2. 程式人生 > >SQL攻擊與PreparedStatement

SQL攻擊與PreparedStatement

阿新 發佈:2018-11-10

1.什麼是SQL攻擊。

    在需要使用者輸入的地方,使用者輸入的是SQL語句的片段,終端使用者輸入的SQL片段與我們DAO中寫的SQL語句合成一個完整的SQL語句!例如使用者在輸入使用者名稱以及登陸密碼都是SQL語句時,我們的程式就會將其嵌入到我們的SQL語句中,最終可能出現數據庫的錯誤。

2.PreparedStatement

1)它是Statement介面的子介面;

2)強大之處

    2.1)防SQL攻擊。

    2.2)提高程式碼的可讀性。

    2.3) 提高效率


例項:

public boolean login(String username,String password) throws Exception{
		ResultSet re = null;
		Connection con = null;
		Statement stmt = null;
		String sql = "select * from users where Id = '"
					+username+"' and Password = '"+password+"'";
		boolean result = false;
		try{
			//設定四大引數
			String driverClassName = "com.mysql.jdbc.Driver";
			String url = "jdbc:mysql://localhost:3306/timebookstore";
			String sqlUserName = "***";
			String sqlPassword = "123456";
			//載入類
			Class.forName(driverClassName);
			//連線資料庫獲取Connection物件
			con = DriverManager
					.getConnection(url,sqlUserName,sqlPassword);
			//獲取Statement,用於向資料庫傳送SQL語句
			stmt = con.createStatement();
			//傳送查詢語句
			re=stmt.executeQuery(sql);
			result = re.next();
		}catch(Exception e){
			e.printStackTrace();
		}finally{
			if(re != null)re.close();
			if(stmt != null)stmt.close();
			if(con != null)con.close();
		}
		return result;
	}
	
	@Test
	public void fun2() throws Exception{
		String username = "abc";
		String password = "123";
		System.out.println(login(username,password));
	}

控制檯輸出的結果是false,表示驗證不成功。但是如果使用者名稱和密碼改為如下:

@Test
	public void fun2() throws Exception{
		String username = "abc' or 'a' = 'a";
		String password = "123' or 'a' = 'a";
		System.out.println(login(username,password));
	}

也即完整的sql語句為:

select * from users where Id = 'abc' or 'a' = 'a' and Password = '123' or 'a' = 'a'

很明顯這一句查詢語句返回表中的所有內容,所以結果是true。這就是sql攻擊.


下面的例子使用PreparedStatement防止sql攻擊。

public boolean login(String username,String password) throws Exception{
		ResultSet re = null;
		Connection con = null;
		PreparedStatement pstmt = null;
		String sql = "select * from users where Id = ? and password = ?";
		boolean result = false;
		try{
			//設定四大引數
			String driverClassName = "com.mysql.jdbc.Driver";
			String url = "jdbc:mysql://localhost:3306/timebookstore";
			String sqlUserName = "***";
			String sqlPassword = "123456";
			//載入類
			Class.forName(driverClassName);
			//連線資料庫獲取Connection物件
			con = DriverManager
					.getConnection(url,sqlUserName,sqlPassword);
			//獲取PreparedStatement,用於向資料庫傳送SQL語句
			pstmt = con.prepareStatement(sql);
			//設定sql的引數
			pstmt.setString(1, username);
			pstmt.setString(2,password);
			//執行sql語句
			re=pstmt.executeQuery();
			result = re.next();
		}catch(Exception e){
			e.printStackTrace();
		}finally{
			if(re != null)re.close();
			if(pstmt != null)pstmt.close();
			if(con != null)con.close();
		}
		return result;
	}
	
	@Test
	public void fun2() throws Exception{
		String username = "abc' or 'a' = 'a";
		String password = "123' or 'a' = 'a";
		System.out.println(login(username,password));
	}

使用PreparedStatement的結果是false,與我們預期的一樣了。

由上面的例子可以看出使用PreparedStatement,編寫的sql語句更加直觀,還可以防sql攻擊。

String sql = "select * from users where Id = '"+username+"' and password = '"+password+"'";//Statement
String sql = "select * from users where Id = ? and password = ?";//PreparedStatement

?號表示引數,下面有設定該引數的程式碼。

pstmt = con.prepareStatement(sql);
			//設定sql的引數
			pstmt.setString(1, username);
			pstmt.setString(2,password);

相關推薦

SQL攻擊PreparedStatement

1.什麼是SQL攻擊。     在需要使用者輸入的地方,使用者輸入的是SQL語句的片段,終端使用者輸入的SQL片段與我們DAO中寫的SQL語句合成一個完整的SQL語句!例如使用者在輸入使用者名稱以及登陸密碼都是SQL語句時,我們的程式就會將其嵌入到我們的SQL語句中,最終可

JDBC防止SQL攻擊PreparedStatement的用法

public boolean login(String username, String passwo) throws Exception { /* * 一、得到Connection 二、得到Statement 三、得到ResuleSet 四、rs.next()返回的是

JDBC程式設計之預編譯SQL防注入式攻擊以及PreparedStatement

  在JDBC程式設計中,常用Statement、PreparedStatement 和 CallableStatement三種方式來執行查詢語句,其中 Statement 用於通用查詢, PreparedStatement 用於執行引數化查詢,而 CallableState

[Js-JDBC]SQL註入及解決,StatementPreparedStatement

接收 現象 dsta ets 字符 如何 sel 單引號 con SQL註入的含義 用戶在輸入信息中有SQL關鍵字並且參與SQL語句的編譯,導致SQL語句含義扭曲,這種現象被稱為SQL註入 例如: 1 // 在登錄驗證的時候使用如下語句 2 String sql = "s

