MySQL专题九：SQL注入问题

时间：2020-06-23 23:59:26 阅读：122 评论：0 收藏：0 [点我收藏+]

MySQL专题九：SQL注入问题

MySQL专题九：SQL注入问题
- 9.1. 注入问题示例
- 9.2. 解决方法

9.1. 注入问题示例

删除整个表
在用户填写表单时，password字段的值为‘0000‘; DROP TABLE USERS，字符串拼接后就会出现下面语句，导致整张表被删除

SELECT * FROM USERS WHERE username= ‘user1‘ AND password=‘0000‘; DROP TABLE USERS;

绕过密码登录
在用户填写表单时，password字段的值为‘0000‘ OR 0=0，字符串拼接后就会出现下面语句，导致user没有输入正确密码也可以直接出查询用户

SELECT * FROM USERS WHERE username= ‘user1‘ AND password=‘0000‘ OR 0=0;

9.2. 解决方法

使用预编译的sql语句，如下：

String sql = ‘SELECT * FROM USERS WHERE username=? AND password=?‘;
PreparedStatement pst = conn.prepareStatement(sql);
pst.setString(1,user.getUserName());
pst.setString(2,user.getPassWord());

为每个？赋值，在JDBC中对应的就是PreparedStatement，可参考JDBC

MySQL专题九：SQL注入问题

原文：https://www.cnblogs.com/myibu/p/13185308.html

踩

(0)

评论一句话评论（0）

分享档案

更多>

2021年09月23日 (328)
2021年09月24日 (313)
2021年09月17日 (191)
2021年09月15日 (369)
2021年09月16日 (411)
2021年09月13日 (439)
2021年09月11日 (398)
2021年09月12日 (393)
2021年09月10日 (160)
2021年09月08日 (222)