數據庫注入攻擊和防止注入攻擊

原創 xiaoyuxianshenging 2020-06-24 05:53
 Java程序實現用戶登錄,用戶名和密碼,數據庫檢查

 演示被別人注入攻擊

public class userdenglu {

	public static void main(String[] args) throws ClassNotFoundException, SQLException {
		//密碼和用戶名寫死的情況下的注入攻擊
		//用戶名和密碼由用戶輸入
		Class.forName("com.mysql.jdbc.Driver");
		String url = "jdbc:mysql://localhost:3306/mydatabase";
		String username = "root";
		String password = "12345678";
		Connection con = DriverManager.getConnection(url,username,password);
		Statement stat = con.createStatement();
		//執行SQL語句,數據表,查詢用戶名和密碼,如果存在,登錄成功,不存在登錄失敗
		Scanner sc = new Scanner(System.in);
		String user = sc.nextLine();
		String pass = sc.nextLine();
		String sql = "select * from pass where uname = '"+user+"' and upassword = '"+pass+"'";
		ResultSet rs = stat.executeQuery(sql);
		/*while(rs.next()){
			System.out.println(rs.getString("uname")+"  "+rs.getString("upassword"));
		}*/
		if(rs.next()){
			System.out.println("登錄成功");
			System.out.println(sql);
			System.out.println(rs.getString("uname")+"  "+rs.getString("upassword"));
		}else{
			System.out.println("用戶名或者密碼錯誤");
		}
		rs.close();
		stat.close();
		con.close();
	}

}


防止注入攻擊:使用PreparedStatement來解決對應的問題。

當用戶輸入正確的賬號與密碼後,查詢到了信息則讓用戶登錄。但是當用戶輸入的賬號爲XXX 密碼爲:XXX’  OR ‘a’=’a時,則真正執行的代碼變爲:

SELECT * FROM 用戶表 WHERE NAME = ‘XXX’ AND PASSWORD =’ XXX’  OR ’a’=’a’;

實例:

public class preparestatementdemo {
	/*
	 * java程序實現用戶登錄,用戶名和密碼,數據庫檢查
	 * 防止注入攻擊
	 * Statement接口實現類,作用執行SQL語句,返回結果集
	 * 有一個子接口PreparedStatement,其中在Connection類中有數據庫連接對象的方法:
	 * PreparedStatement preparedStatement(String sql)
	 * 
	 */
	public static void main(String[] args) throws ClassNotFoundException, SQLException {
		Class.forName("com.mysql.jdbc.Driver");
		String url = "jdbc:mysql://localhost:3306/mydatabase";
		String username = "root";
		String password = "12345678";
		Connection con = DriverManager.getConnection(url,username,password);
		//執行SQL語句,數據表,查詢用戶名和密碼,如果存在,登錄成功,不存在登錄失敗
		Scanner sc = new Scanner(System.in);
		String user = sc.nextLine();
		String pass = sc.nextLine();
		String sql = "select * from pass where uname = ? and upassword = ?";
		//調用Connection接口中的方法 PreparedStatement prepareStatement(String sql) 
		//方法中參數,SQL語句中的參數全部採用問號佔位符
		PreparedStatement pst = con.prepareStatement(sql);
		//調用pst對象set方法,設置問號佔位符上的參數
		pst.setObject(1, user);
		pst.setObject(2, pass);
		//調用方法,執行SQL,獲取結果集
		ResultSet rs = pst.executeQuery();
		/*while(rs.next()){
			System.out.println(rs.getString("uname")+"  "+rs.getString("upassword"));
		}*/
		if(rs.next()){
			System.out.println("登錄成功");
			System.out.println(sql);
			System.out.println(rs.getString("uname")+"  "+rs.getString("upassword"));
		}else{
			System.out.println("用戶名或者密碼錯誤");
		}
		rs.close();
		pst.close();
		con.close();
	}
}





發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

MYSQL表的增刪改查(基礎)

