一、注入攻击
在用户登录的时候,我们往往需要输入账号和密码,通过账号和密码和数据库中保存的账号密码进行匹配,匹配成功则登录成功,但是在匹配的时候会存在注入攻击的安全隐患,在输入账号和密码的时候,在末尾加上 "or" 再接上任何为真的语句,这样一来,有真就为真,这样也能登录成功。
现有 mylogon 数据库,里面有 users 数据表,存储了账号和密码,使用Java通过JDBC操作数据库来模拟一下注入攻击:
public static void main(String[] args) throws ClassNotFoundException, SQLException {
//1.注册驱动 反射技术,将驱动类加入到内容
Class.forName("com.mysql.jdbc.Driver");
//2.获得数据库连接 DriverManager类中静态方法
//static Connection getConnection(String url, String user, String password)
//返回值是Connection接口的实现类,在mysql驱动程序
//url: 数据库地址 jdbc:mysql://连接主机IP:端口号//数据库名字
String url = "jdbc:mysql://localhost:3306/mylogon";
String username = "root";
String password = "123456";
Connection con = DriverManager.getConnection(url,username,password);
//3.获得语句执行平台
//Statement createStatement() 获取Statement对象,将SQL语句发送到数据库
Statement stat = con.createStatement();
//4.从控制台输入用户名和密码
Scanner sc = new Scanner(System.in);
String user = sc.nextLine();
String key = sc.nextLine();
//String sql1 = "select * from users where username='qwer' and password='1234535' or 1=1";
String sql2 = "select * from users where username='"+ user +"'and password='"+ key +"'";
System.out.println(sql2);
ResultSet res = stat.executeQuery(sql2);
while (res.next())
{
System.out.println(res.getString("username") + " " + res.getString("password"));
}
con.close();
res.close();
stat.close();
}
当从控制台输入正确的账号和密码时,可以登录成功,但当输入任意账号和密码后,在密码后面加上 'or' 1=1,也能够登录成功,这样就存在安全隐患
二、注入攻击解决方案
可以使用 PrearedStatement 来解决注入攻击的问题,在Statement 接口的子接口中,有一个 PrearedStatement 接口,可以使 SQL 预编译存储,多次高效地执行 SQL,并能防止注入攻击。使用PreparedStatement pst = con.prepareStatement(sql):调用Connection接口的方法prepareStatement,获取PrepareStatement接口的实现类
执行SQL语句,数据表,查询用户名和密码,如果存在,登录成功,不存在登录失败
调用Connection接口的方法prepareStatement,获取PrepareStatement接口的实现类
调用PreparedStatement对象set方法,设置问号占位符上的参数
调用方法,执行SQL,获取结果集
public static void main(String[] args) throws SQLException, ClassNotFoundException {
//1.注册驱动 反射技术,将驱动类加入到内容
Class.forName("com.mysql.jdbc.Driver");
//2.获得数据库连接 DriverManager类中静态方法
//static Connection getConnection(String url, String user, String password)
//返回值是Connection接口的实现类,在mysql驱动程序
//url: 数据库地址 jdbc:mysql://连接主机IP:端口号//数据库名字
String url = "jdbc:mysql://localhost:3306/mylogon";
String username = "root";
String password = "123456";
Connection con = DriverManager.getConnection(url,username,password);
//3.从控制台输入用户名和密码
Scanner sc = new Scanner(System.in);
String user = sc.nextLine();
String key = sc.nextLine();
//执行SQL语句,数据表,查询用户名和密码,如果存在,登录成功,不存在登录失败
String sql2 = "SELECT * FROM users WHERE username= ? AND PASSWORD= ?";
//4、调用Connection接口的方法prepareStatement,获取PrepareStatement接口的实现类
//方法中参数,SQL语句中的参数全部采用问号占位符
PreparedStatement pre = con.prepareStatement(sql2);
System.out.println(sql2);
//5.调用pst对象set方法,设置问号占位符上的参数
pre.setObject(1,user);
pre.setObject(2,key);
//6.调用方法,执行SQL,获取结果集
ResultSet res = pre.executeQuery();
while (res.next())
{
System.out.println(res.getString("username") + " " + res.getString("password"));
}
con.close();
res.close();
pre.close();
}