JDBC | 存在sql注入式攻击的最差实践代码

最新推荐文章于 2021-02-27 15:35:15 发布
最新推荐文章于 2021-02-27 15:35:15 发布
阅读量1.4k 收藏
点赞数
分类专栏: Database | Oracle Java 文章标签: jdbc sql import string user login
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhanghandong/article/details/1228034
版权
package cn.zhd;
import java.io.*;
import org.apache.log4j.*;
import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.SQLException;
import java.sql.Statement;
import java.sql.ResultSet;

public class LoginDemo {
    
    public void execute(String user,String pass){
        boolean foo=false;
        try{
            Class.forName("com.mysql.jdbc.Driver");
            Connection con=DriverManager.getConnection("jdbc:mysql://localhost/students","root","");
            Statement stam=con.createStatement();
            //存在注入攻击漏洞:select * from login where user='' or'x'='x' or 'x'='' and '1'
            ResultSet rs=stam.executeQuery("select * from login where user='" + user + "' and pass='"+ pass + "'");
            while(rs.next()){

                    foo=true;
                
            }
            if(foo){
                System.out.println("登陆成功");
            }
            else
            {
                System.out.println("用户名密码错误");
            }

        }catch(ClassNotFoundException e){
            e.printStackTrace();
        }catch(SQLException e){
            e.printStackTrace();
        }
        
    }
    public static void main(String[] args){
        Logger log=Logger.getLogger(LoginDemo.class);
        try{
            LoginDemo ld=new LoginDemo();
            BufferedReader bf=new BufferedReader(new InputStreamReader(System.in));
            log.info("请输入用户名");
            String bf_str=bf.readLine();
            log.info("请输入密码");
            String bf2_str=bf.readLine();
            bf.close();
            ld.execute(bf_str,bf2_str);
        }catch(IOException e){
            e.printStackTrace();
        }
        
