JAVA—可能的SQL注入
我有一段代码:JAVA—可能的SQL注入,java,sql,jdbc,sql-injection,secure-coding,Java,Sql,Jdbc,Sql Injection,Secure Coding,我有一段代码: String username = props.getProperty("jdbc.username"); try { String username = parts[1]; // Check procedure System.out.println("Checking user"); // Check database user table for
String username = props.getProperty("jdbc.username");
try {
String username = parts[1];
// Check procedure
System.out.println("Checking user");
// Check database user table for username
conn = getSQLConnection();
Statement stat = conn.createStatement();
ResultSet user = stat.executeQuery( "SELECT * FROM USER WHERE log_id='" + username + "';" );
// Check given password against user entry
if(user.next()){
System.out.println("User Exists: " + username);
sendMessage("true");
return;
}
else{
System.out.println("User Does Not Exist: " + username);
sendMessage("false user");
return;
}
出于教育目的,即使我知道输入来自何处,SQL语句是否受到SQL注入的保护
ResultSet user = stat.executeQuery( "SELECT * FROM USER WHERE log_id='" + username + "';" );
这取决于SQL注入
想象一下,如果username
具有以下值,会发生什么情况:
John'; delete from user where 'a' = 'a
是的,大量的Java JDBC SQL教程会弄错这一点。基本上,总是使用s
这不仅是因为即使username
具有如上所述的恶意值,也可以安全使用,而且更重要的是,RDBMS引擎可以将同一查询重新用于所有后续调用
简而言之,没有理由不使用它们。演示使用字符串连接的SQL的教程应该会导致痛苦的SQL注入死亡。如中所述,一个恶意攻击者可以对您的应用程序执行以下操作:
- 调用sleep函数,使所有数据库连接都处于繁忙状态,从而使应用程序不可用
- 从数据库中提取敏感数据