如何解决 SQL 注入问题呢?有什么技巧
Admin发表于 2022-06-09 17:53:20729 次浏览
下一篇: SQL优化法则包括哪些,分别是怎样的
在这篇文章中,我们将学习“如何解决 SQL 注入问题呢?有什么技巧”的相关知识,下文有详细的介绍及示例,小编觉得挺不错的,有需要的朋友可以借鉴参考,希望对大家阅读完这篇能有所获。
推荐(免费):SQL教程
SQL注入是什么?
看一下百度百科的定义:
啊,好长一大段文字,些许不想看,下面通过一个例子,来说明一下什么是SQL注入:
新建一个数据库,再建一个表,添加两行数据:
use db1;create table user( id int primary key auto_increment, username varchar(32), password varchar(32));insert into user values(null,'zhangsan','123');insert into user values(null,'lisi','234');
表如下图所示:
再随随便便用JDBC写个登陆操作:
package com.wzq.jdbc;import com.wzq.util.JDBCUtils;import java.sql.Connection;import java.sql.ResultSet;import java.sql.SQLException;import java.sql.Statement;import java.util.Scanner;/*
* 需求:
* 1、通过键盘录入用户名和密码
* 2、判断用户是否登陆成功
* */public class JDBCDemo05 {
public static void main(String[] args) {
Scanner cin = new Scanner(System.in);
System.out.println("请输入用户名:");
String username = cin.nextLine();
System.out.println("请输入密码:");
String password = cin.nextLine();
boolean res = new JDBCDemo05().login(username, password);
if (res) System.out.println("登陆成功!");
else System.out.println("登陆失败!");
}
public boolean login(String username, String password) {
if (username == null || password == null) {
return false;
}
Connection conn = null;
Statement stmt = null;
ResultSet rs = null;
try {
//1、获取数据库连接
conn = JDBCUtils.getConnection(); //JDBCUtils工具类
//2、定义sql
String sql = "select * from user where username = '" + username + "' and password = '" + password + "'";
//3、获取执行sql的对象
stmt = conn.createStatement();
//4、执行sql
rs = stmt.executeQuery(sql);
return rs.next();
} catch (SQLException e) {
e.printStackTrace();
} finally {
JDBCUtils.close(rs, stmt, conn);
}
return false;
}}测试一下:
可以看到,普通的检验没有任何问题,现在使用SQL注入:
账户名称随便输入,密码输入:a' or 'a'='a
惊讶的发现,居然登陆成功了。输出一下sql看一下:
select * from user where username = 'askjdhjksahd' and password = 'a' or 'a' = 'a'
可以看到where之后的条件,无论是什么结果都为真,都会输出整个表:
所以,综上所述:在sql拼接时,有一些sql的特殊关键字参与字符串的拼接,就会造成安全性问题,这就是上面为什么能登陆成功的原因所在。
那怎么解决这个问题呢?
答:利用PreparedStatement对象,不使用Statement对象。
PreparedStatement对象是Statement对象的子类,它是预编译的sql,所以运行速度会比Statemnet更快。
PerpaerdStatement使用?作为占位符,使用setXxx(索引,值)给?赋值
所以我们替换一下Statement,写一下代码:
public boolean login(String username, String password) { if (username == null || password == null) { return false;
}
Connection conn = null;
PreparedStatement pstmt = null;
ResultSet rs = null;
try { //1、获取数据库连接
conn = JDBCUtils.getConnection(); //JDBCUtils类
//2、定义sql
String sql = "select * from user where username = ? and password = ?";
//3、获取执行sql的对象
pstmt = conn.prepareStatement(sql);
pstmt.setString(1,username);
pstmt.setString(2,password);
//4、执行sql
rs = pstmt.executeQuery();
return rs.next();
} catch (SQLException e) {
e.printStackTrace();
} finally {
JDBCUtils.close(rs, pstmt, conn);
} return false;
}测试一下:
成功解决!
到此这篇关于“如何解决 SQL 注入问题呢?有什么技巧”的文章就介绍到这了,感谢各位的阅读,更多相关如何解决 SQL 注入问题呢?有什么技巧内容,欢迎关注群英网络资讯频道,小编将为大家输出更多高质量的实用文章!
免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:mmqy2019@163.com进行举报,并提供相关证据,查实之后,将立刻删除涉嫌侵权内容。
标签:
sql注入
下一篇: SQL优化法则包括哪些,分别是怎样的
相关信息推荐
2022-08-13 17:51:48
2022-10-26 17:44:14
2022-04-27 10:47:40
sql注入
匿名函数
js,file,bolb,base64
rsa加密处理失败
redis丢失数据
html5绘制
cookie被禁用
oracle fetch
源码编译
LAMP
fs
thinkphp分页
PHP,增删改查
python函数定义
php高并发场景
python精准搜索
php中exit
js得到上月当前日期
内存模型
数组初始化
php遍历数组
字符串反转
developer
弱引用和强引用
canvas离屏技术
get命令
JAVA源码编译
oracle中like
mysql存储过程优点
python编程画猪
2022-02-09 17:56:31
2022-06-14 17:41:20
2021-11-08 17:46:28
2022-05-11 11:57:27
2021-11-08 15:41:44
2022-05-07 17:44:08
2021-11-22 17:53:28
2021-11-08 17:46:26
2022-05-14 14:55:09
2022-05-10 17:41:30
群英网络助力开启安全的云计算之旅
Copyright © QY Network Company Ltd. All Rights Reserved. 2003-2019 群英网络 版权所有 茂名市群英网络有限公司
增值电信经营许可证 : B1.B2-20140078 粤ICP备09006778号