新增 1語法:insert into 表名(屬性名)values (插入的值) 1、單行數據+全列插入 2.多行數據+指定列插入 多行數據之間用逗號隔開 查詢 語法: 1、全列查詢 通常情況下不建議使用*進行全列查詢,查

南波兔 2020-07-08 03:49:09

MYSQL表的增刪改查(進階)

數據庫約束 1.約束類型 1)NOT NULL:指示某列不能存儲NULL值 2)UNIQUE:保證某列得每行必須擁有唯一的值 3)DEFAULT:規定沒有給列賦值時的默認值 4)PRIMARY KEY:NOT NULL和UNIQU

南波兔 2020-07-08 03:49:09

Mysql計算兩個時間點相差的多少秒

select UNIX_TIMESTAMP(update_time)- UNIX_TIMESTAMP(insert_time) from t_video

小小臭臭g 2020-07-07 07:31:10

Mysql 獲取當前時間

select id , NOW() from t_video # datetime類型的 select id , DATE_FORMAT(NOW(),'%Y-%m-%d %H:%i:%S') from t_video #

小小臭臭g 2020-07-07 07:31:10

mysql Orchestrator使用與mha對比

待填充

aoerqileng 2020-07-07 07:21:30

seconds_behind_master計算方式

總是被問這個問題,不是準確值,之前看過記不清楚怎麼計算的了,還是看下源碼吧。。。 看下僞代碼 /* The pseudo code to compute Seconds_Behind_Master: if (S

aoerqileng 2020-07-07 07:21:30

MySQL相同語句在不同實例上執行結果不同的問題記錄

開發有一個sql,在a實例上執行正常執行,b實例上執行報錯。 報錯信息 ERROR 1093 (HY000): You can’t specify target table ‘ver’ for update in FROM cla

aoerqileng 2020-07-07 07:21:30

mysql 自動化運維agent需要包含的功能

1 實例信息的上傳 2 慢查詢實時監控 3 參數檢測,角色檢測 4 慢日誌解析

aoerqileng 2020-07-07 07:21:30

究竟要在哪裏捕獲數據變更

一般有業務需要捕獲數據變更,但是線上究竟要在哪裏捕獲變更? 主庫還是從庫?這個需要根據具體的業務場景制定,如果是業務場景無法接受延時的出現,那麼就配置在主庫上,如果可以接受一定延時,那麼就在從庫上,配置在從庫上有一個優勢就是主庫在

aoerqileng 2020-07-07 07:21:30

關於mysql的並行複製

在線上的環境中觀察到,如果主庫一個線程,瘋狂的更新數據,那麼即使從庫上配置了並行複製,還是一個線程在幹活,還是有延時的出現。5.7的組提交併行復制還是沒有什麼效果,組提交本倆就是對多併發事務有效果,你一個線程的串行順序事務,效果本

aoerqileng 2020-07-07 07:21:30

mysql sync_binlog與組提交的關係

組提交參數:binlog_group_commit_sync_delay Controls how many microseconds the binary log commit waits before synchronizin

aoerqileng 2020-07-07 07:21:30

Mysql 多實例配置與啓停

</pre><pre> 1 安裝目錄 [mysql@server ~]$ ll /mysql total 12 drwxr-xr-x 5 mysql mysql 4096 Aug 3 23:08 data -rw-r--r-- 1

道行尚浅 2020-07-07 06:17:09

Mysql 字符集研究

mysql> show databases ; +--------------------+ | Database | +--------------------+ | information_schema | | m

道行尚浅 2020-07-07 06:17:09

MYSQL 查詢庫或表

show database like "xxxx"; show tables like "xxxx";

Dead_Cycle 2020-07-06 23:20:04

MYSQL索引之 USE | IGNORE | FORCE

SQL語句 SELECT * FROM TABLE USE INDEX(索引) WHERE user_id = 7 AND ...; USE:用來提供你希望Mysql去參考的索引列表,就可以讓Mysql不再考慮使用其他可用的索引 IGN

Dead_Cycle 2020-07-06 23:20:04