1.概念:
- 利用sql语句的漏洞来对系统进行攻击,导致数据泄露
2.案例演示
数据库登录表:
模拟登录代码【输入正确的用户名和密码才能打印出用户信息】
public class SQL注入 {
public static void main(String[] args) {
login( " 'or '1=1", "123456'or '1=1");
//login("张三","123456");
//select * from login where name=' 'or '1=1' AND password ='123456'or '1=1'
}
//登录业务
public static void login(String username,String password){
Connection conn =null;
Statement stmt =null;
ResultSet rs =null;
try {
conn = JdbcUtils.getConnection();
stmt = conn.createStatement();
String sql = "select * from login where name='"+username+"' AND password ='"+password+"'";
//System.out.println(sql);
rs = stmt.executeQuery(sql);
while (rs.next()){
System.out.println(rs.getString("Name"));
System.out.println(rs.getString("password"));
}
} catch (SQLException e) {
e.printStackTrace();
}finally {
JdbcUtils.close(conn,stmt,rs);
}
}
}
-----------------------------------------------------------------------------------
login("张三","123456");展示结果:
张三
123456
和login( " 'or '1=1", "123456'or '1=1");展示结果:
张三
123456
李四
654321
3.SQL注入漏洞的原因
-
使用Statement对象执行SQL时,如果SQL中拼接的变量包含了SQL关键字,那么就会出现SQL注入漏洞
-
如;上面的登录案例
login( ” ‘or ‘1=1″, “123456’or ‘1=1”);
传入的参数进行后台的sql拼接时就会变成
select * from login where name=’ ‘or ‘1=1’ AND password =’123456’or ‘1=1’
,则导致输入不正确的参数,所有信息都被打印出来
4.SQL注入漏洞的解决办法
-
使用PreparedStatement对象代替Statement对象执行SQL,该对象可以预编译SQL语句,固定SQL的格式和关键字,用?占位符表示传递的数据,后期设置数据即可
【PreparedStatement为Statement的子类】 -
PreparedStatement的使用
【第一步】:使用Connection对象获取PreparedStatement对象预编译sql
【第二步】:如果SQL中有几个?占位符,那么就设置几个参数。
【第三步】:调用executeQuery()或者executeUpdate()方法执行SQL,但是不用再传递SQL。
//3 创建执行SQL的对象
pstmt = connection.prepareStatement("insert into student values(null,?,?,?)");
//有几个?就设置几个参数
pstmt.setString(1,stu.getName());
pstmt.setInt(2,stu.getAge());
pstmt.setString(3,stu.getBirthday());
//4 执行SQL得到结果
count= pstmt.executeUpdate();
版权声明:本文为m0_47649585原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。