IDEA学习记录19--sql注入与Statement预编译

最新推荐文章于 2024-12-26 10:55:38 发布
原创 最新推荐文章于 2024-12-26 10:55:38 发布 · 916 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#intellij-idea #sql #数据库

本文通过一个具体的Java示例演示了如何进行SQL注入攻击,并介绍了使用预编译语句来提高数据库操作安全性的方式。

1、sql注入

package net.xdclass.web.dao;

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.ResultSet;
import java.sql.Statement;

public class JDBCtest {
    public static void main(String [] args) throws Exception{
/*        //1 加载JDBC驱动程序
        String driverName = "com.mysql.cj.jdbc.Driver";
        Class.forName(driverName);
        //2 建⽴立数据库连接Connection
        String userName = "root";
        String userPwd = "123456";
        String dbName = "xd_class";
        //协议:子协议://ip:端⼝口/数据库名称?参数1=值1&参数2=值2
        String url1 = "jdbc:mysql://127.0.0.1:3306/"+dbName;
        String url3 = "?userUnicode=true&characterEncoding=utf8&serverTimezone=GMT%2B8&useSSL=false";
        String url = url1+url3;

        Connection connection = DriverManager.getConnection(url,userName,userPwd);
        System.out.println("success");//检验数据库是否连接成功

        //3 创建执⾏行行SQL的语句句Statement
        Statement statement = connection.createStatement();
        //4 处理理执⾏行行结果ResultSet
        ResultSet resultSet = statement.executeQuery("select  * from user");
        while (resultSet.next()){
            System.out.println("用户名称 name="+resultSet.getString("username")+
                    " 联系方式 wechat+"+resultSet.getString("wechat"));
        }

        //5 释放连接资源
        resultSet.close();
        statement.close();
        connection.close();*/
        testInjectSQL();
    }

    private static void testInjectSQL()throws Exception{
        //1 加载JDBC驱动程序
        String driverName = "com.mysql.cj.jdbc.Driver";
        Class.forName(driverName);
        //2 建⽴立数据库连接Connection
        String userName = "root";
        String userPwd = "123456";
        String dbName = "xd_class";
        //协议:子协议://ip:端⼝口/数据库名称?参数1=值1&参数2=值2
        String url1 = "jdbc:mysql://127.0.0.1:3306/"+dbName;
        String url3 = "?userUnicode=true&characterEncoding=utf8&serverTimezone=GMT%2B8&useSSL=false";
        String url = url1+url3;

        Connection connection = DriverManager.getConnection(url,userName,userPwd);
        //System.out.println("success");//检验数据库是否连接成功

        String uname="jack";
        String upwd="666' or 1=1 or'";
        String sql= "select * from user where username='"+uname+"' and pwd='"+upwd+"'";
        //3 创建执⾏行行SQL的语句句Statement
        Statement statement = connection.createStatement();
        //4 处理理执⾏行行结果ResultSet
        ResultSet resultSet = statement.executeQuery(sql);
        while (resultSet.next()){
            System.out.println("用户名称 name="+resultSet.getString("username")+
                    " 联系方式 wechat+"+resultSet.getString("wechat"));
        }

        //5 释放连接资源
        resultSet.close();
        statement.close();
        connection.close();

    }
}

在url里修改参数就可能引起数据库信息泄露,甚至修改数据库内容
在这里插入图片描述
2、防范措施:Statement预编译
在这里插入图片描述
这样就把传入的值(or 1=1 or)当成值拼起来,而不是当成sql指令,提高了安全性。在这里插入图片描述