    }
}

当输入用户名的时候输入:' or 'x'='x' or '2'='
密码随便输.....
成功登陆了吧.....
zhanghandong
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
数据库应用+SQL优化+Git
weixin_55817753的博客
06-25 1058
数据库应用1.1 概念1.1.1 什么是数据库1.1.2 关系型和非关系型1.1.3 关系型数据库1.2 Mysql数据库1.2.1 MySQL数据存放在哪里?1.2.2 MySQL服务端1.2.3 MySQL客户端1:DOS窗口1.2.4 MySQL客户端2:可视化工具1.3 数据库的结构1.3.1 数据库结构1.4 SQL语句1.4.1 定义1.4.2 分类1.5
JAVA代码审计之SQL注入
06-14
1、JDBC连接方sql注入存在的形态及修复方法,like、in情况在如何安全使用预处理来防范sql注入 2、在使用Mybatis框架下如何审计sql注入代码,并详细的介绍了如何编写安全的数据库查询语句。 3、在使用Hibernate...
java sql攻击_存在sql注入攻击最差实践代码(Java新手注意了)
weixin_33930436的博客
02-16 88
package cn.zhd;import java.io.*;import org.apache.log4j.*;import java.sql.Connection;import java.sql.DriverManager;import java.sql.SQLException;import java.sql.Statement;import java.sql.ResultSet;publ...
java存在sql注入吗_存在sql注入***的最差实践代码(Java新手注意了)
weixin_31991991的博客
02-27 129
package cn.zhd;import java.io.*;import org.apache.log4j.*;import java.sql.Connection;import java.sql.DriverManager;import java.sql.SQLException;import java.sql.Statement;import java.sql.ResultSet;publ...
存在sql注入攻击最差实践代码(Java新手注意了)
wangpingjing的博客
06-16 201
下面是自己以前初学JDBC时候写的代码存在sql注入漏洞。 不安全因素:statement。。。应该用Preparedstatement来代替statement,这样我们就可以使用占位符作为实参来定义sql语句,从而避免sql注入攻击。         当然也可以用statement,你得注意你的sql的写法,要是下例肯定不行。还得对url恶意传入参数进行过滤(SQL元字符处理)。。。这样...
回首当年我们犯下的错误——存在sql注入攻击最差实践代码(Java新手注意了)
jasontome的android之路:Do it. Do it right. Do it righ
08-12 470
下面是自己以前初学JDBC时候写的代码存在sql注入漏洞。 不安全因素:statement。。。应该用Preparedstatement来代替statement,这样我们就可以使用占位符作为实参来定义sql语句,从而避免sql注入攻击。         当然也可以
存在sql注入***的最差实践代码
weixin_34038652的博客
10-10 51
不安全因素:statement。。。应该用Preparedstatement来代替statement,这样我们就可以使用占位符作为实参来定义sql语句,从而避免sql注入的***。 当然也可以用statement,你得注意你的sql的写法,要是下例肯定不行。还得对url恶意传入参数进行过滤(SQL元字符处理)。。。这样就比较麻烦了,而且也无法保证绝对的安全。 ...
存在sql注入***的最差实践代码(Java新手注意了)
weixin_34221332的博客
04-10 55
下面是自己以前初学JDBC时候写的代码存在sql注入漏洞。 不安全因素:statement。。。应该用Preparedstatement来代替statement,这样我们就可以使用占位符作为实参来定义sql语句,从而避免sql注入的***。         当然也可以用statement,你得注意你的sql的写法,要是下例肯定不行。还得对url恶意传入参数进行过滤(SQL元字符处理)。。...
mybatis3.x源码深度解析二、关键对象与sql执行过程
Munger6的博客
05-22 601
转载自:https://www.cnblogs.com/zhjh256/p/8512392.html 3 关键对象总结与回顾 3.1 SqlSource 3.2 SqlNode ChooseSqlNode ForEachSqlNode IfSqlNode StaticTextSqlNode TextSqlNode VarDeclSqlNode ...
SQL语言操作
weixin_44744941的博客
02-07 630
MySQL数据库 CREATE TABLE t_user ( uid INT AUTO_INCREMENT COMMENT ‘用户id’, username VARCHAR(20) NOT NULL UNIQUE COMMENT ‘用户名’, password CHAR(32) NOT NULL COMMENT ‘密码’, salt CHAR(36) COMMENT ‘盐值’, gender INT COMMENT ‘性别,0-女,1-男’, phone VARCHAR(20) COMMENT ‘电话’,
JDBC如何有效防止SQL注入
12-14
在我们平时的开发中,作为新手写JDBC很有可能忽略了一点,那是根本没有考虑SQL注入的问题,  那么,什么是SQL注入,以及如何防止SQL注入的问题。  一什么是SQL注入  所谓SQL注入,是通过把SQL命令插入到Web...
SQL注入原理与解决方法代码示例
09-09
- **预编译语句(PreparedStatement)**:Java的JDBC提供预编译语句接口,可以有效地防止SQL注入。预编译语句将查询模板与用户输入分开,确保用户输入的数据不会被解释为SQL代码。例如: ```java String query = ...
sql注入和xss攻击, springmv拦截器
07-24
sql注入和xss攻击, springmv拦截器,可自由调整需要拦截的字符
sqlserver 2000 8版本jdbc驱动
最新发布
09-01
SQLServer 2000的生命周期内,存在多个版本,每个版本可能需要不同的JDBC驱动以解决兼容性问题。描述中提到的问题,即“驱动不兼容”,通常是因为使用的JDBC驱动与数据库服务器的版本不匹配导致的。 标签中提到了...
log4j源码简要分析 | 读取配置文件
09-05 6133
LogManager在初始化的过程中,读取log4j.configuration系统变量的值,生成配置文件的url,默认为log4j.properties或log4j.xml.然后用PropertyConfigurator类来解析log4j.properties文件.读源码才明白,PropertyConfigurator类实现了Configurator接口,重载了configure方法来读取p
JDBC | 模板模&策略模
09-20 1821
这两天自己的机子出了怪现象,cmd窗口打不开,组策略编辑器打不开,但是有时可以打开,好象被人控制了一般,花十块钱升级了一下病毒库(金山毒霸),查了一天毒(一遍又一遍)...无病毒,最后还原了系统,至今不知道什么原因...见鬼了... 对登陆模拟程序做了一下改进,实现了如题两个模的应用,用PreparedStatement防止了类似sql注入的不安全因素:模板模:
About ! appfuse-springmvc
11-23 1790
版权所有,如有转载,请致信blackanger.z@gamil.com,征得作者同意.谢谢在官网下了appfuse-springmvc-1.9.4-src.zip,刚刚看了SpringMVC,试着跑了一下这个传说中的Appfuse.比较神奇.尽管也有人骂.一.随便逛逛在eclipse3.2中导入后,我先关注的是common包中的taglibs.jsp,看看它引入了些什么(为什么先看着?
hibernate 关联查询Ⅱ
11-29 1732
在多对多关系.假如有这样一个例子:一个网上商店,一个用户浏览了一件商品,留下一句话,走了,第二个用户有来了,又留一句话,然后这两个用户又到别的商品逛了逛,也留下了他对商品的看法.这个过程我们在数据库中实现就是多对多,一个商品对多个用户,一个用户对多个商品.但是我们需要查询出一个商品下,有谁说了哪些话,可能要做一个统计.在Hibernate里,fetch="join">       
jdbc怎么防止sql注入
06-10
为了防止SQL注入攻击,我们可以采取以下措施: 1. 使用预处理语句:使用预处理语句可以有效地防止SQL注入攻击。预处理语句是在执行SQL语句之前将SQL语句和参数分开处理,从而消除了SQL注入攻击的风险。 2. 使用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值