4.0 如何解决SQL注入问题

最新推荐文章于 2025-05-25 10:48:12 发布
原创 最新推荐文章于 2025-05-25 10:48:12 发布 · 442 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#jdbc #数据库

**

创建一个用户类,然后模拟用户输入账号密码然后登陆这一操作。

**

public class User {

	private String user;
	private String password;

	public User() {
	}

	public User(String user, String password) {
		super();
		this.user = user;
		this.password = password;
	}

	@Override
	public String toString() {
		return "User [user=" + user + ", password=" + password + "]";
	}

	public String getUser() {
		return user;
	}

	public void setUser(String user) {
		this.user = user;
	}

	public String getPassword() {
		return password;
	}

	public void setPassword(String password) {
		this.password = password;
	}

}

**

使用Statement模拟登陆

**

import java.io.InputStream;
import java.lang.reflect.Field;
import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.ResultSet;
import java.sql.ResultSetMetaData;
import java.sql.SQLException;
import java.sql.Statement;
import java.util.Properties;
import java.util.Scanner;

import org.junit.Test;

public class StatementTest {

	// 使用Statement的弊端:需要拼写sql语句,并且存在SQL注入的问题
	//如何避免出现sql注入:只要用 PreparedStatement(从Statement扩展而来) 取代 Statement
	@Test
	public void testLogin() {
		Scanner scanner = new Scanner(System.in);
		
		System.out.print("请输入用户名:");
		String user = scanner.nextLine();
		System.out.print("请输入密码:");
		String password = scanner.nextLine();
//SELECT user,password FROM user_table WHERE user = '1' or ' AND password = '=1 or '1' = '1'
//此时加入用户名字输入:1' or 用户密码输入:=1 or '1' = '1
//此时也是查询结果也是正确的。这就是sql注入。
//拼接sql语句就忍了,sql注入是无法忍受的。sql注入将且变成了或,因此导致错误。
// 因此statement这种方式被淘汰。
		String sql = "SELECT user,password FROM user_table WHERE user = 'user' AND password = 'password';
		User returnUser = get(sql,User.class);
		if(returnUser != null){
			System.out.println("登录成功");
		}else{
			System.out.println("用户名不存在或密码错误");
		}
	}

	// 使用Statement实现对数据表的查询操作
	public <T> T get(String sql, Class<T> clazz) {
		T t = null;

		Connection conn = null;
		Statement st = null;
		ResultSet rs = null;
		try {
			// 1.加载配置文件
			InputStream is = StatementTest.class.getClassLoader().getResourceAsStream("jdbc.properties");
			Properties pros = new Properties();
			pros.load(is);

			// 2.读取配置信息
			String user = pros.getProperty("user");
			String password = pros.getProperty("password");
			String url = pros.getProperty("url");
			String driverClass = pros.getProperty("driverClass");

			// 3.加载驱动
			Class.forName(driverClass);

			// 4.获取连接
			conn = DriverManager.getConnection(url, user, password);

			st = conn.createStatement();

			rs = st.executeQuery(sql);

			// 获取结果集的元数据
			ResultSetMetaData rsmd = rs.getMetaData();

			// 获取结果集的列数
			int columnCount = rsmd.getColumnCount();

			if (rs.next()) {

				t = clazz.newInstance();

				for (int i = 0; i < columnCount; i++) {
					// //1. 获取列的名称
					// String columnName = rsmd.getColumnName(i+1);

					// 1. 获取列的别名
					String columnName = rsmd.getColumnLabel(i + 1);

					// 2. 根据列名获取对应数据表中的数据
					Object columnVal = rs.getObject(columnName);

					// 3. 将数据表中得到的数据,封装进对象
					Field field = clazz.getDeclaredField(columnName);
					field.setAccessible(true);
					field.set(t, columnVal);
				}
				return t;
			}
		} catch (Exception e) {
			e.printStackTrace();
		} finally {
			// 关闭资源
			if (rs != null) {
				try {
					rs.close();
				} catch (SQLException e) {
					e.printStackTrace();
				}
			}
			if (st != null) {
				try {
					st.close();
				} catch (SQLException e) {
					e.printStackTrace();
				}
			}

			if (conn != null) {
				try {
					conn.close();
				} catch (SQLException e) {
					e.printStackTrace();
				}
			}
		}

		return null;
	}

}

**

使用PreparedStatement模拟登陆

**
import java.lang.reflect.Field;
import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.ResultSetMetaData;
import java.util.Scanner;

import org.junit.Test;

import com.alibaba.util.JDBCUtils;

