【java】jdbc的使用从0开始（二）SQL注入

程序员不穿格子衫

于 2021-07-27 10:45:46 发布

阅读量97

点赞数

CC 4.0 BY-SA版权

分类专栏： Java 文章标签：数据库 jdbc sql mysql

本文链接：https://blog.youkuaiyun.com/weixin_40378974/article/details/119138007

Java 专栏收录该内容

17 篇文章

订阅专栏

本文通过一个简单的Java程序展示了如何利用SQL注入获取数据库中的全部用户密码。该程序存在严重的安全漏洞，即未对用户输入进行有效过滤，导致恶意用户可以通过构造特定字符串绕过验证。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

测试登录业务入侵

package com.xmut.zeng.lesson01;

import com.xmut.zeng.lesson01.utils.JdbcUtils;

import java.sql.Connection;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;

public class sqlzhuru {
    public static void main(String[] args) {
        Login("'or '1=1", "'or'1=1");//显示数据库内所有用户密码
    }

    public static void Login(String username, String password) {
        Connection conn = null;
        Statement st = null;
        ResultSet rs = null;

        try {
            conn = JdbcUtils.getConnection();//数据库的连接

            st = conn.createStatement();
            String sql = "SELECT * FROM users WHERE `NAME`='" + username + "'AND `PASSWORD`='" + password + "'";
            rs = st.executeQuery(sql);

            while (rs.next()) {
                System.out.println(rs.getString("NAME"));
                System.out.println(rs.getString("PASSWORD"));
                System.out.println("===");
            }
        } catch (SQLException throwables) {
            throwables.printStackTrace();
        } finally {
            JdbcUtils.release(conn, st, rs);
        }
    }
}