JDBC入门六:SQL注入攻击:什么是SQL注入攻击?;Java中引号嵌套的分析;

最新推荐文章于 2021-11-08 10:49:18 发布
最新推荐文章于 2021-11-08 10:49:18 发布
阅读量358 收藏 3
点赞数 3
CC 4.0 BY-SA版权
分类专栏: (9)JDBC入门 文章标签: java sql 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/csucsgoat/article/details/115579320
本文通过一个员工查询功能的实例,详细介绍了SQL注入攻击的工作原理及其潜在风险。文章演示了如何利用特殊字符破坏原有的SQL筛选条件,并分析了在字符串拼接过程中处理不当可能导致的安全漏洞。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

接上篇博客,沿用JDBC入门五:一个按部门查询员工功能的例子这篇博客中的案例代码;

目录

一:什么是SQL注入攻击

(1)情况阐述

(2)演示准备 

(3)启动程序,SQL注入攻击演示​

(4)分析

附:字符串拼接时:引号嵌套的分析

一:什么是SQL注入攻击

(1)情况阐述

即在这个例子中,是通过拼凑变量和字符串的方式得到最终的SQL语句的;而这种处理方式是有很大隐患的。

(2)演示准备 

如:QueryCommand类作两处更改:

(3)启动程序,SQL注入攻击演示

(4)分析

分析如下:当输入【' or 1=1 or 1='】的时候,拼凑的SQL语句为:

"select  * from employee where dname='"' or 1=1 or 1='"'"

经过java程序处理完引号嵌套后的实际为:

即where的判断条件为:dname=""  or  1=1  or  1="";因为1=1肯定为true,又因为筛选条件间是or的关系,所以,1=1让其他所有筛选条件都失效了,这个where的判断条件永远为true;

像这种,输入了特殊格式的字符,从而嵌入到原有SQL中,破坏原有SQL筛选条件的数据攻击方式,就是SQL注入攻击。

SQL注入攻击是网站或应用程序中非常常见的情况,出现的根本原因在输入的数据中,并没有对像单引号这样的特殊字符作处理,所以在进行字符串拼接后,这个单引号就会作为SQL的一部分出现,并且MySQL会对其进行解析,导致出现了注入攻击的问题。SQL注入不会破坏程序的运行,但是会造成数据的泄露!!!

附:字符串拼接时:引号嵌套的分析

声明1:WHERE子句中,判断字符串的时候就需要加引号的;如下面案例:

声明2:Java中引号嵌套的原则;

        (1)单引号内只能嵌套双引号;

        (2)双引号内只能嵌套单引号;

        (3)如果想在双引号内再嵌套双引号,里面的双引号必须要转义(\");

即,引号嵌套的时候,保持双中套单,单中套双就可以了。

分析:上面的SQL语句:

或者可以这样看:(2021-12-5)

然后,几个案例:

