脚本之家 服务器常用软件
快捷导航
您的位置:首页数据库Mysql → SQL注入漏洞过程

SQL注入漏洞过程实例及解决方案

 更新时间:2020年03月20日 15:12:43   作者:shouyaya  
这篇文章主要介绍了SQL注入漏洞过程实例及解决方案,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下

代码示例:

public class JDBCDemo3 {
  public static void demo3_1(){
    boolean flag=login("aaa' OR ' ","1651561");  //若已知用户名,用这种方式便可不用知道密码就可登陆成功
    if (flag){
      System.out.println("登陆成功");
    }else{
      System.out.println("登陆失败");
    }

  }
  public static boolean login(String username,String password){
    Connection conn=null;
    Statement stat=null;
    ResultSet rs=null;
    boolean flag=false;
    try {
      conn=JDBCUtils.getConnection();
      String sql="SELECT * FROM user WHERE username='"+username+"'AND password='"+password+"'"; //此处是SQL注入漏洞的关键,因为是字符串的拼接,会使查询语句变为:SELECT * FROM user WHERE username='aaa' OR '' AND password='1651561',此查询语句是可得到结果集的,便出现此漏洞
      stat=conn.createStatement();
      rs=stat.executeQuery(sql);
      if(rs.next()){
        flag=true;
      }else{
        flag=false;
      }
    } catch (SQLException e) {
      e.printStackTrace();
    }
    return flag;
  }

解决方法,使用PrepareStatment:

public static void demo3_1(){
    boolean flag=login1("aaa' OR ' ","1651561");
    if (flag){
      System.out.println("登陆成功");
    }else{
      System.out.println("登陆失败");
    }

  }
  public static boolean login1(String username,String password){
    Connection conn=null;
    PreparedStatement pstat=null;
    ResultSet rs=null;
    boolean flag=false;

    try {
      conn=JDBCUtils.getConnection();
      String sql="SELECT * FROM user WHERE username=? AND password=?"; //使用?代替参数,预先设置好sql格式,就算在输入sql关键字也不会被sql识别
      pstat=conn.prepareStatement(sql);
      pstat.setString(1,username); //设置问号的值
      pstat.setString(2,password);
      rs=pstat.executeQuery();
      if(rs.next()){
        flag=true;
      }else{
        flag=false;
      }
    } catch (SQLException e) {
      e.printStackTrace();
    }
    return flag;
  }
}

使用以上解决办法就无法通过SQL注入漏洞登陆用户成功。

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持脚本之家。

您可能感兴趣的文章:

相关文章

  • MySQL查询条件常见用法详解

    MySQL查询条件常见用法详解

    这篇文章主要介绍了MySQL查询条件常见用法,结合实例形式总结分析了MySQL常见的各类查询条件与简单使用方法,需要的朋友可以参考下
    2019-11-11
  • MySQL分页分析原理及提高效率

    MySQL分页分析原理及提高效率

    这篇文章主要介绍了MySQL分页分析原理及提高效率的相关资料,需要的朋友可以参考下
    2017-05-05
  • MySQL 请选择合适的列

    MySQL 请选择合适的列

    如果你的表结构设计不良或你的索引设计不佳,那么请你优化你的表结构设计和给予合适的索引,这样你的查询性能就能提高几个数量级。——数据越大,索引的价值越能体现出来
    2012-05-05
  • MySQL5.7.31 64位免安装版使用教程图解

    MySQL5.7.31 64位免安装版使用教程图解

    这篇文章主要介绍了MySQL5.7.31 64位免安装版使用教程,本文通过图文并茂的形式给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
    2020-10-10
  • Linux服务器中MySQL远程连接的开启方法

    Linux服务器中MySQL远程连接的开启方法

    今天在Linux服务器上安装了msyql数据库,在本地访问的时候可以访问,但是我想通过远程的方式访问的时候就不能访问了,查询资料后发现,Linux下MySQL默认安装完成后只有本地访问的权限,没有远程访问的权限,需要你给指定用户设置访问权限才能远程访问该数据库
    2017-06-06
  • 一文掌握MySQL表的创建和约束

    一文掌握MySQL表的创建和约束

    这篇文章主要和大家分享一下数据库的创建和销毁语法以及详细讲解MySQL表的创建代码和约束的使用,文中的示例代码讲解详细,感兴趣的可以了解一下
    2022-07-07
  • 关于Mysql自增id的这些你可能还不知道

    关于Mysql自增id的这些你可能还不知道

    这篇文章主要给大家介绍了关于Mysql自增id的相关资料,文中通过示例代码介绍的非常详细,对大家学习或者使用Mysql具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧
    2019-05-05
  • 关于Mysql中ON与Where区别问题详解

    关于Mysql中ON与Where区别问题详解

    在编写SQL脚本中,多表连接查询操作需要使用到on和where条件,但是经常会混淆两者的用法,从而造成取数错误,下面这篇文章主要给大家介绍了关于Mysql中ON与Where区别问题的相关资料,需要的朋友可以参考下
    2022-02-02
  • MySQL 基于时间点的快速恢复方案

    MySQL 基于时间点的快速恢复方案

    这篇文章主要介绍了MySQL 基于时间点的快速恢复方案,帮助大家更好的理解和使用MySQL,感兴趣的朋友可以了解下
    2020-11-11
  • MySQL 字符串转换为数字的方法小结

    MySQL 字符串转换为数字的方法小结

    这篇文章主要介绍了MySQL字符串转换为数字的几种方法,本文给大家列列举了三种方法,每种方法通过实例代码给大家介绍的非常详细,需要的朋友可以参考下
    2022-01-01

最新评论