大数据必学Java基础(九十四):SQL注入攻击
2023-06-13 09:15:55 时间
SQL注入攻击
一、Sql注入说明
SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。
二、具体实现
以模拟登录为例:在前台输入用户名和密码,后台判断信息是否正确,并给出前台反馈信息,前台输出反馈信息。
1、创建数据库表
2、创建实体类
public class Account implements Serializable {
private int aid;
private String username;
private String password;
private int money;
3、测试代码
package com.lanson.test2;
import com.lanson.entity.Account;
import com.lanson.entity.Emp;
import java.sql.*;
import java.util.ArrayList;
import java.util.List;
import java.util.Scanner;
/**
* @Author: Lansonli
* @Description: MircoMessage:Mark_7001
*/
public class TestInjection {
private static String driver ="com.mysql.cj.jdbc.Driver";
private static String url="jdbc:mysql://127.0.0.1:3306/mydb?useSSL=false&useUnicode=true&characterEncoding=UTF-8&serverTimezone=Asia/Shanghai&allowPublicKeyRetrieval=true";
private static String user="root";
private static String password="root";
public static void main(String[] args) {
Scanner sc =new Scanner(System.in);
System.out.println("请输入用户名");
String username=sc.next();
System.out.println("请输入密码");
String pwd =sc.next();
Account account = getAccount(username, pwd);
System.out.println(null!= account?"登录成功":"登录失败");
sc.close();
}
public static Account getAccount(String username,String pwd){
Connection connection = null;
Statement statement=null;
ResultSet resultSet=null;
Account account =null;
try{
Class.forName(driver);
connection = DriverManager.getConnection(url, user,password);
statement = connection.createStatement();
String sql="select * from account where username ='"+username+"' and password ='"+pwd+"'";
System.out.println(sql);
resultSet = statement.executeQuery(sql);
while(resultSet.next()){
int aid = resultSet.getInt("aid");
String usernamea = resultSet.getString("username");
String pwda = resultSet.getString("password");
double money = resultSet.getDouble("money");
account=new Account(aid,usernamea,pwda,money);
System.out.println(account);
}
}catch (Exception e){
e.printStackTrace();
}finally {
if(null != resultSet){
try {
resultSet.close();
} catch (SQLException e) {e.printStackTrace();
}
}
if(null != statement){
try {
statement.close();
} catch (SQLException e) {
e.printStackTrace();
}
}
if(null != connection){
try {
connection.close();
} catch (SQLException e) {
e.printStackTrace();
}
}
}
return account;
}
}
4、测试结果
三、总结
当输入了精心设计的用户名密码后,即使是错误的,也能登录成功,让登录功能形同虚设。这就是SQL注入风险,原因在于SQL语句是字符串拼接的,SQL语句中拼接的内容破坏了SQL语句原有的判断逻辑。如何解决呢?使用PreparedStatement预编译语句对象就可以解决掉。
相关文章
- JAVA贪吃蛇代码(带注释)
- Java详解:淘宝秒杀脚本java
- java数组排序去重_JAVA数组去重排序
- java backoff_Java BackOff类代码示例
- java怎么运行_怎样启动JAVA?「建议收藏」
- java中random方法取值范围_Java Random.nextInt()方法,随机产生某个范围内的整数
- 【说站】java通配符有哪些
- Java cast_java concat方法
- java list 转json 字符串_Java之JSON字符串与List集合之间相互转换
- Java数组循环_java遍历object数组
- Zabbix使用Zabbix-java-gateway监控Tomcat
- Java 远程通讯技术及原理分析详解编程语言
- java-solr solrj的使用详解编程语言
- Java if else语句详解
- Java联合Redis:建立良好数据连接(java连接redis)
- key如何使用Java处理Redis过期Key(redisjava过期)
- 数据处理Java应用中的Redis过期数据处理(redisjava过期)
- 解决Java程序MySQL驱动问题,下载MySQL JAR包.(mysql驱动jar包)
- 数据处理使用Java从Redis中清理过期数据(redisjava过期)
- 时间设置解决Redis中Java设置的过期时间问题(redisjava过期)
- 实现高并发:Java利用Redis秒杀成功(java秒杀redis)
- 管理Linux下Java版本管理:轻松实现多版本切换(linux下java版本)
- 缓存使用Redis让Java代码更加迅速缓存设置(redis设置java)
- 初识JAVA数组