OceanBase数据库:基础SQL语法之与MySQL/Oracle兼容的SQL语句实践指南
专注Java开发与国产数据库技术分享,涵盖达梦DM8/OceanBase/GaussDB核心原理与实战,兼及DeepSeek大模型部署、YOLOv11训练等AI技术,为开发者提供从基础到进阶的技术干货。
06-20 111
OceanBase数据库兼容性架构与SQL语法解析 摘要:本文深入解析OceanBase数据库的兼容性架构和SQL语法特性。OceanBase采用创新的双模式兼容设计,同时支持MySQL和Oracle的语法、协议和功能,通过多租户架构实现语法路由。文章详细对比了两种模式的兼容性差异,并介绍了关键参数配置和兼容边界。在SQL语法方面,全面解析了查询语句执行流程、条件表达式优先级体系以及高效的VALUES语句用法。最后探讨了DML操作的高级技术,包括多种数据插入方式和优化建议。OceanBase的独特架构使其在
java防止SQL注入
11-19
java防止SQL注入对一个系统十分的重要,系统没有安全保障,那再好的系统也是扯淡。在平时系统开发中一定注意安全漏洞。
JDBC防止SQL注入原理
tinaselling的博客
11-22 1548
一、基本解釋 1.JDBCJava DataBase Connection):它是Java用来执行SqlJava Api;可以为多种关系型数据库提供统一的访问接口,他是一组Java编写的类和接口。 2.statement:它 是 Java 执行数据库操作的一个重要接口,用于在已经建立数据库连接的基础上,向数据库发送要执行的SQL语句。Statement对象,用于执行不带参数的简单SQL语句...
java 中的引号嵌套问题
SASIK的博客
11-20 5350
java中一对引号是一个语句结束的标志,但有的时候我们需要在语句中使用引号,这个时候直接使用双引号是错误的。 Java中的\表示的是转义字符的意思,如我们常见的\n,\r等,如果我们输出\,在Java中\\表示的是\的意思,在Java中想要在双引号使用双引号需要使用转义字符\。 /** * * */ public static void main(S...
JDBCSQL注入注入攻击原理
YCixZoem的博客
03-12 1013
最近在学jdbc的数据库连接 里面讲到sql注入,没明白,后来搜wiki,解释真的是十分清楚。 作用原理[编辑] SQL命令可查询、插入、更新、删除等,命令的串接。而以分号字符为不同命令的区别。(原本的作用是用于SubQuery或作为查询、插入、更新、删除……等的条件式)SQL命令对于传入的字符串参数是用单引号字符所包起来。(但连续2个单引号字符,在SQL数据库中,则视为字符串中的一
java引号嵌套_javajavascript双引号嵌套的问题
weixin_42575325的博客
02-27 1306
引号不能嵌套引号,否则一对双引号就结束了java中双引号嵌套引号需要转义:publicclassTest{publicstaticvoidmain(String[]args){Stringstr1="\"name\"";//字符串两边含有双引号Stringstr2="name\"is\"wgb";//字符串中间含有双引号Stringstr3="\\name...
MyBatis入门十二:预防SQL注入攻击;(${}和#{}的区别)
小枯林的博客
05-08 591
本篇博客的内容不多,就一条:大部分情况下,使用#{}预编译的手段,而不是用${}原文传值。 目录 0.SQL注入攻击简介 & #{}和${}简介 1.使用${}原文传值这种取值方式: 2.使用#{}预编译这种取值方式: 3.So,#{}预编译这种方式这么给力,为什么还需要${}原文传值这种方式嘞? 0.SQL注入攻击简介 & #{}和${}简介 具体可参考:JDBC入门SQL注入攻击:什么是SQL注入攻击?;Java引号嵌套分析; 在实际应...
使用参数化查询来防御SQL注入攻击
SQL注入攻击是一种常见的网络安全威胁,它利用未经过滤的用户输入来修改执行的SQL查询语句。攻击者通过构造恶意的输入,使得应用程序无法正确处理用户输入,从而导致数据库被非法访问、数据泄露或者其他恶意行为。 ...
Mybatis中SQL语句的编写.pdf
06-27
### MyBatis中SQL语句的编写 #### 一、概述 在MyBatis框架中,SQL语句的编写是一项核心任务。MyBatis作为一款优秀的持久层框架,支持多种方式来定义SQL语句,包括XML配置文件和注解等方式。本文档主要介绍在XML配置...
SQL查询与字符串拼接的艺术:Java中字符串与数据库交互的安全实践
