Oracle Jdbc 防sql注入

最新推荐文章于 2026-02-25 14:05:26 发布
原创 最新推荐文章于 2026-02-25 14:05:26 发布 · 881 阅读 · 1 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#oracle #sql注入
本文介绍了一个使用Java连接Oracle数据库并进行用户登录验证的例子。通过两种不同的SQL查询方式演示了如何从数据库中检索用户数据:一种是直接拼接SQL字符串的方式,另一种是使用预编译SQL语句(PreparedStatement)。此外,还展示了如何利用SQL注入攻击来说明直接拼接SQL字符串的安全隐患。 
import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;

/**
 * 
 */

/**
 * @author john
 *
 */
public class Demo {

	/**
	 * @param args
	 * @throws Exception 
	 */
	public static boolean login (String Username ,String Password ) throws Exception {
		String driverClassName = "oracle.jdbc.driver.OracleDriver" ;
		String url = "jdbc:oracle:thin:@103.44.145.243:55090:oracle" ;
		String username = "";
		String password = ""; 
		//加载驱动类
		Class.forName(driverClassName) ;
		Connection con = DriverManager.getConnection(url, username, password) ;
		//得到statement
		Statement stmt = con.createStatement() ;
		//给出sql
		String sql = "select * from MYUSER where USERNAME ='"+Username+"' and PASSWORD = '"+Password+"'"; 
		ResultSet rs = stmt.executeQuery(sql);
		return rs.next();
//		return false ;
		}
	public static boolean login2 (String Username ,String Password ) throws Exception {
		String driverClassName = "oracle.jdbc.driver.OracleDriver" ;
		String url = "jdbc:oracle:thin:@103.44.145.243:55090:oracle" ;
		String username = "";
		String password = ""; 
		//加载驱动类
		Class.forName(driverClassName) ;
		Connection con = DriverManager.getConnection(url, username, password) ;
		//得到statement
//		Statement stmt = con.createStatement() ;
		//给出sql
		/*
		 * 得到preparedStatement
		 * 1.得到sql模板 
		 * 2.调用con方法,得到preparement
		 */
		String sql = "select * from MYUSER where USERNAME=?and PASSWORD = ?";
		PreparedStatement psmt = con.prepareStatement(sql);
		/*
		 * 为参数赋值
		 */
		psmt.setString(1,Username);//给问号赋值
		psmt.setString(2, Password);
		ResultSet rs = psmt.executeQuery();//调用查询方法
		
		return rs.next() ;
		}
	public static void main(String[] args) throws Exception {
		// TODO Auto-generated method stub
		boolean bool2 =  login2("a' or 'a' = 'a","a' or 'a' = 'a") ;
		System.out.println(bool2);
		boolean bool =  login("a' or 'a' = 'a","a' or 'a' = 'a") ;
		System.out.println(bool);
		
