sql注入

最新推荐文章于 2021-11-03 22:55:17 发布
最新推荐文章于 2021-11-03 22:55:17 发布
阅读量86 收藏
点赞数
分类专栏: sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zwj13603571674/article/details/103667689
版权

数据库如下:
在这里插入图片描述

首先编写一个资源文件jdbc.properties内容如下

username:root  
password:4321
driver:com.mysql.cj.jdbc.Driver
url:jdbc:mysql://localhost:3306/demo1?useUnicode=true&characterEncoding=utf-8&useSSL=false&serverTimezone =GMT

下面上主菜

public static void main(String[] args) throws Exception {
    //读取jdbc.properties 文件中的有关数据库的信息
    Properties properties = new Properties();
    properties.load(day_02.class.getClassLoader().getResourceAsStream("jdbc/jdbc.properties"));//这里路径填自己文件的相对路径即可
    //加载mysql驱动
    Class.forName(properties.getProperty("driver"));
    //创建连接,获取Connection对象
    Connection connection = DriverManager.getConnection(properties.getProperty("url"), properties.getProperty("username"), properties.getProperty("password"));
    //创建一个statement对象
    Statement statement = connection.createStatement();
    //编写sql语句并执行
    ResultSet resultSet = statement.executeQuery("select * from admin ");
      //利用resultset中的光标将结果输出,ResultSet光标最初位于第一行之前; 第一次调用方法next使第一行成为当前行; 第二个调用使第二行成为当前行,依此类推。
    while (resultSet.next()) {
        //获取第一列数据
        System.out.println(resultSet.getString(1));
        //获取第二列数据
        System.out.println(resultSet.getInt(2));
        //获取第三列数据
        System.out.println(resultSet.getDate(3));
    }
    resultSet.close();
    statement.close();
    connection.close();

}

这便是传统的jdbc连接数据库进行数据访问
现在做如下更改将

ResultSet resultSet = statement.executeQuery("select * from admin ");
修改为

 ResultSet resultSet1 = statement.executeQuery("select * from admin where admin_number='admin' #admin_password=123");

或者修改为

ResultSet resultSet2 = statement.executeQuery("select * from admin where admin_number='admin' and admin_password=12346 or 1=1");

这样都可以在数据库查询出一样的结果,这便是sql注入,这样就可以实现,当用户在登陆的时候无需输入密码便可以登陆成功!

防止sql注入使用的是PreparedStatement预编译语句集,它内置了处理SQL注入的能力。
原理:
sql注入只对sql语句的准备(编译)过程有破坏作用
而PreparedStatement已经准备好了,执行阶段只是把输入串作为数据处理,
而不再对sql语句进行解析,准备,因此也就避免了sql注入问题.
代码如下

