SQL之SQL注入问题及预执行语句
来源:互联网 发布:李腾飞 java 编辑:程序博客网 时间:2024/06/05 04:20
【这是一个假标题】
今天看到了一个有趣的小知识,关于sql注入问题及欲执行语句的用处,在这里分享给大家。
–请看下面的一段代码,在没有发明 PrepareStatement 之前,模拟登陆注册。
public class Test{ main(...){ Scanner reader=new Scanner(System.in); syso("请输入账号:"); String username=reader.next(); syso("请输入密码:"); String password=reader.next(); //模拟登陆 login(username,password); } public static void login(String username,String password){ //1:获取连接 Connection conn = MyJDBCUtils.getConnnection(); //2:执行sql Statement stat = conn.createStatement(); String sql = "select * from user where username = ' "+username+" 'and password =' "+password+ " '"; ResultSet rs = stat.executeQuery(sql); //3:处理结果 if(rs.next()){ System.out.println("登陆成功!"); }else{ System.out.println("登陆失败!"); } //打印sql语句查看真正sql //syso(sql); //4:释放资源 MyJDBCUtils.closeAll(rs, stat, conn); }}
运行之后我输入正确的账号密码
//请输入账号:csdn//请输入密码:123//登陆成功!//select * from user where username = 'csdn' and password = '123'
我输入错误的账号密码
//请输入账号:xxx//请输入密码yyy'or'1=1//登陆成功!//select * from user where username = 'xxx' and password = 'yyy'or'1=1'
相信大家看明白了 or 的作用 1=1 永远成立,所以登陆成功。
Statement接口没有能力去解决sql注入问题:
–为了解决sql注入文件Java的开发者又设计了子接口:PreparedStatemen
//使用PreparedStatement替换以上三行代码String sql = "select * from user where username = ? and password = ?"; //占位符PreparedStatement stat = conn.prepareStatement(sql); //该方法对sql做一个预处理 //确定占位符的值stat.setObject(1, username); //确定第一个占位符的值stat.setObject(2, password); //确定第二个占位符的值//执行sql ResultSet rs = stat.executeQuery(); //指定的sql的时候,stat应该指定sql的所有内容//打印sql语句System.out.println(stat);
接下来我输入正确的账号密码:
//请输入账号:csdn//请输入密码:123//登陆成功!//select * from user where username = 'csdn' and password = '123'
输入错误的密码:
//请输入账号:csdn//请输入密码:123//登陆成功!//select * from user where username = 'xxx' and password = 'yyy\'or\'1=1'
相信你们又看懂了,原来预处理语句对用户输入的敏感字眼做了处理输入的符号被转义成为yyy’or’1=1 整体的字符串 而不再将or 作为 sql语句的语法。
注: 打印 PrepareStatement 可以把sql语句打印出来。
阅读全文
0 0
- SQL之SQL注入问题及预执行语句
- sql注入问题及解决方案
- SQL注入问题及解决
- JDBC之执行SQL语句
- SQL手工注入语句及原理
- 数据库被注入daxia123或cn.jxmmtv.com原因及解决办法.SQL语句执行即可
- SQL语句执行效率及性能测试
- SQL语句执行效率及性能测试
- SQL语句执行效率及性能测试
- SQL语句执行效率及性能测试
- SQL语句执行效率及分析
- SQL语句执行效率及分析
- SQL语句执行效率及分析
- SQL语句执行效率及分析(note)
- [基础]SQL语句执行效率及分析
- SQL语句执行效率及分析
- SQL语句执行效率及分析
- SQL语句执行顺序及建议
- HTML基础知识
- caoufoa
- 如何使用HTML+CSS画三角形
- Java中的List的容量设置
- 使用 OAuth 2 和 JWT 为微服务提供安全保障
- SQL之SQL注入问题及预执行语句
- struts2的自定义验证框架——示例代码
- C语言%
- npm更改源
- python(一)变量
- R计算移动平均的方法
- VTK学习(十五)封闭性检测
- tensorflow暂未兼容cuda9.0, 安装cuda8.0
- PAT1013