idea操作jdbc(CRUD、SQL注入预编译
qq_61727355的博客
08-14 998
2)在idea中新建lib目录存放jar包(需右击add as library)3)编码测试,测试插入一条数据。CRUD操作-create。CRUD操作-update。CRUD操作-delete。1)提取配置信息(解耦合)CRUD操作-read。
java-sec-code sql注入漏洞分析
weixin_44687621的博客
08-14 651
之前在idea上搭建了项目java security code,并做了点简单的测试。发现虽然有Eureka组件的报错,但是还是能完美地实现简单命令执行漏洞的,今天尝试以下sql注入漏洞。 环境搭建 启动mysql服务,查看连接是否正常,并建立对应的数据库和数据表 如果出现time zone的错误,请提升mysql版本。或将jdbc连接改为 String url = "jdbc:mysql://localhost:3306/sectest?serverTimezone=UTC"; 接下来,开启服务,访问h
oracle学习笔记(七) 预编译Statement介绍使用
weixin_30561177的博客
04-27 218
预编译Statement优点 执行效率高 由于预编译语句使用占位符 ”?”,在执行SQL之前语句会被先发送到Oracle服务器进行语法检查和编译等工作,并将SQL语句加入到Oracle的语句缓冲池里,随后再对SQL语句中的占位符”?”设置定值。 那么也就说如果你要执行1000行插入的时候第一次先SQL语句发送给Oracle服务器处理,接着以后只传递值给占位符就可以了。 因此它不需每次传递大量的S...
PrepparedStatement--预编译
为谁写代码
10-29 611
/* 预编译 sql语句,代码全部背下来 use zou; #预编译执行查询,这一步预编译只需要执行一次 prepare showUsersByLikeName from 'select * from test1011 where table_name like ?'; select * from test1011; set @table_name = '%test%'; #预编译查询...
JDBC 笔记(二)Statement、PreparedStatement预编译原生增删查改、通用增删查改
喜欢历史的码农
01-10 858
1、预编译statement PreparedStatement 1.1 sql提供访问的接口: 数据库连接被用于向数据库服务器发送命令和 SQL 语句,在连接建立后,需要对数据库进行访问,执行 sql 语句 在 java.sql 包中有 3 个接口分别定义了对数据库的调用的不同方式: |----- Statement |------Prepa...
IDEA编写连接数据库操作如何防止SQL注入
qq_50876572的博客
06-19 338
连接数据库操作时,其实会有SQL注入问题 使用Statement执行对象容易出问题,导致数据泄露 所以,可以使用PreparedStatement执行对象,ta
第33天:安全开发-JavaEE应用&SQL预编译&Filter过滤器&Listener监听器&访问控制
m0_74930529的博客
12-17 1201
2.extends和implements的区别(extends是继承类,implements是继承接口,也就是上下级的关系)注入语句为: 1 union select 1,2,3,version(),user(),database()4.运行尝试:(使用/test?没有访问/test就有了语句“xss开启过滤",原因是先通过filter,再到servlet。1.可以新建软件包进行分类(右键新建软件包)(很多东西会帮你重构,从而运行不会失败)。22这种没有回显,sleep()是延时回应,输入后没有影响。
【Java 代码审计入门-02】SQL 漏洞原理实际案例介绍
shaozheng0503的博客
12-26 1668
SQL注入是一种代码注入技术,它允许攻击者通过操纵Web应用程序的输入字段来执行非授权的SQL命令。这种攻击方式利用了应用程序对用户输入缺乏充分验证或过滤的问题,使得恶意构造的SQL语句得以绕过数据库的安全机制,直接数据库进行交互。由于网上缺乏系统的Java代码审计教程,本文旨在为初学者提供一系列有关Java代码审计的学习资料,涵盖从环境搭建到各类漏洞(如SQL注入、XSS等)的分析防范。希望通过这一系列文章,读者能够掌握基本的Java代码审计技能。OFCMS是一款基于Java的内容管理系统。
JAVA连接sqlserver2008R2驱动sqljdbc4-3.0.jar
12-24
8. **安全性**:使用预编译的PreparedStatement可以防止SQL注入攻击,同时,JDBC驱动还支持SSL加密以保护数据传输的安全。 9. **异常处理**:在编写Java数据库应用时,必须捕获并适当地处理`SQLException`,以确保...
对PreparedStatement预编译功能的详解
m0_74570541的博客
05-10 1479
对PreparedStatement预编译功能的详解
使用preparedStatement预编译statement
Ant_in_IT的博客
03-11 350
