java 注入攻击_JAVA 基础之SQL注入防范

墨蓝 2022-11-05 13:58 258阅读 0赞

java之sql注入漏洞

以及如何防范

所谓SQL注入，它是利用现有应用程序，将(恶意的)SQL命令注入到后台数据库引擎执行的能力

首先创建一个数据库工具类

package zr;

import java.sql.Connection;

import java.sql.DriverManager;

import java.sql.PreparedStatement;

import java.sql.ResultSet;

import java.sql.SQLException;

import java.util.Scanner;

public class main2

\{

public static void main(String\[\] args)

\{

Scanner sc = new Scanner(System.in);

System.out.println("请输入用户名");

String username = sc.nextLine();

System.out.println("请输入密码");

String password = sc.nextLine();

try

\{

Class.forName("com.mysql.jdbc.Driver");

\} catch (ClassNotFoundException e)

\{

System.out.println("加载驱动失败"+e.getMessage());

\}

Connection conn = null;

PreparedStatement ps = null;

ResultSet rs = null;

try\{

conn = DriverManager.getConnection("jdbc:mysql://localhost/study1?seUnicode=true&characterEncoding=UTF8", "root", "root");

String sql = "select count(\*) c from T\_Users where UserName='"+username+"' and PassWord = '"+password+"'";

ps = conn.prepareStatement(sql);

/\*

\* 存在注入漏洞 a' or 'a'='a

\* 需要对其过滤

\*/

/\*String sql ="select count(\*) c from T\_Users where UserName=? and PassWord =?";

ps = conn.prepareStatement(sql);

ps.setString(1, username);

ps.setString(2, password);\*/

rs = ps.executeQuery();

rs.next();

int c = rs.getInt("c");

System.out.println(c);

if(c<=0)\{

System.out.println("登录失败");

\}

else\{

System.out.println("登陆成功");

\}

\}catch(SQLException ex)\{

System.out.println("执行数据库出错"+ ex);

\}

finally\{

JDBCGB.closeQuiety(ps);

JDBCGB.closeQuiety(conn);

JDBCGB.closeQuiety(rs);

\}

\}

\}

然后使用navicat工具在数据库里创建一个账号，再使用上面的代码进行登录

![582f92d3ff3c7a14b5f8378b561aebd4.png][]

账号为任意值密码为

a' or 'a'='a

都可以登录成功原因是因为

![2eb7b72f37b523aa747f419c9a7805b5.png][]

password的值永远为真值

所以where整个的数据也为真

这样就可以成功执行sql语句

![261011b863ea02da8665c56197efa4e3.png][]

需要对sql语句进行过滤

ps = conn.prepareStatement(sql);

ps.setString(1, username);

ps.setString(2, password);

这里采用的是setstring的方法实现预编译处理

最终提升系统的安全性

[582f92d3ff3c7a14b5f8378b561aebd4.png]: /images/20221023/1fd353763b94465b9ec850ad0b52d7d4.png
[2eb7b72f37b523aa747f419c9a7805b5.png]: /images/20221023/6835fbcfd0294be9bd4fc8e92b88f56d.png
[261011b863ea02da8665c56197efa4e3.png]: /images/20221023/a9347bd325fe4ee3b63fb961a077ad14.png

发表评论取消回复

表情：

评论列表（有 0 条评论，258人围观）

还没有评论，来说两句吧...

相关阅读

相关 Oracle SQL注入攻击防范案例

Oracle SQL注入攻击防范案例通常涉及以下几个步骤： 1. **参数化查询**：这是防止SQL注入最基本的方式。在编写数据库操作代码时，将用户输入的数据作为参数

秒速五厘米/ 2025年01月07日 04:51/ 0 赞/ 16 阅读

相关 Oracle SQL注入攻击防范案例

在Oracle数据库中，SQL注入攻击是一种常见的安全威胁。以下是一个防范Oracle SQL注入攻击的案例： 1. **参数化查询**：这是最有效的防止SQL注入的方法。例

骑猪看日落/ 2025年01月04日 02:45/ 0 赞/ 22 阅读

相关 Oracle SQL注入攻击与防范案例

Oracle SQL注入攻击是一种利用应用程序对用户输入数据进行不当处理，从而获取、修改数据库信息的攻击方式。以下是一个防范Oracle SQL注入攻击的案例：案例：一个公

野性酷女/ 2024年12月26日 18:09/ 0 赞/ 34 阅读

相关 MySQL SQL注入攻击及防范案例

SQL注入攻击是利用Web应用程序对用户输入数据不做校验，直接将这些数据作为SQL语句的一部分执行。这种攻击可以导致敏感信息泄露、数据库修改甚至完全控制服务器。以下是一些防

╰半夏微凉°/ 2024年12月19日 20:45/ 0 赞/ 39 阅读

相关 Oracle SQL注入攻击及防范策略

Oracle SQL注入攻击是指攻击者利用Web应用程序对用户输入数据的处理不足，将恶意SQL代码插入到查询条件中，从而在数据库服务器上执行未经授权的操作。防范策略主要包括

怼烎@/ 2024年12月18日 23:27/ 0 赞/ 44 阅读

相关 Oracle SQL注入攻击及其防范策略

Oracle SQL注入攻击是一种利用Web应用对用户输入数据缺乏有效过滤的方式，通过构造恶意SQL语句，获取、修改数据库中的信息，甚至完全控制整个系统。防范Oracle

末蓝、/ 2024年12月17日 17:24/ 0 赞/ 37 阅读

相关 Oracle SQL注入攻击及防范策略

Oracle SQL注入攻击是指攻击者通过输入特定的SQL语句，绕过应用程序的安全防护，获取、修改甚至删除数据库中的敏感信息。防范Oracle SQL注入攻击的策略主要包括

骑猪看日落/ 2024年12月14日 23:36/ 0 赞/ 35 阅读

相关 java 注入攻击_JAVA 基础之SQL注入防范

java之sql注入漏洞以及如何防范所谓SQL注入，它是利用现有应用程序，将(恶意的)SQL命令注入到后台数据库引擎执行的能力首先创建一个数据库工具类 packa

墨蓝/ 2022年11月05日 13:58/ 0 赞/ 259 阅读

相关 java--SQL注入攻击

SQL注入攻击概述该攻击也就是黑客或居心不良的人知晓了你底层使用拼接的方式连接SQL语句，也就有可能研究出绕过你检查的SQL语句，以下实例说明：登录操作，检查用户名

小鱼儿/ 2022年04月10日 05:49/ 0 赞/ 432 阅读

相关 java sql 注入与防范

1.注入 ![1470080-20190531182809978-697375311.png][] 2 .预防 ![1470080-20190531183713914-2

绝地灬酷狼/ 2021年09月30日 14:46/ 0 赞/ 378 阅读