JDBC的SQL注入漏洞

举报
兮动人 发表于 2021/10/24 17:54:29 2021/10/24
【摘要】 JDBC的SQL注入漏洞

1.1 JDBC的SQL注入漏洞

1.1.1 什么是SQL注入漏洞

在早期互联网上SQL注入漏洞普遍存在。有一个网站,用户需要进行注册,用户注册以后根据用户名和密码完成登录。假设现在用户名已经被其他人知道了,但是其他人不知道你的密码,也可以登录到网站上进行相应的操作。

1.1.2 演示SQL注入漏洞

1.1.2.1 基本登录功能实现

package com.xdr630.jdbc.demo4;

import java.sql.Connection;
import java.sql.ResultSet;
import java.sql.Statement;

import com.xdr630.jdbc.utils.JDBCUtils;

public class UserDao {
	/**
	 * 完成用户登录的方法:解决SQL注入漏洞
	 * @param username
	 * @param password
	 * @return
	 */
public boolean login(String username,String password){
		
		Connection conn = null;
		Statement stmt = null;
		ResultSet rs = null;
		// 定义一个变量:
		boolean flag = false;
		try{
			// 获得连接:
			conn = JDBCUtils.getConnection();
			// 完成登录功能:
			// 创建执行SQL语句的对象:
			stmt = conn.createStatement();
			// 编写SQL语句:
			String sql = "select * from user where username = '"+username+"' and password = '"+password+"'";
			// 执行SQL:
			rs = stmt.executeQuery(sql);
			if(rs.next()){
				// 说明根据用户名和密码可以查询到这条记录
				flag = true;
			}
		}catch(Exception e){
			e.printStackTrace();
		}finally{
			JDBCUtils.release(rs, stmt, conn);
		}
		return flag;
	}

}

1.1.2.2 演示SQL注入漏洞

输入用户名
aaa’ or ‘1=1 密码随意
aaa’ --      密码随意
  • 已知表数据:
    在这里插入图片描述
package com.xdr630.jdbc.demo4;

import org.junit.Test;
	
/**
 * SQL注入的漏洞
 * @author xdr
 *
 */
public class JDBCDemo4 {
	
	@Test
	/**
	 * SQL注入漏洞演示
	 */
	public void demo1() {
		UserDao userDao = new UserDao();
//		boolean flag = userDao.login("aaa' or '1=1", "12345678");
		boolean flag = userDao.login("aaa' -- ","asdfgh");
		if(flag) {
			System.out.println("登录成功!");
		}
		else {
			System.out.println("登录失败!");
		}
	}
}

  • 控制台输出:
    在这里插入图片描述
【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。