Java学习 - MySQL安全(防注入)

SQL注入

  • SQL注入是什么

    mysql 复制代码
    网络上存在场景:用户填写表单或url,发送查询给服务端,服务端根据用户传入的数据,执行SQL代码 
    
    SQL注入:用户故意传入恶意数据,使服务端执行恶意代码
  • SQL注入例子

    mysql 复制代码
    有后端代码
    
    SELECT COUNT(*)
    FROM Login
    WHERE user_name=`'` + userName + `'` AND password=`'` + password + `'`;
    
    其中userName和password为用户填写的数据
    
    如果用户传入
    账号:admin';-
    密码:随便
    
    则SQL语句拼接后为
    SELECT COUNT(*)
    FROM Login
    WHERE user_name='admin';-'` AND password=`'` + password + `'`;
    
    则后面密码验证部分被成为注释的一部分,即只要有这个用户名,就算查询成功,而不需要检验密码
  • 防止SQL注入方法

    • 避免SQL语句用拼接实现
相关推荐
码不停蹄的玄黓10 分钟前
MySQL分布式ID冲突详解:场景、原因与解决方案
数据库·分布式·mysql·id冲突
wei_shuo16 分钟前
飞算 JavaAI 开发助手:深度学习驱动下的 Java 全链路智能开发新范式
java·开发语言·飞算javaai
欧阳秦穆38 分钟前
apoc-5.24.0-extended.jar 和 apoc-4.4.0.36-all.jar 啥区别
java·jar
岁忧1 小时前
(LeetCode 面试经典 150 题 ) 58. 最后一个单词的长度 (字符串)
java·c++·算法·leetcode·面试·go
Java初学者小白1 小时前
秋招Day14 - Redis - 应用
java·数据库·redis·缓存
代码老y1 小时前
Spring Boot + 本地部署大模型实现:优化与性能提升
java·spring boot·后端
GodKeyNet1 小时前
设计模式-桥接模式
java·设计模式·桥接模式
许白掰1 小时前
【stm32】HAL库开发——CubeMX配置RTC,单片机工作模式和看门狗
stm32·单片机·嵌入式硬件·学习·实时音视频
帧栈1 小时前
mysql基础(一)快速上手篇
mysql
future14122 小时前
C#学习日记
开发语言·学习·c#