一个简单的SQL注入

本例采用JSP+Servlet+Mysql:

1. 数据库:

数据库名:sqlinject

SQL注入:



结果:

这里在姓名输入框里输入了 ' or 'hack'='hack           (hack名字是随意取的) 
在地址栏中，%27代表单引号，+号代表一个空格，%3D代表=号，可以用JAVA的URLEncoder类和URLDecoder类进行转换
所有的记录都被查询出来了。

看下MyEclipse打印的SQL调试语句:

name is:' or 'hack'='hacksex is:mselect * from user where sex='m' and name='' or 'hack'='hack'

Over...


5楼z11013853911小时前
PreparedStatement pst=conn.PreparedStatment(sql);npst.SetString(n,xxx)n```````````````n楼主的例子是最经典的sql注入例子
4楼csh6243661889小时前
这种问题该怎么解决呢？
3楼imfam520昨天 19:22
1、不用数据库n2、使用一个存储过程n3、过滤非法字符
2楼sushengmiyan昨天 18:27
不错
1楼woshimaijunjinzhen昨天 17:57
最经典的sql注入例子，一般都是用PreparedStatment，不自己拼接字符串