想做SQL语句注入实验,可以在JSP页面直接嵌入sql语句查询吗?

我是名大三的学生,想请假各位大神,如果想做SQL语句注入实验,可以在JSP页面直接嵌入sql语句查询吗?还是使用ssh框架反应机制?还是其它的,有大神可以指教一下小弟吗?该课程是网络安全,主要就是想做sql语句注入检测网页漏洞的?

sql

4个回答

直接建个环境做测试啊,网上这方面的课程很多。

只要是页面有访问数据库操作的 都可以拿来做 SQL语句注入

最简单的就是在页面上允许输入查询条件,在jsp中根据查询条件拼接sql,并且调用查询。这样就可以看到注入的漏洞了。

注入sql:select * from t_user where username = 'admin' and password='a' or '1'='1'
password的值传的是a' or '1'='1
因为where条件中有 or '1'='1',所以这个sql永远为真,这样就是sql注入了。
在jdbc使用Statement 可能会有sql注入问题,使用PreparedStatement就可以解决了。

Csdn user default icon
上传中...
上传图片
插入图片
抄袭、复制答案,以达到刷声望分或其他目的的行为,在CSDN问答是严格禁止的,一经发现立刻封号。是时候展现真正的技术了!
立即提问