2. 程式人生 > >MYSQL—— SQL 注入式錯誤

MYSQL—— SQL 注入式錯誤

阿新 發佈:2018-11-23

sql注入式錯誤(SQL injection)

SQL Injection 就是利用某些資料庫的外部介面將使用者資料插入到實際的資料庫操作語言(SQL)當中,從而達到入侵資料庫乃至作業系統的目的。它的產生主要是由於程式對使用者輸入的資料沒有進行嚴格的過濾,導致非法資料庫查詢語句的執行。
《深入淺出 MySQL》

危害
攻擊者利用它來讀取、修改或者刪除資料庫內的資料,獲得資料庫中使用者資料和密碼等資訊,更嚴重的就是獲得管理員的許可權。

例子

 //注入式錯誤
    public static void test3(String name,String passward){
        Connection connection = null;
        Statement st = null;
        ResultSet rs = null;
        try {
            // 載入JDBC 驅動
            Class.forName("com.mysql.jdbc.Driver");
            // 獲得JDBC 連線
            String url = "jdbc:mysql://localhost:3306/tulun";
            connection = DriverManager.getConnection(url,"root","123456");
            //建立一個查詢語句
            st = connection.createStatement();
            //sql語句
            String sql = "select * from student where name = '"+ name+"' and passward = '"+passward+"'";
            rs = st.executeQuery(sql);

            if(rs.next()){
                System.out.println("登入成功。");
            }else{
                System.out.println("登入失敗。");
            }

        } catch (Exception e) {
            e.printStackTrace();
        }
    }
    public static void main(String[] args) {
       
        test3("wjm3' or '1 = 1","151515");

    }

資料庫資訊
在這裡插入圖片描述
如上面的程式碼所示,使用者名稱為wjm3’ or '1 = 1,密碼為151515,從資料庫中可以看出我們沒有這樣的使用者,本來應該顯示登入失敗,但是結果卻是登陸成功,因為or '1 = 1 已經不是使用者名稱裡面的內容了,它現在為SQL 語句裡面的內容,不論如何,結果都為true,等於不用輸密碼都可以登入。這裡就產生了安全問題。

解決方法

1. PrepareStatement

 //注入式錯誤
    public static void test3(String name,String passward){
        Connection connection = null;
        PreparedStatement st = null;
        ResultSet rs = null;
        try {
            // 載入JDBC 驅動
            Class.forName("com.mysql.jdbc.Driver");
            // 獲得JDBC 連線
            String url = "jdbc:mysql://localhost:3306/tulun";
            connection = DriverManager.getConnection(url,"root","123456");
            //建立一個查詢語句
            String sql1 =  "select * from student where name = ? and passward = ?";
            st = connection.prepareStatement(sql1);
           st.setString(1,name);
           st.setString(2,passward);
            //sql語句
            //String sql = "select * from student where name = '"+ name+"' and passward = '"+passward+"'";
            rs = st.executeQuery();

            if(rs.next()){
                System.out.println("登入成功。");
            }else{
                System.out.println("登入失敗。");
            }

        } catch (Exception e) {
            e.printStackTrace();
        }finally{
            try {
                connection.close();
                st.close();
                rs.close();
            } catch (SQLException e) {
                e.printStackTrace();
            }
        }
    }
     public static void main(String[] args) {
        test3("wjm3' or '1 = 1","151515");
    }

上面這個程式碼不管name 引數是什麼,它都只是name 引數,不會作為sql語句的一部分來執行,一般來說推薦這個方法,比較安全。
2.自己定義函式進行校驗

  • 整理資料使之變得有效
  • 拒絕已知的非法輸入
  • 只接受已知的合法輸入

所以如果想要獲得最好的安全狀態,目前最好的解決辦法就是對使用者提交或者可能改變的資料進行簡單分類,分別應用正則表示式來對使用者提供的輸入資料進行嚴格的檢測和驗證。
其實只需要過濾非法的符號組合就可以阻止已知形式的攻擊,並且如果發現更新的攻擊符號組合,也可以將這些符號組合增添進來,繼續防範新的攻擊。特別是空格符號和其產生相同作用的分隔關鍵字的符號,例如“/**/”,如果能成功過濾這種符號,那麼有很多注入攻擊將不能發生,並且同時也要過濾它們的十六進位制表示“%XX”。

相關推薦

MYSQL—— SQL 注入式錯誤

sql注入式錯誤(SQL injection) SQL Injection 就是利用某些資料庫的外部介面將使用者資料插入到實際的資料庫操作語言(SQL)當中,從而達到入侵資料庫乃至作業系統的目的。它的產生主要是由於程式對使用者輸入的資料沒有進行嚴格的過濾,導致非法資料庫查詢語句的

Linux 部署 Mysql sql 語句錯誤解決

如果你選擇了COUNT()列,GROUP BY 子句應存在相同名稱的列。否則,將發生一下錯誤: 如果 ONLY_FULL_GROUP_BY 啟用SQL模式,會發生一個錯誤: mysql>

http://www.w3school.com.cn/sql MYSQL中的錯誤

1、今天試了一下w3school中的這種用法,但執行時卻報這個錯誤   經過查詢相關資料才瞭解到mysql不支援select * into from這種格式。但是可以通過另一種方法解決這個問題。 Create table Table2 (Select * from Tab

