当前位置:首页 > 开发 > 数据库 > 正文

SQL注入介绍

发表于: 2012-03-20   作者:aijuans   来源:转载   浏览:
摘要: 二、SQL注入范例 这里我们根据用户登录页面 <form action="" > 用户名:<input type="text" name="username"><br/> 密 码:<input type="password" name="passwor

二、SQL注入范例


这里我们根据用户登录页面


预先创建一个表:



一般查询数据库的代码如下:


但是这里username=xiazdong,password=12345,

因此此处的SQL语句为:



如果我们把username和password的值变为:

username=' OR 1=1 --
password=x

会变成一个很可怕的情况:将把数据库中所有用户都列出来,为什么呢?

因为SQL语句现在为:

SELECT id FROM user_table WHERE username='' OR 1=1 -- ' AND password='12345';


因为--表示SQL注释,因此后面语句忽略;

因为1=1恒成立,因此 username='' OR 1=1 恒成立,因此SQL语句等同于:


很奇妙吧....


三、解决方法


其实解决方法很简单,就是使用PreparedStatement即可;


SQL注入介绍

  • 0

    开心

    开心

  • 0

    板砖

    板砖

  • 0

    感动

    感动

  • 0

    有用

    有用

  • 0

    疑问

    疑问

  • 0

    难过

    难过

  • 0

    无聊

    无聊

  • 0

    震惊

    震惊

编辑推荐
对web安全方面的知识非常薄弱,这篇文章把Xss跨站攻击和sql注入的相关知识整理了下,希望大家多多提
原文地址:http://www.cnblogs.com/rush/archive/2011/12/31/2309203.html 1.1.1 摘要 日前,国内最
当你在登陆学生管理系统的时候,添加的用户名若和你数据库中的数据不符时,就会弹出一个窗体,告诉
SQL注入攻防入门详解 =============安全性篇目录============== 毕业开始从事winfrm到今年转到 web
一、Spring注入基础 Spring为我们提供了丰富的注入方式,本文将逐一介绍。 (1)开篇准备 开篇我们
一、SQL注入介绍 SQL注入就是将原本的SQL语句的逻辑结构改变,使得SQL语句的执行结果和原本开发者的
原文: 深入浅出SQL注入 之前在做学生信息管理系统和机房收费系统的时候,对于SQL注入的问题已经是司空
今天在这里给大家分享的一个话题是SQL注入攻击 实际上是分享五快内容: 1,什么是SQL注入攻击 2,SQ
血腥!实况转播SQL注入全过程,让你知道危害有多大。 前阵子发现公司的网站有SQL注入漏洞,向项目经
日前,国内最大的程序员社区CSDN网站的用户数据库被黑客公开发布,600万用户的登录名及密码被公开泄
版权所有 IT知识库 CopyRight © 2009-2015 IT知识库 IT610.com , All Rights Reserved. 京ICP备09083238号