sql注入漏洞 为什么有 怎么解决

最新推荐文章于 2024-06-27 17:54:31 发布
最新推荐文章于 2024-06-27 17:54:31 发布
阅读量1.7k 收藏 1
点赞数
分类专栏: JAVA
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yueloveme/article/details/77619802
版权

给大家推荐个靠谱的公众号程序员探索之路,大家一起加油https://i-blog.csdnimg.cn/blog_migrate/93320939ba8f8b0a898e29429753f496.png ​ 

package com.qf.zzh;

import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.util.List;
import java.util.Map;
import java.util.Scanner;

public class UserLogin {

	/**sql注入漏洞  为什么有   怎么解决
	 * @param args
	 * @throws SQLException 
	 */
	public static void main(String[] args) throws SQLException {
		// TODO Auto-generated method stub
		Scanner input = new Scanner(System.in);
		System.out.println("请输入用户名");
		String user = input.nextLine();
		System.out.println("请输入密码");
		String password = input.nextLine();
		// 如果sql语句没有经过 预编译 或者其他处理 那么 就会 有注解漏洞
		// 例如:这一句话 在sql中显示就是:
		// select * from user where username='zhangsan' and password='123' or
		// '1=1'
		// 这句话就恒真   所以  无论你是谁 都会 显示登录成功  所以有sql注入漏洞
		// String password = "123' or '1=1";
		// String sql = "select * from user where username='" + user
		// + "' and password='" + password + "'";		// List<Map<Object, Object>> list = DatabaseTools.selectDataBases(sql);
		// if (list != null && list.size() > 0) {
		// System.out.println("登录成功");
		// } else {
		// System.out.println("用户名或者密码错误!");
		// }
		// 第一种改进方式 就是 用户名输入进去了 就 把对应的密码取出来 然后 用取出来的密码 和 输入的密码比较如果相同
		// 那么就表明是登陆成功 就避免了用sql的恒真性判断是否存在了
		// User use = new
		// DatabaseTools<User>(User.class).getBean("username='"+user+"'");
		// if(use!=null&&password!=null&&use.getPassword().equals(password)){
		// System.out.println("登录成功");
		// }else{
		// System.out.println("用户名/密码错误");
		// }
		// 第二种方式
		// 预编译的sql语句   就是把user和password分别看成一个整体  不可再分
		String sql="select * from user where username=? and password=?";
		Connection conn = DatabaseTools.getConnect();
		//这种方式  常见sql对象是 就需要 传入sql语句
		PreparedStatement ps =conn.prepareStatement(sql);
		//对sql语句进行预编译
		ps.setString(1,user);
		ps.setString(2,password);
		ResultSet rs = ps.executeQuery();
		if(rs.next()){
			System.out.println("登录成功");
		}else{
			System.out.println("用户名/密码错误");
		}
	}

}

 

