SQL注入及解決辦法

原創 _板蓝根_ 2020-06-22 07:15

SQL注入:(查詢的百度解釋如下)

  • 所謂SQL注入,就是通過把SQL命令插入到Web表單提交或輸入域名或頁面請求的查詢字符串,最終達到欺騙服務器執行惡意的SQL命令。具體來說,它是利用現有應用程序,將(惡意的)SQL命令注入到後臺數據庫引擎執行的能力,它可以通過在Web表單中輸入(惡意)SQL語句得到一個存在安全漏洞的網站上的數據庫,而不是按照設計者意圖去執行SQL語句。比如先前的很多影視網站泄露VIP會員密碼大多就是通過WEB表單遞交查詢字符暴出的,這類表單特別容易受到SQL注入式攻擊。

沿用上一篇博客中講到的使用工具類來連接數據庫
需求:請用戶輸入想要查詢的姓名,並顯示結果
這是users表的數據
在這裏插入圖片描述
代碼如下:

import com.studycode.utils.JDBCUtils;
import java.sql.Connection;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;
import java.util.Scanner;


public class Demo02 {

    public static void main(String[] args) {
        Scanner scanner = new Scanner(System.in);
        Connection connection = null;
        Statement statement = null;
        ResultSet resultSet = null;
        try {
            //1.獲取數據庫連接
            connection = JDBCUtils.getConnection();
            //2.創建statement對象
            statement = connection.createStatement();
            //3.編寫Sql語句
            System.out.print("請輸入你要查詢的用戶名:");
            String username = scanner.nextLine();
            String sql = "select * from users where name = " +  username;
            System.out.println(sql);
            resultSet = statement.executeQuery(sql);
            while (resultSet.next()){
               System.out.println(resultSet.getString("name"));
                System.out.println(resultSet.getString("password"));
            }
        } catch (SQLException e) {
            e.printStackTrace();
        } finally {
            //5.釋放資源
            JDBCUtils.closeAll(resultSet,statement,connection);
        }
    }
}

代碼看起來是沒有問題的,思路也正確,但其實這樣的代碼是有問題的,以爲在編寫sql語句的時候採用了字符串拼接的形式,因此也就造成了漏洞…

  • 可以看到這是輸入姓名爲:java,因爲users表中沒有java這個名字,因此沒有返回任何信息
    在這裏插入圖片描述
    根據之前學到的數據庫基礎知識,有與或非判斷條件,因此可以採用此方式繞過檢查以得到想要查詢的信息,如下:
    在這裏插入圖片描述
    可以看到,當輸入了’java’ or 1=1可以使用or語句的判斷機制來繞過檢查,這種方式稱之爲 SQL注入

可以採用prepareStatement類來代替Statement類解決sql注入問題

  • PreperedStatement是Statement的子類
  • 它的實例對象可以通過調用Connection.preparedStatement()方法獲得,相對於Statement對象而言:PreperedStatement可以避免SQL注入的問題。

preparedStatement【推薦使用】 和 Statement的異同;

  • 相同點 : 都是用來執行sql語句的
  • 不同點 :
    1.Statement 不安全,會使數據庫頻繁編譯SQL,不能預編譯,不能使用佔位符,容易造成SQL語句拼接錯誤
    2.preparedStatement 安全,預編譯SQL語句,可以使用 ? 佔位符,SQL更清晰。
    3.Statement 先寫SQL語句再執行; Statement.execute(SQL)
    4.preparedStatement 直接編譯SQL(使用?作爲佔位符),設置佔位符的數據,調用方法執行 preparedStatement.execute();

可將上面代碼優化如下:

import com.studycode.utils.JDBCUtils;
import java.sql.*;
import java.util.Scanner;

//防止SQL注入
public class Demo03 {

    public static void main(String[] args) {
        Scanner scanner = new Scanner(System.in);
        Connection connection = null;
        PreparedStatement preparedStatement = null;
        ResultSet resultSet = null;
        try {
            //1.獲取數據庫連接
            connection = JDBCUtils.getConnection();
            System.out.print("請輸入你要查詢的用戶名:");
            String username = scanner.nextLine();
            //2.創建preparedStatement對象
            preparedStatement = connection.prepareStatement("select * from users where name = ?");
            preparedStatement.setString(1,username);
            resultSet = preparedStatement.executeQuery();
            while (resultSet.next()){
                System.out.println(resultSet.getString("name"));
                System.out.println(resultSet.getString("password"));
            }

        } catch (SQLException e) {
            e.printStackTrace();
        } finally {
            //5.釋放資源
            JDBCUtils.closeAll(resultSet,preparedStatement,connection);
        }
    }
}

再次測試:
在這裏插入圖片描述
可以發現,SQL注入的問題得到了解決。

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

寬字節注入1

寬字節注入原理 GBK 佔用兩字節,即一個符號佔用兩個字節 ASCII佔用一字節 PHP中編碼爲GBK,函數執行添加的是ASCII編碼(添加的符號爲“\”),MYSQL默認字符集是GBK等寬字節字符集。 大家都知道%df’ 被PH