//对sql语句经行预编译
PreparedStatement preparedStatement = connection.prepareStatement("select * from admin where admin_number=? and admin_password=?");
preparedStatement.setString(1,"admin");
preparedStatement.setInt(2,123456789);
ResultSet resultSet = preparedStatement.executeQuery();
while (resultSet.next()){
    System.out.println(resultSet.getString(1));
    System.out.println(resultSet.getInt(2));
    System.out.println(resultSet.getDate(3));
}
半栈学徒
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SQL注入
m0_51600840的博客
07-25 2689
是注释的意思,那么是不是后面的都被注释掉了,所以该语句的意思是不是就变成了如果USER等于我输入的值或者1=1那么就登录成功,因为1=1恒成立,那么是不是不管我输入什么都能登录成功,甚至不需要输入密码。盲注入盲注不会展现任何数据库报错内容,它是依据构造真或假的问题对数据库进行“提问”,注入方式主要有两种基于布尔值与基于时间。网站被挂马,传播恶意软件修改数据库一些字段的值,嵌入网马链接,进行挂马攻击。换言之,我服务器明明想要执行的是你用户提交的一个数据,可是你提交了一个数据。...
【万字长文】SQL注入(非常详细)零基础入门到精通,收藏这一篇就够了
Libra1313的博客
03-17 3308
之前一直有粉丝朋友,在挖漏洞过程中使用到SQL注入,希望大白给他讲解一些的SQL注入,今天大白也特地给粉丝朋友安排好了SQL注入攻击方式根据应用程序处理数据库返回内容的不同,可以分为可显注入、报错注入和盲注。
SQL 注入
wangbaosongmsn的博客
01-12 51
java防SQL注入html编码入侵特殊字符转义和方法入参检测工具(Spring)
sql注入攻击流量情况
07-18
sql注入攻击流量情况
pangolinsdl—sql注入工具
06-20
pangolinsdl—sql注入工具 很好用的sql注入工具 界面简洁好用 使用方便
DB2数据库SQL注入手册1
08-08
DB2数据库SQL注入手册 DB2数据库SQL注入手册是指在使用DB2数据库时,如何检测和防止SQL注入攻击的一份指南。SQL注入是一种常见的Web应用程序安全漏洞,攻击者可以通过在输入字段中 inject恶意SQL代码来访问或控制...
超级sql注入工具
11-02
超级SQL注入工具(SSQLInjection)是一款基于HTTP协议自组包的SQL注入工具,支持出现在HTTP协议任意位置的SQL注入,支持各种类型的SQL注入,支持HTTPS模式注入。 超级SQL注入工具目前支持Bool型盲注、错误显示注入、...
sql注入网站源码
04-09
挺好的带有sql注入漏洞的asp网站源码,可以自行搭建环境。
sql注入工具sql注入工具sql注入工具sql注入工具
03-13
sql注入工具sql注入工具sql注入工具sql注入工具sql注入工具sql注入工具
Sql server之sql注入
12-14
SQL Injection   关于sql注入的危害在这里不多做介绍了,相信大家也知道其中的厉害关系。这里有一些sql注入的事件大家感兴趣可以看一下   防范sql注入的方法无非有以下几种:   1.使用类型安全的SQL参数   2.使用参数化输入存储过程   3.使用参数集合与动态SQL   4.输入滤波   5.过滤LIKE条款的特殊字符   …如果有遗漏的也欢迎园子的大大们指教。   Sample:   var Shipcity;   ShipCity = Request.form ("ShipCity");   var sql = "select * from
SQL Injection
xFinKL的专栏
09-10 284
1.1.1 摘要       日前,国内最大的程序员社区CSDN网站的用户数据库被黑客公开发布,600万用户的登录名及密码被公开泄露,随后又有多家网站的用户密码被流传于网络,连日来引发众多网民对自己账号、密码等互联网信息被盗取的普遍担忧。      网络安全成为了现在互联网的焦点,这也恰恰触动了每一位用户的神经,由于设计的漏洞导致了不可收拾的恶果,验证了一句话“出来混的,迟早是要还的”
网络攻击技术开篇——SQL Injection
weixin_30580341的博客
12-31 323
1.1.1 摘要 日前,国内最大的程序员社区CSDN网站的用户数据库被黑客公开发布,600万用户的登录名及密码被公开泄露,随后又有多家网站的用户密码被流传于网络,连日来引发众多网民对自己账号、密码等互联网信息被盗取的普遍担忧。 网络安全成为了现在互联网的焦点,这也恰恰触动了每一位用户的神经,由于设计的漏洞导致了不可收拾的恶果,验证了一句话“出来混的,迟早是要还的”...
SQL注入(上)
weixin_46962006的博客
11-03 2804
                       SQL注入 目录前言工具的准备Less-1源码实操 URL中特殊字符转义编码 前言        内容后续将进行补充        个人观点,若有误请指教 工具的准备 phpstudy(自寻网上安装教程) sqli-labs: ①下载链接:https://github.com/Audi-1/sqli-labs ②解压后,创建本地网站(具体步骤:https://blog.csdn.net/weixin_46962006/article/details/12
sql注入sql注入
最新发布
05-02
SQL注入是一种常见的安全漏洞,它允许攻击者通过在应用程序的输入字段中插入恶意的SQL代码来执行未经授权的数据库操作。攻击者可以利用这个漏洞来绕过身份验证、获取敏感数据、修改数据或者执行其他恶意操作。 为了防止SQL注入攻击,开发人员应该采取以下措施: 1. 使用参数化查询或预编译语句:这样可以将用户输入的数据作为参数传递给SQL查询,而不是将其直接拼接到查询语句中。这样可以防止恶意代码的注入。 2. 输入验证和过滤:对用户输入进行验证和过滤,确保只接受符合预期格式的数据。例如,可以使用正则表达式验证输入是否符合特定的模式。 3. 最小权限原则:确保数据库用户只具有执行必要操作的最低权限。这样即使发生SQL注入攻击,攻击者也无法执行敏感操作。 4. 错误处理:不要向用户显示详细的错误信息,以防止攻击者获取有关数据库结构和配置的敏感信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值