yueloveme
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Web扫描SQL注入漏洞 Java版
05-03
带源码的Java版的web注入漏洞扫描工具
SQL注入漏洞过程实例及解决方案
09-08
本文将深入探讨SQL注入漏洞的过程,并提供具体的解决方案。 首先,让我们理解SQL注入漏洞是如何发生的。在上述代码示例中,`login`方法使用字符串拼接的方式构建SQL查询语句,如下所示: ```java String sql=...
SQL 注入漏洞产生的原因?如何防止?
siyuanwai的博客
07-29 1240
SQL 注入产生的原因: 程序开发过程中不注意规范书写sql 语句和对特殊字符进行过滤,导致客户端可以通过全局变量POST 和GET 提交一些sql 语句正常执行。 防止SQL 注入的方式: 开启配置文件中的magic_quotes_gpc 和magic_quotes_runtime 设置 执行sql 语句时使用addslashes 进行sql 语句转换 Sql 语句书写尽量不要省略双引号和单引号。 过滤掉sql 语句中的一些关键词: update、insert、delete、select、* 。 提高数据
SQL注入漏洞SQL注入简介与原理
最新发布
goldfish8848的博客
06-27 1779
SQL注入漏洞从1998年圣诞节大火以来长盛不衰,虽然开发人员想出各种方法对他进行围追堵截,却始终无法将其赶尽杀绝,SQL注入的根本原因就是将SQL代码插入或添加到应用(用户)的输入参数中的攻击,之后再讲这些参数传递给后台的SQL服务器加以解析并执行。
SQL注入漏洞
weoln的专栏
06-09 763
<br /> <br />SQL注入漏洞曾经是Web应用程序的噩梦,CMS、BBS、Blog无一不曾受其害。<br /> <br />SQL注入的原理<br />以往在Web应用程序访问数据库时一般是采取拼接字符串的形式,比如登录的时候就是根据用户名和密码去查询:<br /> <br />string sql = "SELECT TOP 1 * FROM [User] WHERE UserName = ‘” + userName + “‘ AND Password = ‘” + password + “‘”
sql 拼接int类型的字段_SQL注入漏洞解决方案
weixin_39627751的博客
11-16 548
一、sql注入漏洞  1. SQL注入漏洞  SQL注入攻击(SQL Injection),简称为注入攻击,SQL注入,被广泛用于非法获取网站控制权。这是在应用程序的数据库层中发生的安全漏洞。在设计程序中,忽略了对输入字符串中包含的SQL命令的检查,并且将数据库误认为是要运行的常规SQL命令,这导致数据库受到攻击,从而可能导致盗窃,修改和删除数据,并进一步导致网站嵌入恶意代码,植入后门程序的危害等...
解决sql漏洞
m0_62102386的博客
07-11 679
查询多行多列。
SQL注入漏洞全接触.ppt
11-15
* 由于SQL注入漏洞可以从正常的WWW端口访问,表面看起来跟一般的Web页面访问没什么区别,所以目前市面的防火墙都不SQL注入发出警报。 三、 SQL注入漏洞的类型 * 根据不同的数据库管理系统, SQL注入漏洞可以...
php中sql注入漏洞示例 sql注入漏洞修复
10-26
由于PHP通常用于Web开发,并且经常与MySQL数据库结合使用,因此SQL注入漏洞在PHP应用中尤为突出。 在PHP中,SQL注入漏洞常见于各种用户输入的处理环节,尤其是在处理登录界面、留言板、搜索框等用户可输入数据的...
自己动手编写SQL注入漏洞扫描工具
06-22
标题中的“自己动手编写SQL注入漏洞扫描工具”指的是创建一个能自动检测Web应用程序是否存在SQL注入漏洞的软件。SQL注入是一种常见的网络安全威胁,攻击者通过在输入字段中插入恶意的SQL语句来操纵数据库,获取敏感...
SQL注入漏洞产生的原因 ? 如何防止?
热门推荐
PHPer技术栈
06-13 2万+
SQL注入产生的原因:程序开发过程中不注意规范书写sql语句和对特殊字符进行过滤,导致客户端可以通过全局变量POST和GET提交一些sql语句正常执行。 防止SQL注入: 开启配置文件中的magic_quotes_gpc和magic_quotes_runtime设置 执行sql语句时使用addslashes进行sql语句转换 Sql语句书写尽量不要省略小引号和单引号 过滤掉sql语句中...
SQL注入安全问题解决方案-JAVA
11-25
SQL注入安全问题解决方案-JAVA SQL注入安全问题解决方案-JAVA
SQL 注入漏洞原理以及修复方法
it知识分享 free for nothing..
01-23 8820
SQL 注入漏洞原理以及修复方法
SQL注入漏洞及防止方法
lxc1990425的专栏
09-09 842
yi SqlCommand cmd = new SqlCommand(@"select count(1) from SYS_CA where BZ like @Txt_CompanyName and USERNAME = @Txt_UserName and PASSWORD = @Txt_Password", conn);                     cmd.Parameters.
sql注入的根本原因
寂寥人生
06-20 2226
我们先看一个小例子 select * from user where username = 'admin' and password='abc123' 这个是一个正常用户传递过来的的用户名为:admin 搞破坏的人可能就传递过来变成 select * from user where username = 'admin'#' and password='abc123' #在sql里面是注释 那...
sql注入原理
LVXIANGAN的专栏
05-27 1348
所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,比如先前的很多影视网站泄露VIP员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容易受到SQL注入式攻击.
SQL注入漏洞的分析及解决(java)
m0_51295053的博客
07-14 1337
SQL注入漏洞的分析及解决1,SQL注入漏洞的演示2,SQL注入漏洞产生的原因3,SQL注入漏洞解决方案(Java) 1,SQL注入漏洞的演示 2,SQL注入漏洞产生的原因 3,SQL注入漏洞解决方案(Java) 一,SQL注入漏洞演示 1),数据库中用户和密码 2),验证登陆和sql拼接 模拟登陆验证页面 内联代码片。 package jdbcTest.jdbc.demo4; import java.sql.Connection; import java.sql.ResultSet; im
java SQL注入修复代码_Java代码审计连载之—SQL注入
weixin_35784728的博客
02-26 445
》系列文章,本文章适合初学者,大牛留下脚印后请绕过,若代码有什么其他问题请忽略,因为那不是重点,此片只讲述SQL注入。本次写了两个简单的页面,一个登陆页面,一个查询id界面,如下:废话不多说,开始!SQL注入原理先看下百度百科对SQL注入的介绍:所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应...
sql 注入漏洞
Venscor技术养成之路
04-21 907
sql注入相关知识
sql注入漏洞解决方法
11-08
为了避免 SQL 注入的出现,我们可以采取以下三种常见的防护方法: 1.使用 PreparedStatement 方法或者存储过程,尽量避免在 SQL 语句中出现字符串拼接的操作。 2.对用户的输入进行验证、检测并过滤 SQL 中的关键词,从而避免原有语句被篡改。 3.使用ORM框架,ORM框架可以自动将Java对象映射到数据库表中,从而避免手动编写SQL语句的过程中出现SQL注入漏洞
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值