各位朋友,大家好。
有个问题关于SQL注入的,网上搜索出来的答案都不是很满意,所以放到这里来请教下大家了。
到底SQL注入是个什么样的问题导致的,网上所说的SQL拼接会导致注入问题是怎么回事,可以的话,麻烦举个例子,越详细越好,十分感谢!哦,还有如何避免SQL注入问题? :)
关于SQL注入的问题
- 写回答
- 好问题 0 提建议
- 追加酬金
- 关注问题
分享- 邀请回答
-
2条回答 默认 最新
weixin_42519818 2009-12-19 15:01关注先说下怎么避免。关键字:绑定参数。
java api中的例子:
PreparedStatement pstmt = con.prepareStatement("UPDATE EMPLOYEES
SET SALARY = ? WHERE ID = ?");
pstmt.setBigDecimal(1, 153833.00)
pstmt.setInt(2, 110592)如何注入:
String id="1";
String sql="select * from emp where id='"+id+"'";
这是什么意思?是查询emp表中id为1的字段对吧。
看看这个:
String id="1' or '1'='1";
String sql="select * from emp where id='"+id+"'";
是什么结果?与select * from emp没区别了吧。
如果使用绑定参数,id="1' or '1'='1"会被当成一个字符串处理。
当然,这个一个小例子,所以在我们操作数据库的时候要小心。本回答被题主选为最佳回答 , 对您是否有帮助呢?解决 无用评论 打赏举报 分享
- 2018-10-23 06:22回答 3 已采纳 相当于没有where条件 你这个SQL语句中条件是where username= ' ' or 1=1 or '1'='1 ' where 后面就是你的条件, 表示满足这些条件的数据都更新
- 2021-08-20 10:34回答 2 已采纳 left join的场景罢了,第二种如果是条件不符合的,数据直接查不出来,第一种,left join的条件不成立,主表(score表)的数据还在,所以最终的结果是第一种的数据量>=第二种的数据量
- 2022-04-14 00:06回答 2 已采纳 这本书应该是 sql进阶其实order by也就是对你查询后的结果进行排序 对你的查询结果没有任何影响,只是对结果进行一下排序
- 2022-12-22 21:39海洋 之心的博客 但是使用Statement会存在SQL注入问题,SQL 注入是利用某些系统没有对用户输入的数据进行充分的检查,而在用户输入数据中注入非法的 SQL 语句段或命令(如:SELECT user, password FROM user_table WHERE user=‘a’ ...
- 2017-08-18 06:52回答 2 已采纳 SELECT * FROM camera_info ci, live_schedule l, camera_status cs WHERE ci.`cameraId
- 2018-04-24 01:31回答 3 已采纳 ``` BEGIN CREATE TEMPORARY TABLE IF NOT EXISTS t4( flag VARCHAR(1),
- 2022-09-23 20:46回答 1 已采纳 数据库ip port 和用户名密码对了吗
- 2022-11-07 17:19Lansonli的博客 文章目录SQL注入攻击一、Sql注入说明二、具体实现1、 创建数据库表2、创建实体类3、测试代码4、测试结果三、总结SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合...
- 2022-10-06 21:55回答 2 已采纳 通过rpad或repeat构造长字符串,加以计算量大的pattern,通过repeat的参数可以控制延时长短。
- 2017-12-06 03:59回答 2 已采纳 不知道诶,在取得对象之前有没有对对象做过处理?用正则表达式对取得的对象做一下处理才可能没有问题。
- 2023-03-04 10:53回答 2 已采纳 “Devil组”引证GPT后的撰写: val resultbm1 = spark.sql("SELECT time, ROUND(AVG(price), 2) AS Aprice FROM cars
- 2022-07-08 13:42errorr0的博客 postgresql sql注入
- 2018-11-08 10:20回答 1 已采纳 PreparedStatement并不使用字符串拼接来调用参数,所以根本不存在添加单引号一说。再说,添加单引号就不能注入了么? SELECT * FROM employees WHERE salar
- 2022-06-24 15:21是木木啊.的博客 报错注入
- 2022-07-07 17:30外咸瓜街的一条咸鱼的博客 目录什么是sql漏洞:sql语言:数据库和网页用户请求的原理:sql注入原理:sql注入检测:sql注入检测工具:实例演示:漏洞防御 这边采用了皮卡丘的sql漏洞的概述: 在owasp发布的top10排行榜里,注入漏洞一直是危害...
- 没有解决我的问题, 去提问
悬赏问题
- ¥100 set_link_state
- ¥15 虚幻5 UE美术毛发渲染
- ¥15 CVRP 图论 物流运输优化
- ¥15 Tableau online 嵌入ppt失败
- ¥100 支付宝网页转账系统不识别账号
- ¥15 基于单片机的靶位控制系统
- ¥15 真我手机蓝牙传输进度消息被关闭了,怎么打开?(关键词-消息通知)
- ¥15 装 pytorch 的时候出了好多问题,遇到这种情况怎么处理?
- ¥20 IOS游览器某宝手机网页版自动立即购买JavaScript脚本
- ¥15 手机接入宽带网线,如何释放宽带全部速度