/**
 * 
 * @Description 演示使用PreparedStatement替换Statement,解决SQL注入问题
 * @author shkstart  Email:shkstart@126.com
 * @version 
 * @date 上午11:52:37
 * 
 * 除了解决Statement的拼串、sql问题之外,PreparedStatement还有哪些好处呢?
 * 1.PreparedStatement操作Blob的数据(视频,音乐),而Statement做不到。因为有流可以传数据。
 * 2.PreparedStatement可以实现更高效的批量操作。
 *
 */
public class PreparedStatementTest {
	@Test
	public void testLogin() {
		Scanner scanner = new Scanner(System.in);
		
		System.out.print("请输入用户名:");
		String user = scanner.nextLine();
		System.out.print("请输入密码:");
		String password = scanner.nextLine();
		//SELECT user,password FROM user_table WHERE user = '1' or ' AND password = '=1 or '1' = '1'
    // 因为使用PreparedStatement,所以DBServer会对预编译语句提供性能优化。因为预编译语句有可能被重复调用,所以语句在被DBServer的编译器编译后的执行代码被缓存下来,那么下次调用时只要是相同的预编译语句就不需要编译,只要将参数直接传入编译过的语句执行代码中就会得到执行。
    //但是在statement语句中,即使是相同操作但因为数据内容不一样,所以整个语句本身不能匹配,没有缓存语句的意义.事实是没有数据库会对普通语句编译后的执行代码缓存。这样每执行一次都要对传入的语句编译一次。
    //综上所述,PreparedStatement能解决了注入问题。

		String sql = "SELECT user,password FROM user_table WHERE user = ? and password = ?";
		User returnUser = getInstance(User.class,sql,user,password);
		if(returnUser != null){
			System.out.println("登录成功");
		}else{
			System.out.println("用户名不存在或密码错误");
		}
	}
	
	/**
	 * 
	 * @Description 针对于不同的表的通用的查询操作,返回表中的一条记录
	 * @author shkstart
	 * @date 上午11:42:23
	 * @param clazz
	 * @param sql
	 * @param args
	 * @return
	 */
	public <T> T getInstance(Class<T> clazz,String sql, Object... args) {
		Connection conn = null;
		PreparedStatement ps = null;
		ResultSet rs = null;
		try {
			conn = JDBCUtils.getConnection();

			ps = conn.prepareStatement(sql);
			for (int i = 0; i < args.length; i++) {
				ps.setObject(i + 1, args[i]);
			}

			rs = ps.executeQuery();
			// 获取结果集的元数据 :ResultSetMetaData
			ResultSetMetaData rsmd = rs.getMetaData();
			// 通过ResultSetMetaData获取结果集中的列数
			int columnCount = rsmd.getColumnCount();

			if (rs.next()) {
				T t = clazz.newInstance();
				// 处理结果集一行数据中的每一个列
				for (int i = 0; i < columnCount; i++) {
					// 获取列值
					Object columValue = rs.getObject(i + 1);

					// 获取每个列的列名
					// String columnName = rsmd.getColumnName(i + 1);
					String columnLabel = rsmd.getColumnLabel(i + 1);

					// 给t对象指定的columnName属性,赋值为columValue:通过反射
					Field field = clazz.getDeclaredField(columnLabel);
					field.setAccessible(true);
					field.set(t, columValue);
				}
				return t;
			}
		} catch (Exception e) {
			e.printStackTrace();
		} finally {
			JDBCUtils.closeResource(conn, ps, rs);

		}

		return null;
	}
}

**
具体说明

Scanner scanner = new Scanner(System.in);
		System.out.print("请输入用户名:");
		String user = scanner.nextLine();
		System.out.print("请输入密码:");
		String password = scanner.nextLine();
String sql = "SELECT user,password FROM user_table WHERE user = 'user' AND password = 'password';

