SQL注入的定义以及解决

作者：mobiledu2502873611 | 来源：互联网 | 2023-09-15 14:05

SQL注入的定义以及解决什么是SQL注入SQL注入就是在用户输入的字符串中加入SQL语句，如果在设计不良的程序中忽略了检查，那么这些注入进去的SQL语

SQL注入的定义以及解决

什么是SQL注入
SQL 注入就是在用户输入的字符串中加入 SQL 语句&＃xff0c;如果在设计不良的程序中忽略了检查&＃xff0c;那么这些注入进去的 SQL 语句就会被数据库服务器误认为是正常的 SQL 语句而运行&＃xff0c;攻击者就可以执行计划外的命令或访问未被授权的数据。
说人话就是,程序把用户输入的遍历当作SQL语句的关键字而执行了。
下边给出一个简单的demo:

import java.sql.*; import java.util.Scanner;import com.mysql.jdbc.Driver;public class SQL_insert {public void solve(){Scanner scanner&＃61;new Scanner(System.in);System.out.println("输入id:");String id&＃61; scanner.nextLine();System.out.println("输入密码:");String name&＃61;scanner.nextLine();Statement statement &＃61; null;Connection connection &＃61; null;ResultSet set &＃61; null;try {Driver driver &＃61; new Driver();DriverManager.registerDriver(driver);connection &＃61; DriverManager.getConnection("jdbc:mysql://localhost:3305/JAVA_LEARN", "root", "root");statement &＃61; connection.createStatement();String DQL &＃61; "select * from people where id&＃61;"&＃43;id&＃43;" and name&＃61;"&＃43;name;set &＃61; statement.executeQuery(DQL);if(set.next()) {System.out.println("登陆成功");}else {System.out.println("登陆失败");}} catch (SQLException e) {e.printStackTrace();} finally {if (statement !&＃61; null) {try {statement.close();} catch (SQLException e) {e.printStackTrace();}}if (connection !&＃61; null) {try {connection.close();} catch (SQLException e) {e.printStackTrace();}}if (set !&＃61; null) {try {set.close();} catch (SQLException e) {e.printStackTrace();}}}}public static void main(String[] args) {SQL_insert insert &＃61; new SQL_insert();insert.solve();} }

这是一个简单的登陆检查程序,现在给他一个错误的输入:

显示登陆成功。
为什么会这样?
因为用户输入的密码是 123 or 1&＃61;‘1’
所以执行的SQL就是:

select * from people where id&＃61; 123 and name &＃61; 123 or 1&＃61;&＃39;1&＃39;

密码的一部分被当作关键字被编译进去了,所以无论怎么查都会有结果。
如何解决
只要用户输入的信息不参与SQL编译就解决了
只要预先编译SQL语句框架,然后再给SQL传值即可

故引入 PreparedStatement 预编译的数据库操作对象
解决后的demo

//用来解决SQL注入问题的类import com.mysql.jdbc.Driver;import java.sql.*; import java.util.Scanner;public class SQL_insert_Solve {public void solve(){Scanner scanner&＃61;new Scanner(System.in);System.out.println("输入id:");String id&＃61; scanner.nextLine();System.out.println("输入密码:");String name&＃61;scanner.nextLine();PreparedStatement statement &＃61; null;Connection connection &＃61; null;ResultSet set &＃61; null;try {Driver driver &＃61; new Driver();DriverManager.registerDriver(driver);connection &＃61; DriverManager.getConnection("jdbc:mysql://localhost:3305/JAVA_LEARN", "root", "root");//获取预编译的数据库操作对象:statement &＃61; connection.prepareStatement("select * from people where id &＃61; ? and name &＃61; ?");statement.setString(1,id);statement.setString(2,name);set &＃61; statement.executeQuery();if(set.next()) {System.out.println("登陆成功");}else {System.out.println("登陆失败");}} catch (SQLException e) {e.printStackTrace();} finally {if (statement !&＃61; null) {try {statement.close();} catch (SQLException e) {e.printStackTrace();}}if (connection !&＃61; null) {try {connection.close();} catch (SQLException e) {e.printStackTrace();}}if (set !&＃61; null) {try {set.close();} catch (SQLException e) {e.printStackTrace();}}}}public static void main(String[] args) {SQL_insert insert &＃61; new SQL_insert();insert.solve();} }

推荐阅读

get
Java太阳系小游戏分析和源码详解

本文介绍了一个基于Java的太阳系小游戏的分析和源码详解。通过对面向对象的知识的学习和实践，作者实现了太阳系各行星绕太阳转的效果。文章详细介绍了游戏的设计思路和源码结构，包括工具类、常量、图片加载、面板等。通过这个小游戏的制作，读者可以巩固和应用所学的知识，如类的继承、方法的重载与重写、多态和封装等。 ... [详细]

蜡笔小新 2023-12-14 19:53:34
list
Java容器中的compareto方法排序原理解析

本文从源码解析Java容器中的compareto方法的排序原理，讲解了在使用数组存储数据时的限制以及存储效率的问题。同时提到了Redis的五大数据结构和list、set等知识点，回忆了作者大学时代的Java学习经历。文章以作者做的思维导图作为目录，展示了整个讲解过程。 ... [详细]

