共计 2363 个字符,预计需要花费 6 分钟才能阅读完成。
自动写代码机器人,免费开通
丸趣 TV 小编给大家分享一下 mysql 语句的注入错误指的是什么,希望大家阅读完这篇文章后大所收获,下面让我们一起去探讨吧!
mysql 语句的注入式错误就是利用某些数据库的外部接口将用户数据插入到实际的 SQL 语言当中,从而达到入侵数据库乃至操作系统的目的。攻击者利用它来读取、修改或者删除数据库内的数据,获得数据库中用户资料和密码等信息,更严重会获得管理员的权限。
sql 注入式错误 (SQL injection)
SQL Injection 就是利用某些数据库的外部接口将用户数据插入到实际的数据库操作语言(SQL)当中,从而达到入侵数据库乃至操作系统的目的。它的产生主要是由于程序对用户输入的数据没有进行严格的过滤,导致非法数据库查询语句的执行。
《深入浅出 MySQL》
危害
攻击者利用它来读取、修改或者删除数据库内的数据,获得数据库中用户资料和密码等信息,更严重的就是获得管理员的权限。
例子
// 注入式错误
public static void test3(String name,String passward){
Connection connection = null;
Statement st = null;
ResultSet rs = null;
try {
// 加载 JDBC 驱动
Class.forName( com.mysql.jdbc.Driver
// 获得 JDBC 连接
String url = jdbc:mysql://localhost:3306/tulun
connection = DriverManager.getConnection(url, root , 123456
// 创建一个查询语句
st = connection.createStatement();
//sql 语句
String sql = select * from student where name = + name+ and passward = +passward+
rs = st.executeQuery(sql);
if(rs.next()){System.out.println( 登录成功。}else{System.out.println( 登录失败。} catch (Exception e) {e.printStackTrace();
public static void main(String[] args) {test3( wjm3 or 1 = 1 , 151515} 数据库信息 
如上面的代码所示,用户名为 wjm3’or 1 = 1,密码为 151515,从数据库中可以看出我们没有这样的用户,本来应该显示登录失败,但是结果却是登陆成功,因为 or 1 = 1 已经不是用户名里面的内容了,它现在为 SQL 语句里面的内容,不论如何,结果都为 true, 等于不用输密码都可以登录。这里就产生了安全问题。
解决方法
1. PrepareStatement
// 注入式错误
public static void test3(String name,String passward){
Connection connection = null;
PreparedStatement st = null;
ResultSet rs = null;
try {
// 加载 JDBC 驱动
Class.forName( com.mysql.jdbc.Driver
// 获得 JDBC 连接
String url = jdbc:mysql://localhost:3306/tulun
connection = DriverManager.getConnection(url, root , 123456
// 创建一个查询语句
String sql1 = select * from student where name = ? and passward = ?
st = connection.prepareStatement(sql1);
st.setString(1,name);
st.setString(2,passward);
//sql 语句
//String sql = select * from student where name = + name+ and passward = +passward+
rs = st.executeQuery();
if(rs.next()){System.out.println( 登录成功。}else{System.out.println( 登录失败。} catch (Exception e) {e.printStackTrace();
}finally{
try {connection.close();
st.close();
rs.close();} catch (SQLException e) {e.printStackTrace();
public static void main(String[] args) {test3( wjm3 or 1 = 1 , 151515}
上面这个代码不管 name 参数是什么,它都只是 name 参数,不会作为 sql 语句的一部分来执行,一般来说推荐这个方法,比较安全。
2. 自己定义函数进行校验
整理数据使之变得有效拒绝已知的非法输入只接受已知的合法输入
所以如果想要获得最好的安全状态,目前最好的解决办法就是对用户提交或者可能改变的数据进行简单分类,分别应用正则表达式来对用户提供的输入数据进行严格的检测和验证。
其实只需要过滤非法的符号组合就可以阻止已知形式的攻击,并且如果发现更新的攻击符号组合,也可以将这些符号组合增添进来,继续防范新的攻击。特别是空格符号和其产生相同作用的分隔关键字的符号,例如“/**/”,如果能成功过滤这种符号,那么有很多注入攻击将不能发生,并且同时也要过滤它们的十六进制表示“%XX”。
看完了这篇文章,相信你对 mysql 语句的注入错误指的是什么有了一定的了解,想了解更多相关知识,欢迎关注丸趣 TV 行业资讯频道,感谢各位的阅读!
向 AI 问一下细节
丸趣 TV 网 – 提供最优质的资源集合!
