Java学习 - MySQL安全(防注入)

SQL注入

  • SQL注入是什么

    mysql 复制代码
    网络上存在场景:用户填写表单或url,发送查询给服务端,服务端根据用户传入的数据,执行SQL代码 
    
    SQL注入:用户故意传入恶意数据,使服务端执行恶意代码
  • SQL注入例子

    mysql 复制代码
    有后端代码
    
    SELECT COUNT(*)
    FROM Login
    WHERE user_name=`'` + userName + `'` AND password=`'` + password + `'`;
    
    其中userName和password为用户填写的数据
    
    如果用户传入
    账号:admin';-
    密码:随便
    
    则SQL语句拼接后为
    SELECT COUNT(*)
    FROM Login
    WHERE user_name='admin';-'` AND password=`'` + password + `'`;
    
    则后面密码验证部分被成为注释的一部分,即只要有这个用户名,就算查询成功,而不需要检验密码
  • 防止SQL注入方法

    • 避免SQL语句用拼接实现
相关推荐
认真的酒窝9 小时前
自己动手开发编译器(十一)语义分析
java·开发语言
白帽小丑9 小时前
# 一次 MySQL DELETE 误操作的数据恢复尝试实录
数据库·mysql
Dxy123931021610 小时前
MySQL索引完整教程:创建、查看、修改、删除与日常管理
前端·javascript·mysql
wbs_scy10 小时前
Linux C++ 高并发编程:线程池全链路深度解析,从原理到手撕实现
java·开发语言
JAVA面经实录91710 小时前
Linux 常用命令完整知识体系
java·linux·开发语言·汇编
Full Stack Developme12 小时前
Java LRU 与 LFU 算法及应用
java·开发语言·算法
至乐活着12 小时前
MySQL索引底层原理与查询优化实战:从B+树到执行计划
mysql·b+树·查询优化·sql性能·索引原理
茯苓gao13 小时前
嵌入式开发笔记:CANopen相关移位运算与通信协议术语详解
网络·嵌入式硬件·学习·信息与通信
程序员老油条14 小时前
WSL2 + Docker Desktop:Windows 下的完美 Java 开发环境
java·windows·docker·wsl2
shushangyun_15 小时前
2026智能采购商城系统选型指南:如何引领企业数字化采购升级
java·大数据·数据库·人工智能·机器学习