java 注入攻击_JAVA 基础之SQL注入防范

墨蓝 2022-11-05 13:58 295阅读 0赞

java之sql注入漏洞

以及如何防范

所谓SQL注入，它是利用现有应用程序，将(恶意的)SQL命令注入到后台数据库引擎执行的能力

首先创建一个数据库工具类

package zr;

import java.sql.Connection;

import java.sql.DriverManager;

import java.sql.PreparedStatement;

import java.sql.ResultSet;

import java.sql.SQLException;

import java.util.Scanner;

public class main2

\{

public static void main(String\[\] args)

\{

Scanner sc = new Scanner(System.in);

System.out.println("请输入用户名");

String username = sc.nextLine();

System.out.println("请输入密码");

String password = sc.nextLine();

try

\{

Class.forName("com.mysql.jdbc.Driver");

\} catch (ClassNotFoundException e)

\{

System.out.println("加载驱动失败"+e.getMessage());

\}

Connection conn = null;

PreparedStatement ps = null;

ResultSet rs = null;

try\{

conn = DriverManager.getConnection("jdbc:mysql://localhost/study1?seUnicode=true&characterEncoding=UTF8", "root", "root");

String sql = "select count(\*) c from T\_Users where UserName='"+username+"' and PassWord = '"+password+"'";

ps = conn.prepareStatement(sql);

/\*

\* 存在注入漏洞 a' or 'a'='a

\* 需要对其过滤

\*/

/\*String sql ="select count(\*) c from T\_Users where UserName=? and PassWord =?";

ps = conn.prepareStatement(sql);

ps.setString(1, username);

ps.setString(2, password);\*/

rs = ps.executeQuery();

rs.next();

int c = rs.getInt("c");

System.out.println(c);

if(c<=0)\{

System.out.println("登录失败");

\}

else\{

System.out.println("登陆成功");

\}

\}catch(SQLException ex)\{

System.out.println("执行数据库出错"+ ex);

\}

finally\{

JDBCGB.closeQuiety(ps);

JDBCGB.closeQuiety(conn);

JDBCGB.closeQuiety(rs);

\}

\}

\}

然后使用navicat工具在数据库里创建一个账号，再使用上面的代码进行登录

![582f92d3ff3c7a14b5f8378b561aebd4.png][]

账号为任意值密码为

a' or 'a'='a

都可以登录成功原因是因为

![2eb7b72f37b523aa747f419c9a7805b5.png][]

password的值永远为真值

所以where整个的数据也为真

这样就可以成功执行sql语句

![261011b863ea02da8665c56197efa4e3.png][]

需要对sql语句进行过滤

ps = conn.prepareStatement(sql);

ps.setString(1, username);

ps.setString(2, password);

这里采用的是setstring的方法实现预编译处理

最终提升系统的安全性

[582f92d3ff3c7a14b5f8378b561aebd4.png]: /images/20221023/1fd353763b94465b9ec850ad0b52d7d4.png
[2eb7b72f37b523aa747f419c9a7805b5.png]: /images/20221023/6835fbcfd0294be9bd4fc8e92b88f56d.png
[261011b863ea02da8665c56197efa4e3.png]: /images/20221023/a9347bd325fe4ee3b63fb961a077ad14.png

发表评论取消回复

表情：

评论列表（有 0 条评论，295人围观）

还没有评论，来说两句吧...

相关阅读

相关 Oracle SQL注入攻击防范策略

Oracle SQL注入攻击是利用数据库查询语句的动态特性，向服务器发送恶意SQL指令，以获取、修改或删除敏感信息。针对这种攻击，可以采取以下防范策略： 1. **参数化查询

梦里梦外;/ 2025年02月03日 02:12/ 0 赞/ 52 阅读

相关 Oracle SQL注入攻击防范实例

在Oracle SQL注入攻击防范中，我们通常会采取以下几个实例进行防御： 1. **参数化查询**： ```sql SELECT column_name FRO

一时失言乱红尘/ 2025年01月27日 15:42/ 0 赞/ 1 阅读

相关 Oracle SQL注入攻击防范策略

Oracle SQL注入攻击防范策略主要包括以下几个方面： 1. **参数化查询**：这是最有效的方式，通过使用占位符（如`?`）并在执行SQL时提供实际值，可以防止恶意输入

骑猪看日落/ 2025年01月14日 23:27/ 0 赞/ 59 阅读

相关 Oracle SQL注入攻击防范案例

Oracle SQL注入攻击防范案例通常涉及以下几个步骤： 1. **参数化查询**：这是防止SQL注入最基本的方式。在编写数据库操作代码时，将用户输入的数据作为参数

秒速五厘米/ 2025年01月07日 04:51/ 0 赞/ 75 阅读

相关 Oracle SQL注入攻击防范案例

在Oracle数据库中，SQL注入攻击是一种常见的安全威胁。以下是一个防范Oracle SQL注入攻击的案例： 1. **参数化查询**：这是最有效的防止SQL注入的方法。例

骑猪看日落/ 2025年01月04日 02:45/ 0 赞/ 77 阅读

相关 Oracle SQL注入攻击与防范案例

Oracle SQL注入攻击是一种利用应用程序对用户输入数据进行不当处理，从而获取、修改数据库信息的攻击方式。以下是一个防范Oracle SQL注入攻击的案例：案例：一个公

野性酷女/ 2024年12月26日 18:09/ 0 赞/ 77 阅读

相关 Oracle SQL注入攻击及防范策略

Oracle SQL注入攻击是指攻击者利用Web应用程序对用户输入数据的处理不足，将恶意SQL代码插入到查询条件中，从而在数据库服务器上执行未经授权的操作。防范策略主要包括

怼烎@/ 2024年12月18日 23:27/ 0 赞/ 88 阅读

相关 java 注入攻击_JAVA 基础之SQL注入防范

java之sql注入漏洞以及如何防范所谓SQL注入，它是利用现有应用程序，将(恶意的)SQL命令注入到后台数据库引擎执行的能力首先创建一个数据库工具类 packa

墨蓝/ 2022年11月05日 13:58/ 0 赞/ 296 阅读

相关 java--SQL注入攻击

SQL注入攻击概述该攻击也就是黑客或居心不良的人知晓了你底层使用拼接的方式连接SQL语句，也就有可能研究出绕过你检查的SQL语句，以下实例说明：登录操作，检查用户名

小鱼儿/ 2022年04月10日 05:49/ 0 赞/ 462 阅读

相关 java sql 注入与防范

1.注入 ![1470080-20190531182809978-697375311.png][] 2 .预防 ![1470080-20190531183713914-2

绝地灬酷狼/ 2021年09月30日 14:46/ 0 赞/ 411 阅读