热门标签
热门文章
- 1搜索组件--列表组件--分页组件_搜索目录中组件
- 2python有什么优势-python有什么优势
- 3新支点操作系统linux内核版本,新支点操作系统入围
- 4【chromedriver】117,118,119等版本下载_chromedriver 119下载
- 5优秀项目经理的能力模型_项目经理技能矩阵
- 6解决Gitee或者Github出现Access denied fatal: unable to access,The requested URL returned error: 403
- 7java 本地验证失败,“验证失败"在Java 1.4.2的jsch-0.1.42中
- 8C# 微软官方学习文档_c#学习文档
- 9测试工程师简历编写攻略:打造高点击率的简历!_测试工程师项目个人亮点
- 10我该何去何从!从美团离职,面试多家大厂Java后端岗总结出心酸面经和核心面试题。(含答案)
当前位置: article > 正文
MySQL数据库干货_29——SQL注入_mysql sql注入执行命令
作者:知新_RL | 2024-05-30 01:20:05
赞
踩
mysql sql注入执行命令
SQL注入
什么是SQL注入
所谓 SQL 注入,就是通过把含有 SQL 语句片段的参数插入到需要执行的 SQL 语句中,最终达到欺骗数据库服务器执行恶意操作的 SQL 命令。
SQL注入案例
/** * SQL注入测试类 */ public class SqlInjectTest { /** * 体现sql注入 */ public void sqlInject(String username,int userage){ Connection connection =null; Statement statement =null; ResultSet resultSet =null; try{ //获取连接 connection = JdbcUtils.getConnection(); //创建Statement对象 statement = connection.createStatement(); //定义sql语句 String sql ="select * from users where username ='"+username+"' and userage = "+userage; System.out.println(sql); //执行sql语句 resultSet = statement.executeQuery(sql); //处理结果集 while(resultSet.next()){ int userid = resultSet.getInt("userid"); String name = resultSet.getString("username"); int age = resultSet.getInt("userage"); System.out.println(userid+" "+name+" "+age); } }catch(Exception e){ e.printStackTrace(); }finally{ JdbcUtils.closeResource(resultSet,statement,connection); } } public static void main(String[] args) { SqlInjectTest sit = new SqlInjectTest(); sit.sqlInject("java' or 1=1 -- ",28); } }
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
- 32
- 33
- 34
- 35
- 36
- 37
- 38
- 39
- 40
- 41
- 42
解决SQL注入
public void noSqlInject(String username,int userage){ Connection connection = null; PreparedStatement ps =null; ResultSet resultSet = null; try{ //获取连接 connection = JdbcUtils.getConnection(); //创建PreparedStatement对象 ps = connection.prepareStatement("select * from users where username = ? and userage = ?"); //绑定参数 ps.setString(1,username); ps.setInt(2,userage); //执行sql resultSet = ps.executeQuery(); //处理结果集 while(resultSet.next()){ int userid = resultSet.getInt("userid"); String name = resultSet.getString("username"); int age = resultSet.getInt("userage"); System.out.println(userid+" "+name+" "+age); } }catch(Exception e){ e.printStackTrace(); }finally{ JdbcUtils.closeResource(resultSet,ps,connection); } }
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
- 32
- 33
- 34
PreparedStatement操作数据库时是语句和参数分离的发送给数据库驱动进行编译的(这句话很关键,面试中很有可能会提及!大家自行理解)
声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/知新_RL/article/detail/644724
推荐阅读
相关标签
