SQL数据注入漏洞-绕过登陆验证
来源:互联网 发布:ha集群软件 编辑:程序博客网 时间:2024/05/16 04:55
//接受用户名和密码
String u=req.getParameter("username");
String p=req.getParameter("password");
........//中间没写出来
........
statement str;
ResultSet rs=str.excuteQuery("select top 1 * from usertable where usename='"+u+"'and password='"+p+"'");
//这里查询数据库是同时验证用户名和密码了 这样很容易让别人利用SQL注入漏洞绕过权限 访问数据库,这里的top是指当找到匹配的用户名之后就停止查询,不再继续,也就是只返回一条记录,这样可以节省资源
//注入漏洞实例:
select * from usertable where username='任意' and password='任意' or 1='1'';这样就轻松访问数据库。
修改方法:先根据用户名得到相应密码,然后根据得到的密码和输入的相比较,以判断是否通过验证,避免同是用用户名和密码查询。
ResultSet rs=str.excuteQuery("select top 1 password * from usertable where usename='"+u+"'");
if(rs.next()){
//说明用户存在
String dbpassword=rs.getString(1);
if(dbpassword.equals(p)){
//用户密码合法 则通过登陆
res.sendRedirect("登陆成功之后的页面");
}
}else
{//用户名不存在,跳转
res.sendRedirect("servlet-name");
}
- SQL数据注入漏洞-绕过登陆验证
- SQL另类注入之绕过后台登陆验证
- 手心输入法漏洞绕过win8登陆验证
- httpclient绕过登陆验证码抓取数据
- 解决登陆时sql注入漏洞
- SQL注入全过程,含实例初步注入--绕过验证,直接登录安全较低公司网站登陆框如下:可以看到除了账号密码之外
- Grub2登录绕过验证漏洞
- SQL注入之绕过
- SQL注入绕过技巧
- JSP下Statement存在SQL注入攻击漏洞验证
- 绕过WAF进行sql注入
- sql注入中的WAF绕过
- SQL注入&WAF绕过姿势
- jCIFS非法用户名验证绕过漏洞
- Sql 注入漏洞,注意
- SQL注入漏洞
- sql注入漏洞原理
- SQL 注入漏洞新动向
- 在JSF中应用javascript(关于jsf的action与js的问题)
- CCIP之642-691 (BGP+MPLS)实验题
- 获得Flash Build Betal2 的注册码
- 黑客和小白
- 偏见的本质
- SQL数据注入漏洞-绕过登陆验证
- Flex与java交互之数据库数据读取
- 你得找出你爱的
- fsd
- Digital Globe公司公布中国60华诞庆典卫星图像
- 积分?
- asp.net验证码生成和刷新及验证
- $@ 与 $*的区别
- asp.net验证码生成和刷新及验证