從Java角度修復SQL注入漏洞
不少狀況由於過濾不嚴致使不少網站存在sql注入,這裏以用戶登錄爲例,簡單舉例java
首先建立一個測試的數據庫mysql
比較基礎,不寫建立過程了sql
java代碼以下:數據庫
package cn.basic.jdbc; import java.awt.image.RescaleOp; import java.sql.Connection; import java.sql.DriverManager; import java.sql.PreparedStatement; import java.sql.ResultSet; import java.sql.SQLException; import java.sql.Statement; import org.junit.jupiter.api.Test; public class Test1 { /* * public static void main(String[] args) throws ClassNotFoundException, * SQLException { login("aa","aa"); } */ @Test public void testlogin() throws ClassNotFoundException, SQLException { login("aa", "aa"); } public static void login(String username, String password) throws SQLException, ClassNotFoundException { Class.forName("com.mysql.jdbc.Driver"); Connection conn = DriverManager.getConnection("jdbc:mysql://127.0.0.1/test", "root", "root"); Statement st = conn.createStatement(); String sql = "select * from xxx where username=" + "'" + username + "'" + "and password=" + "'" + password + "'"; ResultSet rs = st.executeQuery(sql); if (rs.next()) { System.out.println("恭喜" + username + "登錄成功"); System.out.println(sql); } else { System.out.println("登陸失敗"); } if (rs != null) { rs.close(); } /* * if (st != null) { st.close(); } */ if (conn != null) { conn.close(); } } }
運行api
輸入正確帳號密碼能夠登錄成功。這裏能夠被繞過。安全
很顯然這是萬能密碼。那麼如何去修復sql注入呢,這裏比較好的方法是採用預編譯的開發方式,這是個開發習慣問題。測試
修復後的預編譯代碼以下:網站
package cn.basic.jdbc; import java.awt.image.RescaleOp; import java.sql.Connection; import java.sql.DriverManager; import java.sql.PreparedStatement; import java.sql.ResultSet; import java.sql.SQLException; import java.sql.Statement; import org.junit.jupiter.api.Test; public class Test1 { /* * public static void main(String[] args) throws ClassNotFoundException, * SQLException { login("aa","aa"); } */ @Test public void testlogin() throws ClassNotFoundException, SQLException { login("aa", "aa"); } public static void login(String username, String password) throws SQLException, ClassNotFoundException { Class.forName("com.mysql.jdbc.Driver"); Connection conn = DriverManager.getConnection("jdbc:mysql://127.0.0.1/test", "root", "root"); String sql="select * from xxx where username=? and password=?"; //使用預編譯 PreparedStatement ps = conn.prepareStatement(sql); ps.setString(1, username); ps.setString(2, password); ResultSet rs = ps.executeQuery(); if (rs.next()) { System.out.println("恭喜" + username + "登錄成功"); System.out.println(sql); } else { System.out.println("登陸失敗"); } if (rs != null) { rs.close(); } if(ps!=null) { ps.close(); } /* * if (st != null) { st.close(); } */ if (conn != null) { conn.close(); } } }
再來測試下是否存在安全漏洞:spa
輸入正確密碼:code
嘗試萬能密碼繞過:
這裏杜絕了sql注入的產生,在不少時候,要養成用預編譯編方式實現增刪改查,這裏以查詢爲例子,增刪改同理!
預編譯並不表明百分百防止sql注入的,這只是一種防止sql注入的措施。
不忘初心,方得始終。
相關文章
- 1. 網站漏洞修復之metinfo SQL注入漏洞
- 2. 從c#角度看萬能密碼SQL注入漏洞
- 3. 怎麼修復網站漏洞之metinfo遠程SQL注入漏洞修補
- 4. sql注入漏洞
- 5. 記一次mysql注入漏洞修復
- 6. 復現Django SQL注入漏洞CVE2020-7471
- 7. zzcms8.2 sql注入漏洞復現
- 8. zzcms v8.2 sql注入漏洞復現
- 9. CVE-2020-7471漏洞復現(SQL注入)
- 10. Metinfo 6.1.2 SQL注入漏洞復現
- 更多相關文章...
- • SQLite 注入 - SQLite教程
- • Eclipse 快速修復 - Eclipse 教程
- • Java Agent入門實戰(一)-Instrumentation介紹與使用
- • Java Agent入門實戰(三)-JVM Attach原理與使用
相關標籤/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
最新文章
- 1. 融合阿里雲,牛客助您找到心儀好工作
- 2. 解決jdbc(jdbctemplate)在測試類時不報錯在TomCatb部署後報錯
- 3. 解決PyCharm GoLand IntelliJ 等 JetBrains 系列 IDE無法輸入中文
- 4. vue+ant design中關於圖片請求不顯示的問題。
- 5. insufficient memory && Native memory allocation (malloc) failed
- 6. 解決IDEA用Maven創建的Web工程不能創建Java Class文件的問題
- 7. [已解決] Error: Cannot download ‘https://start.spring.io/starter.zip?
- 8. 在idea讓java文件夾正常使用
- 9. Eclipse啓動提示「subversive connector discovery」
- 10. 帥某-技巧-快速轉帖博主文章(article_content)
歡迎關注本站公眾號,獲取更多信息