SELECT user,password FROM user_table WHERE user = ‘1’ or ’ AND password = '=1 or ‘1’ = ‘1’;
//把且变成了或。
String sql = “SELECT user,password FROM user_table WHERE user = ? and password = ?”;
//有预编译,不会改变。

sql注入的本质就是逻辑关系的改变,之所以Preparedment能解决sql注入问题,是因为(主要是占位符的作用,有预编译不会改变逻辑关系):因为使用PreparedStatement,所以DBServer会对预编译语句提供性能优化。因为预编译语句有可能被重复调用,所以语句在被DBServer的编译器编译后的执行代码被缓存下来,那么下次调用时只要是相同的预编译语句就不需要编译,只要将参数直接传入编译过的语句执行代码中就会得到执行。
但是在statement语句中,即使是相同操作但因为数据内容不一样,所以整个语句本身不能匹配,没有缓存语句的意义.事实是没有数据库会对普通语句编译后的执行代码缓存。这样每执行一次都要对传入的语句编译一次。
//综上所述,PreparedStatement能解决了注入问题。

  • 除了解决Statement的拼串、sql问题之外,PreparedStatement还有哪些好处呢?1.PreparedStatement操作Blob的数据(视频,音乐),而Statement做不到。因为有流可以传数据。
    2.PreparedStatement可以实现更高效的批量操作(比如一万次操作,效率会更高)。**
Beescms_v4.0 sql注入漏洞复现与原理分析(白盒与黑盒)
不想当脚本小子的脚本小子
12-27 2783
一、漏洞描述 Beescms v4.0由于后台登录验证码设计缺陷以及代码防护缺陷导致存在bypass全局防护的SQL注入。 二、漏洞环境搭建 1.官方下载Beescms v4.0,下载地址: http://beescms.com/cxxz.html,然后解压压缩文件,然后把文件放到phpstudy的网站根目录 2.浏览器访问http://安装目录/install,开始安装 一直下一步出现如下界面即可安装完成: 安装完成后修改my.ini文件,在[mysqld]后面添加secure_fil
绕安全狗mysql_Fuzz绕过安全狗4.0实现SQL注入
weixin_42125192的博客
02-05 352
0×00 前言本文使用了burp的intruder模块进行fuzz,并修改了sqlmap工具的tamper脚本,对安全狗进行绕过。0×01注入绕waf过常用手法使用大小写绕过使用/**/注释符绕过使用大的数据包绕过使用/!**/注释符绕过……0×02本文使用的手法是/**/注释符首先搭建好一个有sql注入的测试平台,在服务器安装安全狗4.0版本中间件和数据库使用的是apache+mysql+php...
如何解决sql注入问题
07-22
如何解决sql注入问题如何解决sql注入问题
如何解决SQL注入问题
Aixiaohuangren的博客
07-16 2777
.什么是SQL注入问题? 在刚开始学习JDBC的六大步骤中其中我们在第三步(获取数据库操作对象)我们通常会执行以下操作: 要执行SQL语句,首先需要获得java.sql.Statement实例 执行静态SQL语句。通常通过Statement实例实现。 Statement stmt = conn.createStatement() ; 但是这样会出现一个很大的纰漏,这个纰漏会导致一系列的安全问题,这就被称为SQL注入问题。 二.SQL注入实例 例如我后台的sql语句为 select * from s_st
掌握SQLJDBCSQLJDBC4在Java中连接SQL Server数据库
最新发布
weixin_35756892的博客
05-25 998
在当今的IT环境中,关系型数据库管理系统(RDBMS)是企业应用程序不可或缺的组成部分。为了在Java应用程序中与这些数据库进行交互,需要使用JDBC(Java Database Connectivity)驱动程序。Microsoft JDBC驱动程序是专为连接Microsoft SQL Server数据库而设计的一套JDBC驱动。本文将介绍Microsoft JDBC驱动程序的基础知识,包括其功能、兼容性以及如何安装和配置。
如何解决sql注入问题
qq_33824312的博客
07-28 1222
Java防止SQL注入SQL 注入简介: SQL注入是最常见的攻击方式之一,它不是利用操作系统或其它系统的漏洞来实现攻击的,而是程序员因为没有做好判断,被不法用户钻了SQL的空子,下面我们先来看下什么是SQL注入: 比如在一个登陆界面,要求用户输入用户名和密码: 用户名: ' or 1=1 -- 密 码: 点登陆,如若没有做特殊处
解决sql注入问题
weixin_62246390的博客
03-20 1471