使用PrepareStatement预编译Statement import java.sql.*; import java.sql.DriverManager; import java.sql.SQLException; /** * 使用preparedStatement预编译statement,可以是sql语句灵活化 * @author 可敢离我近点 * */ public clas...
使用PrepareStatement预编译对象执行sql语句
m0_70503831的博客
05-22 1298
使用PrepareStatement预编译对象执行sql语句 prepareStatementStatement的对比
JDBC--预编译statement数据库进行添加数据的操作
qq_52360788的博客
09-15 349
prepareStatement(Stringsql) 创建一个 PreparedStatement对象,用于将参数化的SQL语句发送到数据库。 PreparedStatement 接口实际上是java为了接收数据库厂商的自己的实现类所出现的,实际上返回的是厂商封装好的实现类,这个接口是java层面的多态,就像Driver驱动接口一样 为了使得流连接准确的关闭,使用了try-catch直接处理异常 //预编译statement...
使用预编译语句Statement和PreparedStatment
有脑子的搬砖工的博客
11-05 1001
为什么使用预编译语句 对数据库操作,主要是对sql语句的操作。这里就用到了封装的思想,如果不把它封装成对象,每次进行操作要写好多的执行语句。我们先使用静态语句对象。这里会用到前面写到的jdbc连接数据库,用兴趣的可以去看一下。 public void saveByStatement() throws Exception { String sql = "insert into t_student ...
JDBC 预编译statement---PreparedStatement
litengbin的博客
01-10 428
使用PreparedStatementStatement一样,PreparedStatement也是用来执行sql语句的 创建Statement不同的是,需要根据sql语句创建PreparedStatement 除此之外,还能能够通过设置参数,指定相应的值,而不是Statement那样使用字符串拼接 注: 这是JAVA里唯二的基1的地方,另一个是查询语句中的ResultSe
oracle的预编译,oracle学习笔记(七) 预编译Statement介绍使用
weixin_34677764的博客
04-08 970
预编译Statement优点执行效率高 由于预编译语句使用占位符 ”?”,在执行SQL之前语句会被先发送到Oracle服务器进行语法检查和编译等工作,并将SQL语句加入到Oracle的语句缓冲池里,随后再对SQL语句中的占位符”?”设置定值。 那么也就说如果你要执行1000行插入的时候第一次先SQL语句发送给Oracle服务器处理,接着以后只传递值给占位符就可以了。 因此它不需每次传递大量的SQL...
PreparedStatement预编译原理及基础使用
qq_71443736的博客
12-01 2511
是 JDBC 中的一个接口,用于执行预编译SQL 语句。普通的Statement不同,的 SQL 语句在执行之前已经经过编译,因此更高效且安全,同时可以防止 SQL 注入攻击。通常用于执行多次相似的 SQL 查询或更新,只需编译一次,多次执行。对象所代表的 SQL 语句中的参数用问号来表示,调用对象的setXxx()方法来设置这些参数.setXxx()方法有两个参数,第一个参数是要设置的 SQL 语句中的参数的索引(从 1 开始),第二个是设置的 SQL 语句中的参数的值。
IDEA】设置sql提示
qq_39921135的博客
10-30 4071
1.首先选择任意一条sql语句,右击,选择 ‘显示上下文操作’2.选择 ‘注入语言或引用’3. 往下翻,找到MySQL
JDBC系列教材 (五)- 在JDBC中使用预编译Statement 以及它的优点
MAGIC_LAN的博客
03-24 209
创建Statement不同的是,需要根据sql语句创建PreparedStatement。和 Statement一样,PreparedStatement也是用来执行sql语句的。除此之外,还能够通过设置参数,指定相应的值,而不是Statement那样使用字符串拼接。会让数据库负载变高,CPU100%,内存消耗光,注: 这是JAVA里唯二的基1的地方,另一个是。如果Hero表里的数据是海量的,比如几百万条,使用参数设置,可读性好,不易犯错。因为有OR 1=1,这是恒成立的。假设name是用户提交来的数据。
idea忽略掉非法的sql注入
最新发布
04-01
</think>### IntelliJ IDEA SQL注入验证的配置误报处理 #### 一、检测SQL注入风险 IntelliJ IDEA通过静态代码分析自动检测字符串拼接式SQL语句,例如: ```java String query = "SELECT * FROM users WHERE id = ...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值