请选择 进入手机版 | 继续访问电脑版

Mysql 的sql注入是什么?怎么解决?

[复制链接]
苍野狼步 发表于 2020-12-31 19:00:35 | 显示全部楼层 |阅读模式 打印 上一主题 下一主题
sql注入的原因
语句和用户输入的内容举行拼接,发送给数据库编译的时候,数据库将用户输入的内容当成sql语句编译了。从而从根本上改变了我们开发者所盼望sql语句原有的寄义。导致步伐受到sql攻击。
sql注入的代码
这案例用户名暗码均错误也可以登岸,就是发生了sql注入
  1. public static void main(String[] args) throws Exception {        //假设这里的用户名和暗码是前端页面通报过来的。        String username = "admin' -- ";        String password = "1234";        //注册驱动        Class.forName("com.mysql.jdbc.Driver");        //获取毗连        Connection con = DriverManager.getConnection("jdbc:mysql://localhost:3306/day05", "root", "123");        //创建statement对象        Statement statement = con.createStatement();        //向数据库发送sql语句,查察该用户是否存在。这条sql语句查询的该用户名和暗码的用户有多少个。        String sql = "select count(*) from user where name = '" + username + "' and password = '" + password + "'";        ResultSet rs = statement.executeQuery(sql);        int count = 0;        while (rs.next()) {            //获取count(*)的值            count = rs.getInt(1);        }        if(count==1){            //只有一个同时满足用户名和暗码的用户,可以登录            System.out.println("登录乐成");        }else if(count==0){            //不存在该用户            System.out.println("不能登录");        }            }
复制代码
执行代码,可以发现用户名为 admin’ – ,暗码为 1234 这样的用户是不存在的,但是尽然可以登录乐成。那么这是什么原因造成的呢?
将字符串拼接后的sql语句放在可视化工具中查察发现如下情况,可以发现,反面暗码的验证被注释掉了。这样岂不是谁都可以登录了?

管理方法
首先将sql语句所代表的寄义确定下来,然后再向编译好的sql语句中填充用户输入的内容。这样用户输入的内容就不会再被编译了。所以需要我们学习preparedStatement向数据库发送预编译的sql语句。
就是preparedStatement + 占位符 ?搭配使用(先编译再传参数)
管理sql注入之后的代码
  1. public static void main(String[] args) throws Exception {                String username = "wangwu' -- ";                String password = "5555";                //注册驱动                Class.forName("com.mysql.jdbc.Driver");                //获取毗连                Connection con = DriverManager.getConnection("jdbc:mysql://localhost:3306/day09_1","root","123");                //创建preparedStatement对象                //要让sql语句举行预编译,需要保证sql语句的完整。所以需要首先使用?来占位。                String sql = "select count(*) from user where username=? and password=?";                PreparedStatement ps = con.prepareStatement(sql);                //将用户填写的值填充到编译好的sql语句中                ps.setString(1, username);                ps.setString(2, password);                //执行sql语句                ResultSet rs = ps.executeQuery();                int count = 0;                while(rs.next()){                         count = rs.getInt(1);                }                if(count==1){                        System.out.println("登录乐成");                }else{                        System.out.println("登录不乐成");                }                rs.close();                ps.close();                con.close();        }
复制代码
PreparedStatement管理sql注入的原理
PreparedStatement 管理SQL注入原理,运行在SQL中参数以?占位符的方式表示
select * from user where username = ? and password = ? ;
将带有 ? 的SQL 发送给数据库完成编译 (不能执行的SQL 带有?的SQL 举行编译 叫做预编译),在SQL编译后发现缺少两个参数
PreparedStatement 可以将? 取代参数 发送给数据库服务器,因为SQL已经编译过,参数中特殊字符不会当做特殊字符编译,无法到达SQL注入的目标
** PreparedStatement优点**
相对于Statement对象而言:
1、PreperedStatement可以制止SQL注入的问题。
2、Statement对象每次执行SQL语句时,都会对其举行编译。当相同的SQL语句被执行被执行多次时,Statement对象就会使数据库频仍编译相同的SQL语句,从而低沉数据库的效率。
PreparedStatement对象可对SQL语句举行预编译。也就是说,当相同的SQL语句再次执行时,数据库只需使用缓冲区中的数据,而不需要对SQL语句在次编译,从而提高访问效率。
3、并且PreperedStatement对于sql中的参数,允许使用占位符的形式举行替换,简化sql语句的编写。可读性变强。

来源:https://blog.csdn.net/weixin_43548518/article/details/111959914
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则


专注素材教程免费分享
全国免费热线电话

18768367769

周一至周日9:00-23:00

反馈建议

27428564@qq.com 在线QQ咨询

扫描二维码关注我们

Powered by Discuz! X3.4© 2001-2013 Comsenz Inc.( 蜀ICP备2021001884号-1 )