蜡笔小新 2023-12-14 13:53:31
js
关于cuowu类的错误提示和使用AdjustmentListener的问题

本文讨论了一个关于cuowu类的问题，作者在使用cuowu类时遇到了错误提示和使用AdjustmentListener的问题。文章提供了16个解决方案，并给出了两个可能导致错误的原因。 ... [详细]

蜡笔小新 2023-12-13 22:09:56
post
阿里云物联网 .NET Core 客户端 | CZGL.AliIoTClient：4. 设备上报属性

阿,里,云,物,联网,net,core,客户端,czgl,aliiotclient, ... [详细]

蜡笔小新 2023-12-14 12:40:20
js
OC学习笔记之@property和@synthesize

本文介绍了OC学习笔记中的@property和@synthesize，包括属性的定义和合成的使用方法。通过示例代码详细讲解了@property和@synthesize的作用和用法。 ... [详细]

蜡笔小新 2023-12-14 12:05:06
list
JavaSE笔试题-接口、抽象类、多态等问题解答

本文解答了JavaSE笔试题中关于接口、抽象类、多态等问题。包括Math类的取整数方法、接口是否可继承、抽象类是否可实现接口、抽象类是否可继承具体类、抽象类中是否可以有静态main方法等问题。同时介绍了面向对象的特征，以及Java中实现多态的机制。 ... [详细]

蜡笔小新 2023-12-14 10:01:13
list
Golang如何使用Cookie跟踪位置

关键词：Golang, Cookie, 跟踪位置, net/http/cookiejar, package main, golang.org/x/net/publicsuffix, io/ioutil, log, net/http, net/http/cookiejar ... [详细]

蜡笔小新 2023-12-13 15:47:22
js
VB.NET在线急等问题解决方法，如何统计数据库字段下的数据并显示在文本框里？

本文介绍了一个在线急等问题解决方法，即如何统计数据库中某个字段下的所有数据，并将结果显示在文本框里。作者提到了自己是一个菜鸟，希望能够得到帮助。作者使用的是ACCESS数据库，并且给出了一个例子，希望得到的结果是560。作者还提到自己已经尝试了使用"select sum(字段2) from 表名"的语句，得到的结果是650，但不知道如何得到560。希望能够得到解决方案。 ... [详细]

蜡笔小新 2023-12-13 15:15:30
list
SpringJdbcTemplate的使用详解

本文详细介绍了Spring的JdbcTemplate的使用方法，包括执行存储过程、存储函数的call()方法，执行任何SQL语句的execute()方法，单个更新和批量更新的update()和batchUpdate()方法，以及单查和列表查询的query()和queryForXXX()方法。提供了经过测试的API供使用。 ... [详细]

蜡笔小新 2023-12-13 14:27:11
list
Java中vector的使用详解

本文详细介绍了Java中vector的使用方法和相关知识，包括vector类的功能、构造方法和使用注意事项。通过使用vector类，可以方便地实现动态数组的功能，并且可以随意插入不同类型的对象，进行查找、插入和删除操作。这篇文章对于需要频繁进行查找、插入和删除操作的情况下，使用vector类是一个很好的选择。 ... [详细]

蜡笔小新 2023-12-13 14:14:39
list
关于Linq to sql 实现模糊查询 string数组

前景：当UI一个查询条件为多项选择，或录入多个条件的时候，比如查询所有名称里面包含以下动态条件，需要模糊查询里面每一项时比如是这样一个数组条件：newstring[]{兴业银行, ... [详细]

蜡笔小新 2023-12-13 09:34:59
list
Java学习笔记之面向对象编程（OOP）

本文介绍了Java学习笔记中的面向对象编程（OOP）内容，包括OOP的三大特性（封装、继承、多态）和五大原则（单一职责原则、开放封闭原则、里式替换原则、依赖倒置原则）。通过学习OOP，可以提高代码复用性、拓展性和安全性。 ... [详细]

蜡笔小新 2023-12-13 08:44:30
stream
FileNotFoundException: File does not exist

ubuntu用sqoop将数据从hive导入mysql时，命令： ... [详细]

蜡笔小新 2023-12-12 18:56:13
express
java boolean 大小_java boolean 大小

先看官方文档TheJavaTutorialshavebeenwrittenforJDK8.Examplesandpracticesdescribedinthispagedontta ... [详细]

蜡笔小新 2023-12-12 13:36:56
stream
Swing组件及其用法，图标接口的定义和创建方法

本文介绍了Swing组件的用法，重点讲解了图标接口的定义和创建方法。图标接口用来将图标与各种组件相关联，可以是简单的绘画或使用磁盘上的GIF格式图像。文章详细介绍了图标接口的属性和绘制方法，并给出了一个菱形图标的实现示例。该示例可以配置图标的尺寸、颜色和填充状态。 ... [详细]

蜡笔小新 2023-12-11 21:03:59

mobiledu2502873611

这个家伙很懒，什么也没留下！

Tags | 热门标签

RankList | 热门文章