啊哈哈哈765 2020-07-07 22:32:51

寬字節注入2

注入基礎 之前我們在1中講了使用%df 但是沒必要總是使用%df 可以使用其他的 注入代碼分析 下圖第一個函數是替換單引號和雙引號 即將單引號前加斜槓 雙引號前加斜槓 函數功能其實和本身自帶函數功能一樣 記住 寬字節注入mysq

啊哈哈哈765 2020-07-07 22:32:51

i春秋2020新春公益賽 GYCTF有關SQL注入題復現

0x00 前言 最近這段時間參加過一些CTF在線競賽,做過一些Web題,發現SQL注入漏洞出現的頻率可真高!不過在做題中也get到了一些Web新知識,現在通過題目復現的方式總結一下。 0x01 blacklist 考點:堆疊注入+

Qwzf 2020-07-07 18:04:49

PHP魔法函數之magic_quotes_gpc

magic_quotes_gpc 魔法函數存在於PHP 5.3.4及以下版本,作用是對POST、GET、Cookie傳入的數據進行轉義處理,在輸入數據的特殊字符如 單引號(')、雙引號(")、反斜線(\)與 NULL(NULL 字

工科学生死板板 2020-07-06 15:38:15

WEB程序防SQL注入攻擊程序

場景: WEB程序容易被SQL注入攻擊,攻擊原理是在請求參數中傳入非法字符,造成SQL語句出現出現異常情況,已達到攻擊者想要的結果。 分析: 一般的攻擊者都是在傳入的請求參數上做文章,所以我們重點檢查的是request的參數,判斷requ

成都好男人 2020-07-06 07:55:56

淺談SQL注入(入門版)

淺談SQL注入 (篇幅較長,包含對SQL注入的分析) 目錄 一、SQL注入原理 二、SQL注入的探測語句 三、SQL注入的進一步注入 一、SQL注入的原理 解釋型語言:程序不需要編譯,程序在運行時才翻譯成機器語言,每執行

羽路星尘 2020-07-05 06:34:35

Java Web項目解決 sql 注入問題(過濾器進行過濾解決)

** 1、編寫過濾器類—SqlFilter.java ** package com.yl.zp.controller; import java.io.IOException; import java.util.Enumerat

HelloWord_Object 2020-07-04 14:45:27

SQL注入的方式與防治

 所謂的SQL注入、XSS、溢出等的漏洞,歸根到底,就是代碼注入的問題,導致代碼注入漏洞的產生的原因是因爲代碼和數據沒有分離,即程序所處理的數據和程序的代碼混在了一起,沒有明確的區分。。。$oM>?h_ =  ok:L]8UN 3

cduter 2020-07-04 09:33:01

0x05-SQL注入-構造臨時數據

目錄 今日目標 可以學到什麼? 好用的 SQL 在線模擬器 SQLite ALIAS 表達式 表名映射 列名映射 SQLite 如何構造臨時數據? MySQL 如何構造臨時數據? PostgreSQL 如何構造臨時數據?

0pr 2020-07-02 07:14:38

mysql寫入一句話的方式

一、union select 後寫入 最常見的寫入方式,union select 後跟 into outfile 語句 1’ union select 1,2,’<?php @eval($_POST[cmd]);?>’ into

孤君 2020-07-02 01:47:42

NodeJs 安全設計規範

CSRF攻擊 什麼是CSRF? 跨站請求僞造,是一種對網站的惡意利用。儘管聽起來像跨站腳本(XSS),但它與XSS非常不同,XSS利用站點內的信任用戶,而CSRF則通過僞裝成受信任用戶的請求來利用受信任的網站。與XSS攻擊相

多比熊 2020-06-28 18:10:44

【SQL注入篇】MSSQL 報錯注入(2020端午節快樂呀)

當你的才華 還撐不起你的野心時 那你就應該靜下心來學習 目錄 0x01 MSSQL 是個啥? 0x02 MSSQL 注入原理 0x03 MSSQL 常用命令 0x04 復現漏洞       爲什麼要寫這篇文章?因爲最近項目中經常遇到類似的

Agan ' 2020-06-27 13:54:56

數據庫注入方法和繞過技巧

文章目錄背景SQL注入的方法報錯注入概念Payloads數溢出報錯GROUP BY 報錯XPATH 報錯聯合查詢概念Payloads**Mysql >= 5.0**MySQL >= 4.1未知列名的情況堆疊查詢概念Payloads

BingSlient 2020-06-27 05:04:58

簡單的SQL注入某社會組織

好早之前的網站了,漏洞已經被填上了,請大家不要嘗試! 目標:http://www.qdmjzz.org/ 1、首先是拆解:http://www.qdmjzz.org/show.php?id=7829 and 1=2 union selec

Nightsay 2020-06-25 22:36:46

scala:佔位符的使用

在上面的實例中,用到了Scala佔位符(_),若讀者對Scala佔位符還不甚瞭解,可以參考學習以下七個Scala佔位符的常見用法: (1)import導入包的所有成員,相當於Java的*,如importscala.math._。比Java

花和尚也有春天 2020-06-28 07:08:48