mysql語句的注入錯誤是什麼？-mysql教程-PHP中文網

sql注入式錯誤(SQL injection)

解決方法

首頁

資料庫

mysql教程

mysql語句的注入錯誤是什麼？

青灯夜游

Oct 20, 2020 pm 02:18 PM

mysql

mysql語句的注入式錯誤就是利用某些資料庫的外部介面將使用者資料插入到實際的SQL語言當中，從而達到入侵資料庫乃至作業系統的目的。攻擊者利用它來讀取、修改或刪除資料庫內的數據，獲得資料庫中使用者資料和密碼等信息，更嚴重會獲得管理員的權限。

mysql語句的注入錯誤是什麼？

（推薦教學：mysql影片教學）

sql注入式錯誤(SQL injection)

SQL Injection 是利用某些資料庫的外部介面將使用者資料插入到實際的資料庫操作語言（SQL）當中，從而達到入侵資料庫乃至作業系統的目的。它的產生主要是由於程式對使用者輸入的資料沒有進行嚴格的過濾，導致非法資料庫查詢語句的執行。
《深入淺出MySQL》

危害
攻擊者利用它來讀取、修改或刪除資料庫內的數據，取得資料庫中使用者資料和密碼等訊息，更嚴重的就是獲得管理員的權限。

範例

 //注入式错误
    public static void test3(String name,String passward){
        Connection connection = null;
        Statement st = null;
        ResultSet rs = null;
        try {
            // 加载JDBC 驱动
            Class.forName("com.mysql.jdbc.Driver");
            // 获得JDBC 连接
            String url = "jdbc:mysql://localhost:3306/tulun";
            connection = DriverManager.getConnection(url,"root","123456");
            //创建一个查询语句
            st = connection.createStatement();
            //sql语句
            String sql = "select * from student where name = '"+ name+"' and passward = '"+passward+"'";
            rs = st.executeQuery(sql);

            if(rs.next()){
                System.out.println("登录成功。");
            }else{
                System.out.println("登录失败。");
            }

        } catch (Exception e) {
            e.printStackTrace();
        }
    }
    public static void main(String[] args) {
       
        test3("wjm3' or '1 = 1","151515");

    }

登入後複製

資料庫資訊
mysql語句的注入錯誤是什麼？
# 如上面的程式碼所示，使用者名稱為wjm3' or '1 = 1，密碼為151515，從資料庫中可以看出我們沒有這樣的用戶，本來應該顯示登入失敗，但是結果卻是登陸成功，因為or '1 = 1 已經不是用戶名裡面的內容了，它現在為SQL 語句裡面的內容，不論如何，結果都為true,等於不用輸密碼都可以登入。這裡就產生了安全問題。

解決方法

1. PrepareStatement

 //注入式错误
    public static void test3(String name,String passward){
        Connection connection = null;
        PreparedStatement st = null;
        ResultSet rs = null;
        try {
            // 加载JDBC 驱动
            Class.forName("com.mysql.jdbc.Driver");
            // 获得JDBC 连接
            String url = "jdbc:mysql://localhost:3306/tulun";
            connection = DriverManager.getConnection(url,"root","123456");
            //创建一个查询语句
            String sql1 =  "select * from student where name = ? and passward = ?";
            st = connection.prepareStatement(sql1);
           st.setString(1,name);
           st.setString(2,passward);
            //sql语句
            //String sql = "select * from student where name = '"+ name+"' and passward = '"+passward+"'";
            rs = st.executeQuery();

            if(rs.next()){
                System.out.println("登录成功。");
            }else{
                System.out.println("登录失败。");
            }

        } catch (Exception e) {
            e.printStackTrace();
        }finally{
            try {
                connection.close();
                st.close();
                rs.close();
            } catch (SQLException e) {
                e.printStackTrace();
            }
        }
    }
     public static void main(String[] args) {
        test3("wjm3' or '1 = 1","151515");
    }

登入後複製

上面這個程式碼不管name 參數是什麼，它都只是name 參數，不會當作sql語句的一部分來執行，一般來說推薦這個方法，比較安全。
2.自己定義函數進行校驗

整理資料使其變得有效
拒絕已知的非法輸入
#只接受已知的合法輸入

所以如果想要獲得最好的安全狀態，目前最好的解決方案就是對使用者提交或可能改變的資料進行簡單分類，分別應用正規表示式來對使用者提供的輸入資料進行嚴格的檢測和驗證。
其實只需要過濾非法的符號組合就可以阻止已知形式的攻擊，並且如果發現更新的攻擊符號組合，也可以將這些符號組合增添進來，繼續防範新的攻擊。特別是空格符號和其產生相同作用的分隔關鍵字的符號，例如“/**/”，如果能成功過濾這種符號，那麼有很多注入攻擊將不能發生，並且同時也要過濾它們的十六進位表示“％XX”。

