Java学习 - MySQL安全(防注入)

SQL注入

  • SQL注入是什么

    mysql 复制代码
    网络上存在场景:用户填写表单或url,发送查询给服务端,服务端根据用户传入的数据,执行SQL代码 
    
    SQL注入:用户故意传入恶意数据,使服务端执行恶意代码
  • SQL注入例子

    mysql 复制代码
    有后端代码
    
    SELECT COUNT(*)
    FROM Login
    WHERE user_name=`'` + userName + `'` AND password=`'` + password + `'`;
    
    其中userName和password为用户填写的数据
    
    如果用户传入
    账号:admin';-
    密码:随便
    
    则SQL语句拼接后为
    SELECT COUNT(*)
    FROM Login
    WHERE user_name='admin';-'` AND password=`'` + password + `'`;
    
    则后面密码验证部分被成为注释的一部分,即只要有这个用户名,就算查询成功,而不需要检验密码
  • 防止SQL注入方法

    • 避免SQL语句用拼接实现
相关推荐
minglie110 小时前
高等代数试题
学习
黒亱中旳11 小时前
Java AI 框架三国杀:Solon AI vs Spring AI vs LangChain4j 深度对比
java·人工智能·spring
网络工程小王11 小时前
[智能对话系统架构设计文档]
java·系统架构·langraph
alxraves11 小时前
医用超声远程会诊系统:会诊平台的核心架构与功能解析
java·人工智能·架构
带刺的坐椅11 小时前
用 Solon AI ReActAgent 落地智能客服工单处理
java·ai·llm·agent·solon·react-agent
Xiaofeng369311 小时前
GPT-5.6 发布后,我用了一个周末重新规划学习路线图
gpt·学习
我是坏垠12 小时前
Crypto、Cipher与Password:Java加密开发的三个核心概念
java·开发语言·python
white_ant12 小时前
JDK LTS 版本升级迁移注意事项大全
java·开发语言
其实防守也摸鱼12 小时前
运维--怎么看接口的请求和返回
运维·学习·网络安全·网络攻击模型·burpsuite·攻防对抗·蓝队
酷讯网络_24087016013 小时前
区块粮仓宠物NFT源码区块狗/抢购转让预约区块投资理财系统
学习·开源·宠物