sql注入

Posted 疯子姓张

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了sql注入相关的知识,希望对你有一定的参考价值。

sql注入的前提是采用的动态拼接(字符串拼接)的的方式:

如下:"select * from user where userName=’” + userName + ”’ and password = ‘”+password”’

--------------------


张三  123456

select * from user where userName=‘张三‘ and password=‘123456‘


---------------------

‘张三‘; --

select * from  user where userName=‘张三‘;--‘and password=‘123456‘

不需要密码也能登录了。

-------------
    
解决方案:使用preparedStatement的参数化sql,通过先确定语义,再传入参数,就不会因为传入的参数改变sql的语义。
(通过setInt,setString,setBoolean传入参数)

 //建立数据连接
            conn=ds.getConnection();
            //1.设置prepareStatement带占位符的sql语句
            PreparedStatement ptmt = conn.prepareStatement("select * from user where userName = ? and password = ?");
            ptmt.setString(1, "张三");      //2.设置参数
            ptmt.setString(2, "123456");
            rs=ptmt.executeQuery();     

            while(rs.next()){
                System.out.println("登陆成功");
                return;
            }
            System.out.println("登陆失败");

关键点:占位符、数据类型控制
    

摘抄自:
https://blog.csdn.net/qq_30258957/article/details/78145885  



以上是关于sql注入的主要内容,如果未能解决你的问题,请参考以下文章

sql 注入是啥?

什么叫sql注入,如何防止sql注入

关于SQL注入

Java安全-注入漏洞(SQL注入命令注入表达式注入模板注入)

sql注入一

什么是sql注入如何防止sql注入