sql注入是黑客常用的方法,如果不解决会在某种程度上造成利益损失,以下为解决方法: 只要用户提供的信息不参与SQL语句的编译过程,问题解决. 即使用户提供的信息中含有SQL语句的关键字,但是没有参与编译,不起作用 要想用户信息不参与SQL语句的编译,那么必须使用java.sql.PreparedStatement PreparedStatement接口继承了java.sql.Statement PreparedStatement是属于预编译的数据库操作对象 PreparedStatement...
SQL注入问题解决
zrxJuly
10-13 3616
什么是SQL注入? 所谓SQL注入(sql inject),就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。 SQL注入产生
SQL注入 安全狗apache主程序版本v4.0.23137 绕过1
08-03
标题中的“SQL注入”是指一种常见...对于防御SQL注入,应确保对用户输入进行充分的验证和转义,使用参数化查询,或者采用预编译的SQL语句,同时保持软件更新以修复已知的安全漏洞,如升级安全狗到最新版本v4.0.26655。
SQL注入Bypass安全狗4.0.pdf
04-08
SQL注入攻击绕过安全狗4.0 SQL注入攻击是常见的Web应用安全漏洞之一,攻击者可以通过操纵SQL语句来访问或修改数据库中的数据。安全狗4.0是一款Web应用防火墙,可以检测和防止SQL注入攻击。但是,攻击者可以使用各种...
DTcms_4.0_sql_src_Ultimate旗舰版 已打sql补丁
08-30
在这款系统中,SQL源码的管理和安全性是至关重要的组成部分,而"已打sql补丁"的描述意味着开发者已经针对可能存在的SQL注入漏洞进行了修复,提升了系统的安全性。 SQL注入是一种常见的网络安全威胁,攻击者通过输入...
SQL 注入漏洞原理以及修复方法
it知识分享 free for nothing..
01-23 1万+
SQL 注入漏洞原理以及修复方法
pymysql 解决 sql 注入问题
居士的优快云
11-08 1430
1.&nbsp;SQL&nbsp;注入 SQL&nbsp;注入是非常常见的一种网络攻击方式,主要是通过参数来让&nbsp;mysql&nbsp;执行&nbsp;sql&nbsp;语句时进行预期之外的操作。 例如,下面这段代码通过获取用户信息来校验用户权限: import pymysql sql = 'SELECT count(*) as count FROM user WHERE id = ' ...
34. MyBatis如何处理SQL注入问题?有哪些防范措施?
zhzjn的博客
09-14 2569
SQL注入是一个严重的安全问题,攻击者通过恶意构造的输入,改变SQL查询的意图,进而访问、修改、甚至删除数据库中的数据。MyBatis 提供了多种机制来防止SQL注入,下面介绍如何在MyBatis中处理SQL注入问题以及常见的防范措施。占位符,因为它会直接将用户输入的内容嵌入到SQL中,容易导致SQL注入。通过这些措施,开发者可以构建更安全的应用,避免SQL注入带来的潜在风险。这样,MyBatis使用JDBC的预编译特性,自动对参数进行转义,避免了SQL注入的风险。占位符是防止SQL注入的最有效方法之一。
如何解决SQL注入
jj89929665的博客
11-11 344
如何解决SQL注入? 一.什么是sql注入 SQL注入是一种网络攻击方式,是程序猿编写疏忽,通过SQL语句,实现无账号登录,甚至篡改数据库。 二.如何实现SQL注入攻击 寻找SQL注入位置 判断服务器类型和数据库类型 针对不同的服务器数据库特点进行SQL注入攻击。 三.攻击实例 String sql = select * from user_table where username='"username"' and password = '"password"'; 这样输入之后 就相当于 1 =
【安全】SQL注入解决方法
热门推荐
Roda的博客
01-03 3万+
目录 SQL注入 1、SQL注入说明 2、SQL注入影响 3、SQL注入示例 4SQL注入解决方法 SQL注入 1、SQL注入说明 应用为了和数据库进行沟通完成必要的管理和存储工作,...
SQL注入的一些示例及解决SQL注入的方法
weixin_43618785的博客
03-09 9377
解决SQL注入的方法
如何解决sql注入安全漏洞问题
zz_1231的博客
11-05 1124
SQL注入从表面意思来说就是利用你的SQL的不规范性,获取破坏你的数据库信息,一般都会使用第三方工具全面扫描寻找注入口。那么如何防护呢,主要从四个层面来谈谈: 一、前端对特殊字符进行过滤 前端页面是和用户交流的窗口,但是鱼龙混杂的用户中你也不知道谁不怀好意,所以要做到对所有需要用户手动输入的地方加以深思,如果需要模糊查询的更要注意. 这里就不粘贴代码了,有很多种方式,选择一个适合自己的就行。 二、后端添加过滤器拦截 三、使用不可注入SQL语句 四、网络层面使用WAF拦截 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值