以上是mysql語句的注入錯誤是什麼？的詳細內容。更多資訊請關注PHP中文網其他相關文章！

本網站聲明

本文內容由網友自願投稿，版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容，請聯絡admin@php.cn

熱AI工具

熱工具

熱門話題

gmail信箱登陸入口在哪裡

7814

Java教學

1646

CakePHP 教程

1402

Laravel 教程

1300

PHP教程

1238

Related knowledge

apache怎麼連接數據庫 Apr 13, 2025 pm 01:03 PM

Apache 連接數據庫需要以下步驟：安裝數據庫驅動程序。配置 web.xml 文件以創建連接池。創建 JDBC 數據源，指定連接設置。從 Java 代碼中使用 JDBC API 訪問數據庫，包括獲取連接、創建語句、綁定參數、執行查詢或更新以及處理結果。

MySQL：世界上最受歡迎的數據庫的簡介 Apr 12, 2025 am 12:18 AM

MySQL是一種開源的關係型數據庫管理系統，主要用於快速、可靠地存儲和檢索數據。其工作原理包括客戶端請求、查詢解析、執行查詢和返回結果。使用示例包括創建表、插入和查詢數據，以及高級功能如JOIN操作。常見錯誤涉及SQL語法、數據類型和權限問題，優化建議包括使用索引、優化查詢和分錶分區。

MySQL的位置：數據庫和編程 Apr 13, 2025 am 12:18 AM

MySQL在數據庫和編程中的地位非常重要，它是一個開源的關係型數據庫管理系統，廣泛應用於各種應用場景。 1）MySQL提供高效的數據存儲、組織和檢索功能，支持Web、移動和企業級系統。 2）它使用客戶端-服務器架構，支持多種存儲引擎和索引優化。 3）基本用法包括創建表和插入數據，高級用法涉及多表JOIN和復雜查詢。 4）常見問題如SQL語法錯誤和性能問題可以通過EXPLAIN命令和慢查詢日誌調試。 5）性能優化方法包括合理使用索引、優化查詢和使用緩存，最佳實踐包括使用事務和PreparedStatemen

為什麼要使用mysql？利益和優勢 Apr 12, 2025 am 12:17 AM

選擇MySQL的原因是其性能、可靠性、易用性和社區支持。 1.MySQL提供高效的數據存儲和檢索功能，支持多種數據類型和高級查詢操作。 2.採用客戶端-服務器架構和多種存儲引擎，支持事務和查詢優化。 3.易於使用，支持多種操作系統和編程語言。 4.擁有強大的社區支持，提供豐富的資源和解決方案。

MySQL的角色：Web應用程序中的數據庫 Apr 17, 2025 am 12:23 AM

MySQL在Web應用中的主要作用是存儲和管理數據。 1.MySQL高效處理用戶信息、產品目錄和交易記錄等數據。 2.通過SQL查詢，開發者能從數據庫提取信息生成動態內容。 3.MySQL基於客戶端-服務器模型工作，確保查詢速度可接受。

docker怎麼啟動mysql Apr 15, 2025 pm 12:09 PM

在 Docker 中啟動 MySQL 的過程包含以下步驟：拉取 MySQL 鏡像創建並啟動容器，設置根用戶密碼並映射端口驗證連接創建數據庫和用戶授予對數據庫的所有權限

laravel入門實例 Apr 18, 2025 pm 12:45 PM

Laravel 是一款 PHP 框架，用於輕鬆構建 Web 應用程序。它提供一系列強大的功能，包括：安裝：使用 Composer 全局安裝 Laravel CLI，並在項目目錄中創建應用程序。路由：在 routes/web.php 中定義 URL 和處理函數之間的關係。視圖：在 resources/views 中創建視圖以呈現應用程序的界面。數據庫集成：提供與 MySQL 等數據庫的開箱即用集成，並使用遷移來創建和修改表。模型和控制器：模型表示數據庫實體，控制器處理 HTTP 請求。