![SQL查询与字符串拼接的艺术:Java中字符串与数据库交互的安全实践](https://www.144d.com/content/uploadfile/202303/ba701679838119.png)...在Java中,你可以使用双引号直接创建字符串,例如: ```java String text
java高级程序图片_【JavaWeb】67:一张只有程序员能看懂的图片
weixin_31650287的博客
02-27 291
今天是刘小爱自学Java的第67天。感谢你的观看,谢谢你。话不多说,开始今天的学习:在某技术论坛上曾流传过一张图片。这张图片只有程序员能看懂。其它人看到都是一脸懵逼,而程序员看到则是会心一笑。图片如下:这其中就牵扯到数据库里的一个知识点:sql注入以一个登录案例来说明这个知识点。一、登录案例我们用的很多软件,都有一个用户名和密码,用户的很多数据都是被存在该软件服务器里面的。用户登录时需要保证用户名...
java 中字符串中双引号嵌套
ITaerial的博客
12-03 1500
实现Java中字符串嵌套的问题: strApp.append("{\"Id\":\""+s.getId()+"\",\"Name\":\""+s.getName()+"\",\"DeploymentId\":\""+s.getDeploymentId() +"\",\"ImageResourceName\
JDBCSQL注入攻击
qq_45061361的博客
06-05 745
SQL注入问题1、SQL注入原理1.1 SQL注入攻击:1.2 SQL注入案例1.3 SQL注入分析2、如何处理SQL注入问题2.1 PreparedStatement预编译的机制2.2 PreparedStatement的优点2.3 PerparedStatement的使用3、SQL注入案例 1、SQL注入原理 1.1 SQL注入攻击: 上一篇文章所使用到的SQL语句是拼接出来的,其中有一部分内容是由用户从客户端传入,所以当用户传入的数据中包含sql关键字时,就有可能通过这些关键字改变sql语句的语义,
java mysql 注入攻击_java-sql注入攻击
weixin_42127937的博客
01-27 252
注射式攻击原理SQL注射能使攻击者绕过认证机制,完全控制远程服务器上的数据库。SQL是结构化查询语言的简称,它是访问数据库的事实标准。目前,大多数Web应用都使用SQL数据库来存放应用程序的数据。几乎所有的Web应用在后台都使用某种SQL数据库。跟大多数语言一样,SQL语法允许数据库命令和用户数据混杂在一起的。如果开发人员不细心的话,用户数据就有可能被解释成命令,这样的话,远程用户就不仅能向We...
java代码审计:SQL注入
qq_34778376的博客
02-22 777
漏洞原理 所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容易受到SQL注入攻击.当应用程序使用输入内容来构造动态sql语句以访问数据库时,会发生sql注入攻击。如果代码使用存储过程,而这些存储过程作为包含未筛选的用户输入的字符串来传递,也会发生sql注入java的特殊是有一些框架会托管一部分的数据库的操作,我们要了解一下 漏洞
什么是SQL注入攻击?
南_茗的博客
05-18 4499
所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。
什么是SQL注入攻击?如何防范?
AquariusYuxin的博客
12-14 3925
一个Web应用程序,除非其特别简单,一般情况下,都是需要用到数据库的。而数据库有数据库自身的特点和安全问题。其中最为有名、最为广泛的攻击SQL注入。而除了SQL注入,不同的数据库也还有其他安全问题需要解决。 数据库大都是支持SQL语言的(如果你想学习SQL查询语言,请访问我们的SQL语言教程),这就意味着,SQL语言本身是有预留关键字的,比如常用的select、update、delete等。但...
SQL注入
热门推荐
m0_51457307的博客
11-08 2万+
一、什么是SQL注入 SQL注入SQL lnjection)是发生在Web程序中数据库层的安全漏洞,是比较常用的网络攻击方式之一,他不是利用操作系统的BUG来实现攻击,而是针对程序员编写时的疏忽,通过SQL语句,实现无账号登录,甚至修改数据库。也就是说,SQL注入就是在用户输入的字符串中添加SQL语句,如果在设计不良的程序中忽略了检查,那么这些注入进去的SQL语句就会被数据库服务器误认为是正常的SQL语句而运行,攻击者就可以执行计划外的命令或者访问未授权的数据。 二、SQL注入原理 1.恶意拼接查