MySQL匯入sql指令碼錯誤:2006

到如一些小指令碼很少報錯,但最近匯入一個10+M的SQL指令碼,卻重複報錯: Error occured at:2014-03-24 11:42:24 Line no.:85 Error Code: 2006 - MySQL server has gone away 最終找到原因,原來是MyS

在查MySQL 1366的錯誤原因

tex gb2 語句 錯誤 sql varchar target 是否 pan 在查MySQL 1366的錯誤原因時,發現一些有趣的回答。不過,還是有人給出了比較好的解決方法 MySQL 1366錯誤大致描述如下 1. SQL Error: 1366: I

mysql】service mysql start出錯,mysql啟動不了,解決mysql: unrecognized service錯誤

開機 init.d starting 設置 tin 執行 rest root lan service MySQL start出錯,mysql啟動不了,解決mysql: unrecognized service錯誤的方法如下: [[email protected]/

mysql sql優化

ner jdbc連接 htm database 提升 第一個 記錄 blog bat 記錄一些經驗,主要是結論。建檢索等就不寫了,地球人都知道。 1. 對比2個join select * from (select * from A where age > 10

mysql初始化錯誤【一】Can't find error-message file '/usr/local/mysql/errmsg.sys'

mysql初始化環境:CentOS 7.2 MySQL 5.7.18 從mysql官方網站下載rpm包到服務器本地,依次安裝下面的RPM包: mysql-community-common-5.7.18-1.el7.x86_64.rpm mysql-community-serve

MS SQL 監控錯誤日誌的告警信息

密碼 如果 reason width exists 依次 介紹 win 作用 SQL Server的錯誤消息(Error Message)按照消息的嚴重級別一共劃分25個等級,級別越高,表示嚴重性也越高。但是如果你統計sys.messages,你會發現,實際上只有1

mysql SQL

change region uniq sch tab move iso null column ---恢復內容開始--- 顯示所有字段名 select COLUMN_NAME,COLUMN_COMMENT from information_schema.COLUMNS wh

如何快速解決MySQL 1032 主從錯誤

data tex pda test 報錯 show pos replicat 0 rows 3分鐘解決MySQL 1032主從錯誤 Part1:寫在最前1032錯誤----現在生產庫中好多數據,在從庫誤刪了,生產庫更新後找不到了,現在主從不同步了,再跳過錯誤也沒用,因為沒這

MySQL sql語句執行順序

left join left 笛卡爾積 ner 別名 join 例如 結果 detail sql語句select語句查詢順序 (7) SELECT (8) DISTINCT <select_list> (1) FROM <

Starting MySQL....The server quit without updating PID file[失敗]/lib/mysql/ip12189.pid). 錯誤一例

bold title lan char .net 失敗 etc nbsp 啟動會 [[email protected]/* */ etc]# service mysqld startStarting MySQL....The server quit withou

MySQL中的錯誤及解決方法

chan col pan sql命令 sharp arp 自己的 class word 1. 修改密碼提示 ERROR 1054 (42S22): Unknown column ‘‘password‘‘ in ‘‘field list‘‘ 錯誤原因:mysql數據庫下已

CentOS 安裝MySQL(rpm)提示錯誤Header V3 DSA/SHA1 Signature

rep rpm安裝 eps 摘要 lib pmt 開始 如果 mysql 提示錯誤:Header V3 DSA/SHA1 Signature, key ID 5072e1f5: NOKEY error: Failed dependencies 錯誤原因:這是由於yum安裝了

MySQL SQL語句

select sqli chan ima col 列名 一個表 base mongo 關系數據庫: MySql ,Oracle, sql server , db2 ,sqlite,非關系數據庫: redis mongodb SQL語句:結構化語句 規範:   1

MySQL SQL Injection Cheat Sheet

index rem not passwd tinc comm cas ret loading MySQL SQL Injection Cheat Sheet Some useful syntax reminders for SQL Injection into MySQ

net start mysql 發生系統錯誤 5。 拒絕訪問。

net start mysql 發生系統錯誤 5。 拒絕訪問。 昨天在Windows 安裝的mysql-5.7.19 後,今天想重啟一下系統,所以想先關閉mysql在重啟主機結果在cmd裏面關閉的時候報這個錯>net start mysql發生系統錯誤 5。拒絕訪問。後來發現權限不對,在cmd裏

mysql報1236錯誤解決方法

mysql主從復制 mysql主從同步 mysql slave狀態如下,發現IO線程為NO狀態,並且報1236錯誤代碼mysql> show slave status\G *************************** 1. row ***************************

mysql鏈接錯誤:2003 can't connect to mysql server on 10038

option tcp/ip connect ons default 文件 port utf tcp 出現這個錯誤原因是端口號不是3306。 打開D:\Program Files\MySQL\MySQL Server 5.5 \my.ini文件,當然還有其他的.ini的文件