JAVA- SQL注入案例(黑马程序员)和避免 超级详细

文章目录

      • sql注入准备
          • 1.创建应该新的数据库用于测试;
          • 2.修改配置
          • 3.启动jar包
          • 4.打开网页测试
          • 5.测试sql注入
      • sql注入避免
          • 1. java中的登录逻辑代码
          • 2.演示sql注入
          • 3.原因
          • 5.参数化查询-PreparedStatement

SQL注入是什么?

SQL 注入(SQL Injection)是一种常见的网络攻击技术,它利用应用程序没有正确过滤用户输入的数据,将恶意的 SQL 代码注入到应用程序中执行,从而导致应用程序的安全性受到威胁。

  • 通简单来说,就是通过构造恶意的 SQL 语句,将恶意代码注入到应用程序中执行,从而实现各种攻击手段。

如何避免SQL注入?

应用程序需要对用户输入的数据进行正确的验证和过滤!
方法:

  • 使用参数化查询:应用程序应该使用参数化查询来执行 SQL 语句,而不是拼接字符串的方式。参数化查询可以将用户输入的数据视为参数,而不是 SQL 语句的一部分,从而避免 SQL 注入攻击。在 Java 中,可以使用 PreparedStatement 类来执行参数化查询。
  • 过滤用户输入:应用程序可以对用户输入的数据进行过滤和验证,例如检查用户输入是否符合预期格式、是否包含特殊字符等。
  • 最小化权限:应用程序应该尽可能地限制数据库用户的权限,避免恶意用户通过注入恶意代码获取高权限访问数据库。
  • 定期更新:应用程序应该定期更新依赖的库和组件,以及操作系统和数据库等基础设施,避免被已知的漏洞攻击。

案例来源:黑马程序员
JAVA- SQL注入案例(黑马程序员)和避免 超级详细_第1张图片

sql注入准备

来源:黑马程序员

1.创建应该新的数据库用于测试;
mysql> create database test_sqlInject;
Query OK, 1 row affected (0.00 sec)
2.修改配置

JAVA- SQL注入案例(黑马程序员)和避免 超级详细_第2张图片

3.启动jar包

sift+右键(打开powerShell)
运行代码
JAVA- SQL注入案例(黑马程序员)和避免 超级详细_第3张图片

4.打开网页测试

JAVA- SQL注入案例(黑马程序员)和避免 超级详细_第4张图片
查看原始的数据表
JAVA- SQL注入案例(黑马程序员)和避免 超级详细_第5张图片

5.测试sql注入

JAVA- SQL注入案例(黑马程序员)和避免 超级详细_第6张图片
JAVA- SQL注入案例(黑马程序员)和避免 超级详细_第7张图片
JAVA- SQL注入案例(黑马程序员)和避免 超级详细_第8张图片

sql注入避免

1. java中的登录逻辑代码
package src.com.itheima.jdbc;

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.ResultSet;
import java.sql.Statement;
import java.util.ArrayList;

public class SqlUserLogin {
    public static void main(String[] args) throws Exception {

        //1.注册驱动
        Class.forName("com.mysql.jdbc.Driver");

        //2.获取连接
        Connection conn = DriverManager.getConnection("jdbc:mysql://127.0.0.1:3306/test", "root", "123456");

        //接受用户输入的用户名和密码
        String name = "zhangsan";
        String pwd = "123";

        //编写sql语句
        String sql = "SELECT * FROM user where username='"+name+"' AND password = '"+pwd+"' ";

        //执行sql
        Statement stat = conn.createStatement();
        ResultSet rs = stat.executeQuery(sql);

        //判断登录是否成功
        if(rs.next()){
            System.out.println("登录成功");
        }else {
            System.out.println("登录失败");
        }

        //释放资源
        rs.close();
        stat.close();
        conn.close();

    }
}

输入正确的用户名和密码=登录成功
JAVA- SQL注入案例(黑马程序员)和避免 超级详细_第9张图片
错误则失败
JAVA- SQL注入案例(黑马程序员)和避免 超级详细_第10张图片

2.演示sql注入

JAVA- SQL注入案例(黑马程序员)和避免 超级详细_第11张图片
JAVA- SQL注入案例(黑马程序员)和避免 超级详细_第12张图片

3.原因

通过一段字符串(伪造的sql代码)与真的代码进行拼接使整个 SQL语句的条件判断永远为真,从而绕过了应用程序的身份验证机制,获取了用户的数据。
-概括:拼字符串导致分不清参数和执行的关键字!!!

JAVA- SQL注入案例(黑马程序员)和避免 超级详细_第13张图片

5.参数化查询-PreparedStatement

PreparedStatement接口

  • PreparedStatement 接口可以用于执行预编译的 SQL语句,并支持参数化查询,可以有效防止 SQL 注入攻击,提高数据库操作的性能和安全性。

使用步骤:

  1. 获取preparedStatement对象
  2. 设置参数值
  3. 执行sql
package src.com.itheima.jdbc;

import java.sql.*;
import java.util.ArrayList;

public class SqlUserLogin {
    public static void main(String[] args) throws Exception {

        //1.注册驱动
        Class.forName("com.mysql.jdbc.Driver");

        //2.获取连接
        Connection conn = DriverManager.getConnection("jdbc:mysql://127.0.0.1:3306/test", "root", "123456");

        //接受用户输入的用户名和密码
        String name = "bundc";
        String pwd = "' or '1'='1 ";

        //编写sql语句
        String sql = "SELECT * FROM user where username= ? AND password = ? ";

        //获取prepareStatement
        PreparedStatement ppst = conn.prepareStatement(sql);

        //设置展位符?的值
        ppst.setString(1,name);
        ppst.setString(2,pwd);

        //执行sql
        ResultSet rs = ppst.executeQuery();

        //判断登录是否成功
        if(rs.next()){
            System.out.println("登录成功");
        }else {
            System.out.println("登录失败");
        }

        //释放资源
        rs.close();
        ppst.close();
        conn.close();

    }
}

JAVA- SQL注入案例(黑马程序员)和避免 超级详细_第14张图片

你可能感兴趣的:(java,sql,开发语言)