement 比较 问题发现 前几天用 JDBC 编写一个从数据库获取用户名和密码登录的简单 java 程序发现了一个 bug.
java.sql.SQLException: sql injection violation, part alway true condition not allow
weixin_43948683的博客
06-09 3625
这是我在思考调试sql注入出现的小bug 打印出来的SQL语句放在数据库执行 select id,name,age,phone from yu_student where phone = '123' or 1=1 运行结果 sql语句没有问题,为什么java程序会报错呢 错误内容是druid的sql防火墙报警,发现是hibernate自动拼接了1=1的永真条件,而druid只会放行排在第一的永真条件 查看hibernate源代码后发现,当引用Junction生成sql时,如果条件为空,
java.sql.SQLException: sql injection violation
程序员大阳
12-10 2万+
坑的外观 提示如下: Caused by: java.sql.SQLException: sql injection violation, syntax error: error pos 18, line 1, column 12, token EXCEPT : insert into 问题分析 之前遇到过类似的错误,提示也是sql injection violation,字面理解就是sql注...
sql注入详解
热门推荐
内心不种满鲜花就会长满杂草
05-05 21万+
SQL注入SQL Injection)是一种常见的Web安全漏洞,主要形成的原因是在数据交互中,前端的数据传入到后台处理时,没有做严格的判断,导致其传入的“数据”拼接到SQL语句中后,被当作SQL语句的一部分执行。 从而导致数据库受损(被脱库、被删除、甚至整个服务器权限陷)。 即:注入产生的原因是后台服务器接收相关参数未经过滤直接带入数据库查询...
MyBatis-sql注入问题
java123456111的博客
03-18 7175
MyBatis sql注入问题 1、什么是SQL注入? ​ SQL注入攻击,简称SQL攻击或注入攻击,是发生于应用程序之数据库层的安全漏洞。简而言之,是在输入的字符串之中注入SQL指令,在设计不良的程序当中忽略了检查,那么这些注入进去的指令就会被数据库服务器误认为是正常的SQL指令而运行,因此遭到破坏或是入侵。 最常见的就是我们在应用程序中使用字符串联结方式组合 SQL 指令,有心之人就会写一些特殊的符号,恶意篡改原本的 SQL 语法的作用,达到注入攻击的目的。 举个栗子: 比如验证用户登录需要 user
SQL注入问题与解决
cppppt的博客
03-10 2063
sqL注入安全问题; 由于传入的参数在拼接sqL语句时,其中注入sqL能执行的指令作为参数导致执行的结果数据不正确,这种状况称为sqL注入安全问题
pymysql如何解决sql注入问题深入讲解
09-09
在Python的pymysql库中,处理SQL注入问题至关重要,因为如果不加以防范,可能会导致敏感数据泄露或系统破坏。本文将深入讲解如何使用pymysql有效地解决SQL注入问题。 首先,理解SQL注入的根本原因。当使用动态字符...
一次sql注入问题的筛查报告 ,主要 是sql 注入问题
05-10
以下是对"一次SQL注入问题的筛查报告"的详细分析和相关知识点的介绍: 一、SQL注入的基础知识 1. SQL注入原理:当用户输入的数据未经处理就直接拼接到SQL查询语句中时,攻击者可以通过构造特殊输入,使得查询执行非...
通过ibatis解决sql注入问题
08-29
iBatis解决SQL注入问题 iBatis是一个流行的持久层框架,广泛应用于Java企业级开发中。然而,在使用iBatis时,开发人员经常面临着SQL注入问题SQL注入是一种常见的安全威胁,可能会导致数据泄露、数据篡改、系统...
oracle 使用 PL/SQL Developer创建表并插入单条、多条数据
jjw_zyfx的博客
09-13 528
oracle 使用 PL/SQL Developer创建表并插入单条、多条数据
LeetCode_sql_day28(1767.寻找没有被执行的任务对)
最新发布
Darling博客
09-19 524
掌握 用recursive循环 构造数列先用1作为起点再将一个值作为where 终点 此处来源表为recursive后的表。
SqlDb_.cs 与 csharp_SqlDb.h
weixin_42944928的博客
09-16 469
【代码】SqlDb_.cs 与 csharp_SqlDb.h。
经典sql题(一)求连续登录不少于三天用户
m0_58076578的博客
09-14 1049
去重提取日期查询:提取每个用户的唯一登录日期。结果表table1:显示每个用户的唯一日期。为每个用户生成序列号查询:为每个用户的日期生成序号,并计算date2。结果表table2:显示用户的日期和对应的date2。步骤使用函数,按照日期顺序为每个用户的登录日期分配一个序号。例如,对于用户 ID = 1,假设他们的日期是2023-10-012023-10-02和2023-10-03将为它们生成序号 1、2 和 3。date2是通过将每个日期减去它的序号得到的。这个操作的目的是为了检测连续的日期。
sqlgun靶场通关攻略
2301_80402555的博客
09-13 745
输入 -1' union select 1,2,3# ,页面出现回显点。
Postgresql导入sql文件数据
fxtxz2的专栏
09-13 380
经常有工友喊我导入一下sql到postgresql数据库中。今天就用命令行来导入sql数据。
mysql学习教程,从入门到精通,SQL IN & BETWEEN 运算符(13)
qq_45746668的博客
09-13 1088
我们学习了如何使用AND和OR运算符组合多个条件。但是,有时这是不够的,例如,如果您必须检查位于一个范围或一组值中的值。 这里出现了IN和BETWEEN操作符,它允许您定义一个独占范围或一组值,而不是组合单独的条件。
如何解决sql注入问题
05-25
SQL注入攻击是指攻击者通过构造恶意的SQL语句,来实现对数据库的非法访问和操作,从而造成数据泄露、数据篡改等危害。为了防范SQL注入攻击,可以采取以下措施: 1. 使用参数化查询:参数化查询是一种将SQL语句和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值