java 注入攻击_JAVA 基础之SQL注入防范

墨蓝 2022-11-05 13:58 231阅读 0赞

java之sql注入漏洞

以及如何防范

所谓SQL注入，它是利用现有应用程序，将(恶意的)SQL命令注入到后台数据库引擎执行的能力

首先创建一个数据库工具类

package zr;

import java.sql.Connection;

import java.sql.DriverManager;

import java.sql.PreparedStatement;

import java.sql.ResultSet;

import java.sql.SQLException;

import java.util.Scanner;

public class main2

\{

public static void main(String\[\] args)

\{

Scanner sc = new Scanner(System.in);

System.out.println("请输入用户名");

String username = sc.nextLine();

System.out.println("请输入密码");

String password = sc.nextLine();

try

\{

Class.forName("com.mysql.jdbc.Driver");

\} catch (ClassNotFoundException e)

\{

System.out.println("加载驱动失败"+e.getMessage());

\}

Connection conn = null;

PreparedStatement ps = null;

ResultSet rs = null;

try\{

conn = DriverManager.getConnection("jdbc:mysql://localhost/study1?seUnicode=true&characterEncoding=UTF8", "root", "root");

String sql = "select count(\*) c from T\_Users where UserName='"+username+"' and PassWord = '"+password+"'";

ps = conn.prepareStatement(sql);

/\*

\* 存在注入漏洞 a' or 'a'='a

\* 需要对其过滤

\*/

/\*String sql ="select count(\*) c from T\_Users where UserName=? and PassWord =?";

ps = conn.prepareStatement(sql);

ps.setString(1, username);

ps.setString(2, password);\*/

rs = ps.executeQuery();

rs.next();

int c = rs.getInt("c");

System.out.println(c);

if(c<=0)\{

System.out.println("登录失败");

\}

else\{

System.out.println("登陆成功");

\}

\}catch(SQLException ex)\{

System.out.println("执行数据库出错"+ ex);

\}

finally\{

JDBCGB.closeQuiety(ps);

JDBCGB.closeQuiety(conn);

JDBCGB.closeQuiety(rs);

\}

\}

\}

然后使用navicat工具在数据库里创建一个账号，再使用上面的代码进行登录

![582f92d3ff3c7a14b5f8378b561aebd4.png][]

账号为任意值密码为

a' or 'a'='a

都可以登录成功原因是因为

![2eb7b72f37b523aa747f419c9a7805b5.png][]

password的值永远为真值

所以where整个的数据也为真

这样就可以成功执行sql语句

![261011b863ea02da8665c56197efa4e3.png][]

需要对sql语句进行过滤

ps = conn.prepareStatement(sql);

ps.setString(1, username);

ps.setString(2, password);

这里采用的是setstring的方法实现预编译处理

最终提升系统的安全性

[582f92d3ff3c7a14b5f8378b561aebd4.png]: /images/20221023/1fd353763b94465b9ec850ad0b52d7d4.png
[2eb7b72f37b523aa747f419c9a7805b5.png]: /images/20221023/6835fbcfd0294be9bd4fc8e92b88f56d.png
[261011b863ea02da8665c56197efa4e3.png]: /images/20221023/a9347bd325fe4ee3b63fb961a077ad14.png

发表评论取消回复

表情：

评论列表（有 0 条评论，231人围观）

还没有评论，来说两句吧...

相关阅读

相关 SQL注入之宽字节注入攻击

目录 1 宽字节注入代码分析 2 数据库展示 3 注入过程 -------------------- 1 宽字节注入代码分析在宽字节注入页面中，程序获取GET

梦里梦外;/ 2022年12月08日 05:52/ 0 赞/ 218 阅读

相关 SQL注入之二次注入攻击

目录 1 二次注入的原理 2 以sqli-labs24为例： 2.1 注册 admin'\ 账号 2.2 注意此时的数据库中出现了admin'\的用户，同时admin的

快来打我*/ 2022年12月08日 05:27/ 0 赞/ 211 阅读

相关 SQL注入之时间注入攻击实验过程

目录 1 环境介绍 2 实验过程 -------------------- 本文采用的是《Web安全攻防渗透测试实战指南》提供的代码及数据库。 1 环境介绍 t

刺骨的言语ヽ痛彻心扉/ 2022年12月08日 04:58/ 0 赞/ 188 阅读

相关 SQL注入之报错注入攻击

目录 1 环境介绍 2 实验过程 -------------------- 本文采用的是《Web安全攻防渗透测试实战指南》提供的代码及数据库。 1 环境介绍在

╰+哭是因爲堅強的太久メ/ 2022年12月08日 04:57/ 0 赞/ 203 阅读

相关 java 注入攻击_JAVA 基础之SQL注入防范

java之sql注入漏洞以及如何防范所谓SQL注入，它是利用现有应用程序，将(恶意的)SQL命令注入到后台数据库引擎执行的能力首先创建一个数据库工具类 packa

墨蓝/ 2022年11月05日 13:58/ 0 赞/ 232 阅读

相关 SQL注入与防范

1. SQL注入观察如下SQL语句： String sql = "select from user where name='" + name +

短命女/ 2022年04月25日 05:52/ 0 赞/ 266 阅读

相关 XSS，SQl注入与防范

XSS攻击全称跨站脚本攻击(cross-site scripting )，是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆，故将跨站脚本攻

水深无声/ 2022年04月15日 07:09/ 0 赞/ 231 阅读

相关 java--SQL注入攻击

SQL注入攻击概述该攻击也就是黑客或居心不良的人知晓了你底层使用拼接的方式连接SQL语句，也就有可能研究出绕过你检查的SQL语句，以下实例说明：登录操作，检查用户名

小鱼儿/ 2022年04月10日 05:49/ 0 赞/ 393 阅读

相关防止Xss、SQL注入攻击-Java

前言： > 1.XSS简介跨站脚本（cross site script）简称为XSS，是一种经常出现在web应用中的计算机安全漏洞，也是web中最主流的攻击方式。 XS

深藏阁楼爱情的钟/ 2022年01月18日 20:09/ 0 赞/ 413 阅读

相关 java sql 注入与防范

1.注入 ![1470080-20190531182809978-697375311.png][] 2 .预防 ![1470080-20190531183713914-2

绝地灬酷狼/ 2021年09月30日 14:46/ 0 赞/ 345 阅读