2017-2018-2 20179205《網絡攻防技術實踐》第十一周作業 SQL註入攻擊實踐

tac 原理 HERE 經典的 事先 不存在 編程語言 行數 顯示 《網絡攻防技術與實踐》第十一周作業 SQL註入攻擊與實踐 1.研究緩沖區溢出的原理,至少針對兩種數據庫進行差異化研究 緩沖區溢出原理 ??在計算機內部,輸入數據通常被存放在一個臨時空間內,這個臨時存放的空

sql注入攻擊PreparedStatement有效防止sql注入攻擊

【1】sql注入攻擊: /** * SQL 注入. */ @Test public void testSQLInjection() { String username = "a' OR PASSWORD = "; String password = " OR '1'='1

discuzX3.2 X3.4網站漏洞修復 SQL注入請求偽造攻擊利用修復

2018年12月9日,國內某安全組織,對discuz X3.2 X3.4版本的漏洞進行了公開,這次漏洞影響範圍較大,具體漏洞是discuz 的使用者前段SQL注入與請求偽造漏洞,也俗稱SSRF漏洞,漏洞產生的原因首先:php環境的版本大約PHP5.2,dizcuzX3.2 X3.4版本,伺服器環境是

SQL注入技巧拓展】————2、MySQL注入攻擊防禦

本文主要是做一個Mysql的注入總結,對於Mysql來說利用的方式太過於靈活,這裡總結了一些主流的一些姿勢。 一、注入常用函式與字元 下面幾點是注入中經常會用到的語句 控制語句操作(select, case, if(), ...) 比較操作(=, like, mod()

SQL入門——摘自SQL注入攻擊防禦

SQL查詢由一條或多條SQL語句構成,這些語句是資料庫伺服器能夠有效執行的指令。操作資料庫或執行SQL注入時最長碰到的SQL語句是SELECT,INSERT,UPDATE,CRATE,UNION SELECT和DELETE.1.SELECT語句SQL命令以分號“;”結束執行,

asp.net 360通用防護程式碼,防止sql注入xss跨站漏洞攻擊

這是360提供的一個aspx公用程式碼,可以防止sql注入漏洞,xss跨站攻擊漏洞,如果您的網站被360掃描,出現sql注入或跨站攻擊等相關漏洞,沒有較好的解決方案,倒是可以採用該方法進下防範。 -----------------使用方法------------

使用PreparedStatement 防止SQL攻擊 實現預編譯功能提高效能

public boolean login(String username,String password) throws Exception { String driverClassName="com.mysql.jdbc.Driver"; S

PreparedStatement JDBC域處理/SQl攻擊

感謝傳智播客提供的學習視訊 ,希望傳智播客越來越好 l  它是Statement介面的子介面; l  強大之處: Ø  防SQL攻擊; Ø  提高程式碼的可讀性、可維護性; Ø  提高效率! l  學習PreparedStatement的用法: Ø  如何得到Prepare

sql注入攻擊防禦第二章

第二章 SQL注入測試 在知道什麼是sql注入以及sql注入的產生過程之後,自然的我們就會想到在什麼情況下可以進行sql注入?怎麼進行sql注入? 首先回答第一個問題,並非所有的網站都可以進行sql注入攻擊,sql注入漏洞只會出現在訪問資料庫的應用中,如果應用未連線任何

SQL注入的攻擊防禦(簡單篇)

原理:SQL注入攻擊值得是通過構建特殊的輸入作為引數傳入web應用程式,而這些輸入大都是SQL語法裡的一下組合, 通過執行SQL語句進執行攻擊者所要的操作,其主要原因是程式沒有細緻的過濾使用者輸入的資料,致使非法資料侵入系統。 SQL注入的產生原因:  不當的型別處理,不安

淺析history hack、心血漏洞、CSS欺騙、SQL注入CSRF攻擊

漏洞產生的原因主要有系統機制和編碼規範兩方面,由於網路協議的開放性,目前以 Web 漏洞居多 關於系統機制漏洞的典型有JavaScript/CSS history hack,而編碼規範方面的漏洞典型有心血漏洞(Heart Bleed)。 在對漏洞概念有一定了解後,將搭建一個測試網站,對CSS欺騙、SQL注入

CSRF攻擊防禦(寫得非常好)

得到 cookie信息 req ret 沒有 不同的 sof 協議 表單 轉載地址:http://www.phpddt.com/reprint/csrf.html CSRF概念:CSRF跨站點請求偽造(Cross—Site Request Forger

CSRF攻擊防禦

動態 開發 開關 如何 1、簡介  CSRF的全名為Cross-site request forgery,它的中文名為 跨站請求偽造(偽造跨站請求【這樣讀順口一點】)  CSRF是一種夾持用戶在已經登陸的web應用程序上執行非本意的操作的攻擊方式。相比於XSS,CSRF是利用了系統對頁面瀏覽器

SQL攻擊-預編譯--緩存

可維護性 ins 可讀性 問號 wid 都是 比較 緩存 query PreparedStatement l 它是Statement接口的子接口; l 強大之處: 防SQL攻擊; 提高代碼的可讀性、可維護性; 提高效率! l 學習PreparedS

JDBC中StatementPreparedStatement的區別

sql語句 使用 更改 spa ext form表單 時間 where 額外 1. statement每次執行sql語句,相關數據庫都要執行sql語句的編譯;preparedstatement是預編譯的, 采用Cache機制(預編譯語句,放在Cache中,下次執行相同SQL

xss攻擊防禦

font 引號 span java 額外 有意義 tab 有意 script 除了在引號中分割單詞和強制結束語句外,額外的空格沒有意義。 >>>>>>java script : alert 同理 換行符/tab