想做SQL语句注入实验,可以在JSP页面直接嵌入sql语句查询吗?

问题描述

想做SQL语句注入实验,可以在JSP页面直接嵌入sql语句查询吗?
我是名大三的学生,想请假各位大神,如果想做SQL语句注入实验,可以在JSP页面直接嵌入sql语句查询吗?还是使用ssh框架反应机制?还是其它的,有大神可以指教一下小弟吗?该课程是网络安全,主要就是想做sql语句注入检测网页漏洞的?

解决方案

直接建个环境做测试啊,网上这方面的课程很多。

解决方案二:
只要是页面有访问数据库操作的 都可以拿来做 SQL语句注入

解决方案三:
最简单的就是在页面上允许输入查询条件,在jsp中根据查询条件拼接sql,并且调用查询。这样就可以看到注入的漏洞了。

解决方案四:
注入sql:select * from t_user where username = 'admin' and password='a' or '1'='1'
password的值传的是a' or '1'='1
因为where条件中有 or '1'='1',所以这个sql永远为真,这样就是sql注入了。
在jdbc使用Statement 可能会有sql注入问题,使用PreparedStatement就可以解决了。

时间: 2024-10-30 19:58:24

想做SQL语句注入实验,可以在JSP页面直接嵌入sql语句查询吗?的相关文章

sql server使用全局临时表的Jsp页面出现 TDSExecuteRequest(TDSRequest).processReply(BaseWarning

问题描述 连接数据库的文件源码:dataconn.javapackagedataconn;importjava.sql.*;publicclassdataconn{StringsConnStr="jdbc:microsoft:sqlserver://localhost:1433;DatabaseName=BugFree";Stringuser="sa";Stringpassword="sa";Connectionconn=null;Stateme

不建议在jsp页面中直接写语句连接数据库

js|连接数据库|页面|语句 1.jsp <%@ page contentType="text/html;charset=gb2312" language="java" import="java.sql.*" %> <%ResultSet rs; Connection conn; Statement Stmt; String sql=""; String userName="DB_USERNAME&

防止SQL语句注入攻击总结

-----解决方案-------------------------------------------------------- 过滤URL中的一些特殊字符,动态SQL语句使用PrepareStatement.. ------解决方案-------------------------------------------------------- 注入的方式就是在查询条件里加入SQL字符串. 可以检查一下提交的查询参数里是否包含SQL,但通常这样无益. 最好的办法是不要用拼接SQL字符串,可以用

怎么做求帮助-基于Web的SQL Server数据库实验平台

问题描述 基于Web的SQL Server数据库实验平台 传统数据库课程实验教学存在课时安排不足.学生在课外实验又缺乏有效的指导和教师无法进行有效监督等问题.该题目要求实现一个基于Web的SQL Server数据库实验平台,使得学生能够在任何地点.时间通过 Internet 进行数据库相关的增. 删.改.查等数据库实验,同时教师可以布置数据库实验,监控和指导学生的实验等. 想知道用什么工具 怎么做呀 如何在internet上用sql语句进行相关的增删除改啊

php防止sql语句注入常用方法:过滤法

php防止sql语句注入常用方法:过滤法 <? $id=$_GET["id"]; $query="SELECT * FROM my_table where id='".$id."'"; //注入漏洞$result=mysql_query($query); 这里很明显我们可以用注入来获得数据库的其它内容了. 可以用下面的方法防止注入. 注入一样的,大家可以看看以前的黑防.然后我们看下面通过post方法获取变量的处理: $text1=$_POS

小弟想做一个 用C#语言编写的通讯录小程序。以SQL Server 2000做数据库。

问题描述 用SQLServer2000创建数据库的表,用C#语言基于Windowsr窗体做介面.输入名字,按"查找"按钮可以链接到数据库查找通讯录表的个人通讯.和输入学号和密码,按"查找"按钮可以链接到数据库成绩表的人个成绩. 解决方案 解决方案二:幫頂﹗﹗﹗幫頂﹗﹗﹗解决方案三:那就做吧.找人做?除非你给美金我做解决方案四:又不大,为啥不用access呢,单文件,方便.lz有什么问题吗?解决方案五:想做就做吧,难道有人阻止么?解决方案六:不知道楼主想表达什么意思?

mysql sql防注入简介与防注入实例

下面我们根据我编程序的经验来写一篇关于mysql教程 sql防注入简介与防注入实例吧. sql防注入简介: sql查询是一种用来数据与用户进行交互的文本语言,sql利用外部接将用户提交的数据发送给mysql数据库教程服务器进行处理,如果没有严密的过滤,可能导致数据丢失,如被删除,修改,而这样问题是网络管理员很难做事的,他们不能通过打系统被丁,或安装防火强可以控制了,. 下面我们来看一个简单的用户登陆实例. 一,创建用户表user create table user ( userid(int) n

三步堵死 SQL Server注入漏洞_MsSql

SQL注入是什么? 许多网站程序在编写时,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患.用户可以提交一段数据库查询代码(一般是在浏览器地址栏进行,通过正常的www端口访问),根据程序返回的结果,获得某些想得知的数据,这就是所谓的SQL Injection,即SQL注入. 网站的恶梦――SQL注入 SQL注入通过网页对网站数据库进行修改.它能够直接在数据库中添加具有管理员权限的用户,从而最终获得系统管理员权限.黑客可以利用获得的管理员权限任意获得网站上的文件或者在网页上加挂木马和各种

三步堵死 SQL Server注入漏洞

SQL注入是什么? 许多网站程序在编写时,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患.用户可以提交一段数据库查询代码(一般是在浏览器地址栏进行,通过正常的www端口访问),根据程序返回的结果,获得某些想得知的数据,这就是所谓的SQL Injection,即SQL注入. 网站的恶梦――SQL注入 SQL注入通过网页对网站数据库进行修改.它能够直接在数据库中添加具有管理员权限的用户,从而最终获得系统管理员权限.黑客可以利用获得的管理员权限任意获得网站上的文件或者在网页上加挂木马和各种