JDBC-sql注入攻击

Posted ALMOST_MUJIN

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了JDBC-sql注入攻击相关的知识,希望对你有一定的参考价值。

10 SQL注入攻击


-- 早年登录逻辑,就是把用户在表单中输入的用户名和密码 带入如下sql语句. 如果查询出结果,那么 认为登录成功.

SELECT * FROM USER WHERE NAME=‘‘ AND PASSWORD=‘xxx‘;

-- sql注入: 请尝试以下 用户名和密码.

/* 用户名:
密码: xxx
*/
-- 将用户名和密码带入sql语句, 如下:

SELECT * FROM USER WHERE NAME=‘xxx‘ OR 1=1 -- ‘ and password=‘xxx‘;

-- 发现sql语句失去了判断效果,条件部分成为了恒等式.
-- 导致网站可以被非法登录, 以上问题就是sql注入的问题.
//-------------------------------------------------------------------------------------------
思考会出现什么问题?
将用户名密码带入sql语句,发现sql语句变成了如下形式:
SELECT * FROM t_student WHERE NAME=‘abcd‘OR 1=1;-- ‘ AND PASSWORD=‘1234‘;
该sql语句就是一个 恒等条件.所以 一定会查询出记录. 造成匿名登陆.有安全隐患

如上问题,是如何解决呢?
1>解决办法:在运送sql时,我们使用的是Statement对象. 如果换成prepareStatement对象,那么就不会出现该问题.
2>sql语句不要再直接拼写.而要采用预编译的方式来做.
完成如上两步.即可解决问题.
*为什么使用PrepareStatement对象能解决问题?
sql的执行需要编译. 注入问题之所以出现,是因为用户填写 sql语句 参与了编译. 使用PrepareStatement对象
在执行sql语句时,会分为两步. 第一步将sql语句 "运送" 到mysql上编译. 再回到 java端 拿到参数 运送到mysql端.
用户填写的 sql语句,就不会参与编译. 只会当做参数来看. 避免了sql注入问题;
PrepareStatement 在执行 母句相同, 参数不同的 批量执行时. 因为只会编译一次.节省了大量编译时间.效率会高.

-----------------------------------------------
使用PrepareStatement对象 与 Statement对象的区别

1.Statement 可以先行创建, 然后将sql语句写入.
PrepareStatement 在创建时一定要传入 sql语句, 因为它要先运送到数据库执行预编译

api:
PreparedStatement pst = conn.prepareStatement(sql);

2. PrepareStatement 在执行之前 先要设置 语句中的参数.

api:
pst.setString(1, name); -- set方法的调用要看 参数的类型.

char/varchar setString
int setInt
double setDouble
datatime/timestamp setDate
3. Statement对象在真正执行时 传入sql语句
PrepareStatement 在执行之前已经 设置好了 sql语句 以及对应参数. 执行方法不需要参数

api:
ResultSet rs = pst.executeQuery();

以上是关于JDBC-sql注入攻击的主要内容,如果未能解决你的问题,请参考以下文章

常见sql注入的类型

注射式攻击的注入攻击的使用:

SQL注入攻击与防范

如何利用sql注入攻击删除文件

如何防止代码注入攻击在PHP

web前端怎么防止代码注入攻击