MySQL专题九:SQL注入问题

Posted 黄先生的日志

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了MySQL专题九:SQL注入问题相关的知识,希望对你有一定的参考价值。

mysql专题九:SQL注入问题

9.1. 注入问题示例

  • 删除整个表
    在用户填写表单时,password字段的值为\'0000\'; DROP TABLE USERS,字符串拼接后就会出现下面语句,导致整张表被删除
SELECT * FROM USERS WHERE username= \'user1\' AND password=\'0000\'; DROP TABLE USERS;
  • 绕过密码登录
    在用户填写表单时,password字段的值为\'0000\' OR 0=0,字符串拼接后就会出现下面语句,导致user没有输入正确密码也可以直接出查询用户
SELECT * FROM USERS WHERE username= \'user1\' AND password=\'0000\' OR 0=0;

9.2. 解决方法

使用预编译的sql语句,如下:

String sql = \'SELECT * FROM USERS WHERE username=? AND password=?\';
PreparedStatement pst = conn.prepareStatement(sql);
pst.setString(1,user.getUserName());
pst.setString(2,user.getPassWord());

为每个赋值,在JDBC中对应的就是PreparedStatement,可参考JDBC

以上是关于MySQL专题九:SQL注入问题的主要内容,如果未能解决你的问题,请参考以下文章