zoukankan      html  css  js  c++  java
  • Java防止SQL注入

    SQL 注入简介:          SQL注入是最常见的攻击方式之一,它不是利用操作系统或其它系统的漏洞来实现攻击的,而是程序员因为没有做好判断,被不法

    用户钻了SQL的空子,下面我们先来看下什么是SQL注入:

            比如在一个登陆界面,要求用户输入用户名和密码:

            用户名:     ' or 1=1 --  

            密     码:  

            点登陆,如若没有做特殊处理,而只是一条带条件的查询语句如:

            String sql="select * from users where username='"+userName+"' and password='"+password+"' "

            那么这个非法用户就很得意的登陆进去了.(当然现在的有些语言的数据库API已经处理了这些问题)

            这是为什么呢?我们来看看这条语句,将用户输入的数据替换后得到这样一条语句:

            select * from users where username='' or 1=1 --' and password=''

            为了更明白些,可以将其复制到SQL分析器中,将会发现,这条语句会将数据库的数据全部读出来,为什么呢?

            很简单,看到条件后面 username='' or 1=1 用户名等于 '' 或 1=1 那么这个条件一定会成功,然后后面加两个-,这意味着

    什么?没错,注释,它将后面的语句注释,让他们不起作用,这样就可以顺利的把数据库中的数据读取出来了。

            这还是比较温柔的,如果是执行          select * from users where username='' ;DROP Database    (DB Name) --' and password=''

            .......其他的您可以自己想象。。。

    那么我们怎么来处理这种情况呢?下面我以java为列给大家两种简单的方法:

     
  • 相关阅读:
    vue 倒计时返回首页
    vue2借助animate.css实现路由动画效果
    CSS3实现文本垂直排列
    button在点击时出现边框
    vue项目中设置背景图片
    Python -处理PDF
    Python学习笔记(1)-列表
    转:Redis 的安装配置介绍
    转:windows xp下如何安装SQL server2000企业版
    转:CodeCube提供可共享、可运行的代码示例
  • 原文地址:https://www.cnblogs.com/tbyang/p/3363333.html
Copyright © 2011-2022 走看看