js和java引号嵌套的问题
Embiid_的博客
04-24 1117
----------------二层嵌套-------------------- $("#single_quotes").append('<input value="两层嵌套" /><br/>'); $("#double_quotes").append("<input value='两层嵌套' /><br/>")
基于MyBatis的SQL注入防御案例
最新发布
03-15
### MyBatis 中防止 SQL 注入的方法及案例分析开发基于 MyBatis 的应用程序时,SQL 注入是一个常见的安全威胁。为了有效防范此类攻击开发者应遵循一些最佳实践并理解其背后的原理。 #### 使用预编译语句 MyBatis 提供了内置的支持来帮助开发者构建更安全的查询逻辑。通过使用预编译语句(PreparedStatement),可以显著降低 SQL 注入的风险。预编译语句的核心在于参数化查询,即绑定变量到 SQL 查询中的占位符位置[^1]。这种方式能够确保用户输入不会被解释为 SQL 片段的一部分,从而避免恶意代码执行的可能性。 ```xml <select id="getUserById" parameterType="int" resultType="User"> SELECT * FROM users WHERE id = #{id} </select> ``` 上述例子展示了如何利用 `#{}` 占位符实现参数化的查询操作。`#{}` 是 MyBatis 推荐的方式之一,在内部会自动转换成 JDBC PreparedStatement 形式的参数绑定过程。 #### 避免动态拼接字符串 尽管 MyBatis 支持 `${}` 这种语法用于直接嵌套字符串值进入 SQL 表达式中,但这通常被认为是不推荐的做法,因为它容易引发 SQL 注入漏洞。如果确实需要动态生成部分条件,则应该格外小心处理传入的数据,并考虑其他替代方案如 CONCAT 函数或者严格验证外部数据的有效性和合法性后再纳入最终形成的 SQL 文本里[^2]。 例如下面这个场景可能存在问题: ```sql SELECT * FROM articles WHERE title LIKE '%${keyword}%'; ``` 这里的关键字会被直接替换进去而没有任何转义机制保护它不受潜在危险字符影响。因此建议改写如下形式以提高安全性: ```sql LIKE CONCAT('%', #{safeKeyword}, '%') ``` 其中 safeKeyword 应该经过适当清理过滤之后再传递给 mapper 方法调用. #### 处理复杂业务需求下的 WAF 绕过技巧 即使采取了以上措施,在某些特殊情况下仍然可能会遇到高级防护系统(WAF)带来的额外挑战。比如当尝试提交包含多个连续单引号(''')作为测试样例时触发错误响应或访问拒绝等问题发生时,这表明目标站点很可能部署了一层额外的安全检测规则试图阻止非法请求到达实际数据库层面之前就被拦截下来[^3].此时可考虑调整策略方向,例如采用编码变换技术或者其他间接表达手段绕开简单模式匹配型防御屏障. 另外值得注意的是,@Select注解虽然简洁方便但是缺乏灵活性尤其面对复杂的多表联查等情况往往显得力有未逮而且难以维护扩展;相比之下定义完整的XML映射文件则提供了更大的自由度同时也更容易实施全面细致的安全控制流程[^4]: ```xml <select id="dynamicQueryExample" parameterType="map" resultType="EntityClass"> SELECT * FROM some_table t1 INNER JOIN another_table t2 ON t1.id = t2.foreign_id <where> <!-- 动态添加筛选项 --> <if test="conditionA != null">AND field_a = #{conditionA}</if> <if test="conditionB != '' ">AND field_b LIKE CONCAT('%', #{conditionB}, '%')</if> </where> ORDER BY ${sortColumn} ASC -- 注意此处仍需谨慎对待来自客户端指定列名的情况 </select> ``` 此片段展示了一个较为综合的例子说明怎样合理运用标签结构组合起来满足不同条件下灵活变化的需求同时兼顾性能优化方面考量因素以及最重要的安全保障环节. ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值