	}

}

15.1:Java与Oracle数据库的集成基础(JDBC)(课程共6100字,4个代码举例)
小兔子平安
06-28 165
JDBC是Java与数据库进行交互的一种标准接口,可以使Java程序员通过Java语言来访问数据库。学习JDBC可以帮助Java开发人员编写数据库操作相关的程序,包括增删改查等操作。在学习JDBC的过程中,我们需要注意相关知识和注意事项,以提高程序的性能和安全性。同时,通过实践,我们可以深入了解JDBC的使用方法和注意事项,提高我们的实际编程能力和解决问题的能力。
Oracle 注入bypass总结(艰难的心路历程)
weixin_42508548的博客
11-24 2440
文前先感谢大家的支持,上篇Oracle数据库注入总结想着后续学习一下如何进行利用,getshell的,奈何技术还太菜了,再加上项目压力大,所以就慢慢搁置了。这里先出一篇bypass的,文中仅针对Oracle数据库,但是bypass手法我认为万变不离其宗,思想上是通用的,希望能够对大家有所帮助。 0x01 环境准备 一、安装Oracle数据库 1、首先下载数据库安装软件 具体可以从参考这里,我是从他的百度云下载的Windows10下安装Oracle 11g_勿忘初心的博客-CSDN博客_win10安装o
网络安全进阶学习第十五课——Oracle SQL注入
p36273的博客
08-08 2085
Oracle数据库系统是世界上流行的关系数据库管理系统,系统可移植性好、使用方便、功能强,适用于各类大、中、小微机环境。它是一种高效率的、可靠性好的、适应高吞吐量的数据库方案。Oracle服务默认端口:1521Oracle和MySQL数据库语法大致相同,结构不太相同。最大的一个特点就是oracle可以调用Java代码。Oracle要求select … from 后必须要有查询的表名。
5种方法止 jsp被sql注入
收集盒 Book box
09-22 6962
一、 SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 ===========================================
SQL注入攻击与
weixin_62707591的博客
06-21 7346
攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,并且插入的恶意SQL命令会导致原有SQL语句作用发生改变,从而得到欺骗服务器执行恶意SQL命令的一种攻击方式。① 概述开源的自动化SQL注入工具,由Python写成② 主要功能扫描、发现、利用给定URL的SQL注入漏洞③ 特点。
限制oracle数据库访问IP,SQL注入问题
m0_68566281的博客
10-24 705
☆注意:上面的ECA是数据库服务器上的oracle服务器名,例如我本地的是orcl。☆注意:上面括号里的IP地址是项目涉及到的几个服务器的IP地址。上面的PMORA改成oracle服务名,此处应是ECA。例如我本地的是orcl。
关于利用oracle自带功能SQL注入的方法
qq_33574974的博客
08-29 4488
关于利用oracle自带功能SQL注入的方法 在B/S开发中我们经常会考虑一个安全问题那就是SQL注入,现在介绍ORACLE自带的程序包进行SQL注入;在oracle的DBMS_ASSERT 包中包含了相关的函数,将传入的参数使用其进行检查,如果不符合相关规则,那末SQL语句执行会报错,从而达到SQL注入的风险。    ENQUOTE_LITERAL    输入字符
jdbc操作Oracle
最新发布
buhuiyingyuaaa的博客
02-25 599
/ 你的Oracle用户名。就是 Java 官方规定的一套接口,用来统一操作所有数据库(MySQLOracleSQLServer 都用同一套写法)。// 你的Oracle密码。ojdbc8.jar (对应 Oracle 11g/12c/19c)jdbc:oracle:thin:@主机IP:端口:实例名。驱动类:oracle.jdbc.OracleDriver。① Statement(不安全,有 SQL 注入,不用)// 3. 设置参数(从 1 开始!// 3. 关闭资源(重载3个方法,随便用)
基于Oracle的Java Servlet部门表CRUD实战项目
weixin_36431145的博客
10-24 444
htmltable {th, td {th {pre {简介:在IT开发中,数据库操作是核心技能之一,尤其对Java开发者而言。本项目通过不依赖框架的方式,使用原生Java与Servlet实现对Oracle数据库中部门表的增删改查(CRUD)操作,涵盖JDBC连接、SQL执行、请求处理与资源管理等关键环节。适合初学者掌握Web应用与数据库交互的基本原理,为深入学习Spring、MyBatis等框架奠定实践基础。
Oracle JDBC驱动程序:ojdbc7.jar深入解析与应用
weixin_32389853的博客
07-23 1133
Oracle JDBC驱动程序是Java数据库连接标准的实现,它允许Java应用程序连接和操作Oracle数据库。作为Java开发者,了解JDBC驱动的特性、版本演进以及如何配置它对确保高效和稳定的数据库操作至关重要。本章将介绍JDBC驱动程序的基本概念,为后文的深入探讨奠定基础。ojdbc7.jar是Oracle提供的一个JDBC驱动,它允许Java应用程序通过JDBC API连接到Oracle数据库。它被设计为支持Oracle数据库的特性以及实现高效的性能。
自己在学习Mybits的时候理解的一点sql注入的知识,以及处理的方法!
小明的博客
07-20 1842
所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单
【漏洞挖掘】记一次985证书站Oracle注入绕WAF
zkaq7777777的博客
05-23 292
将其输入在“支出金额范围(元)”处,并点击查询,发现报错回显的是查询结果超过控制数。2、如上图所示,在“支出金额范围(元)”处输入个英文单引号,再点击左上角的“按条件查询”,回显Oracle数据库报错,报错信息为单引号未正确终止。碰巧高中舍友是这个学校的,在一番“威逼利诱”下,他也是乖乖地交出了自己的校园VPN账号。,将其输入在“支出金额范围(元)”处,并点击查询,发现报错回显仍是除数为0。1、有了上面的笔记,我心想应该很快就能注出来,已经开好漏洞提交的页面准备边注边写报告了,结果payload一贴。
【新手入门】SQL注入御代码的绕过、数据库数据读取
2401_89344791的博客
03-02 1007
绕过前端代码最好的方式就是先输入一个符合格式要求的数据,然后抓包--处理--放包。
记一次奇妙的Oracle注入绕WAF之旅
2401_83799022的博客
04-28 1033
整个测试过程如下从登陆框开始 --> 构造1=1 成功闭合 --> %23不能用猜测不是mysql --> xor 再次确认不是mysql --> 尝试like&&ilike 排除pg --> 函数过滤 fuzz --> 想到 /0报错 --> 找到user虽然写出来后并没有多长的内容,但实际上也是消耗了很长的时间。时间主要也是花在了fuzz和寻找可用函数的过程中。
SQL注入
小勇的博客
06-12 1882
使用UNION进一步注入:union select(Oracle使用union select null,null代替1,2)当列数目不对时,会有错误提示 使用order by语句,当order by的列<=SQL语句的列数目的时候,查询正常. 手工注入一:使用union select查询,查看新增内容,从下图可以看出,列2的内容是可以被输出到页面上的,所以下面的查询我们都将使用列2 查询数据库信息,
漏洞整理之SQL注入
Fengchen的博客
10-18 500
1 SQL注入 1.1 什么是SQLSQL是Structured Quevy Language(结构化查询语言)的缩写。SQL是专为数据库而建立的操作命令集,是一种功能齐全 的数据库语言。 1.2 什么是SQL注入SQL注入攻击包括从客户端向应用程序输入的SQL查询注入或“注入”恶意数据。 一个成功的SQL注入攻击可以做到以下内容: 读取或修改数据库中的敏感数据; 对数据库执行管理操...
oraclesql注入proc,解密:Oracle怎么SQL注入
weixin_34160181的博客
04-03 1420
昨天我们说了怎么绕过waf进行sql注入,今天我们继续这个话题,说说Oracle数据库本身在sql注入方面做了哪些工作。Oracle从8i开始PL/SQL中涌现出了大量SQL注入漏洞,直至11.2版本才基本扫清了PL/SQL自身存在的SQL注入漏洞。但时至今日依然存在一些跨语言边界的注入漏洞和二阶SQL注入漏洞。在OracleSQL注入漏洞的战斗史中关键的两步分别在10gr2和11gr1达成。...
orcl sql注入
qq_45975759的博客
04-17 298
package com.javakc.test; public class Test { public static void main(String[] args) throws Exception { // boolean f =Service.login("tom","aa"); // System.out.println(f); bo...
JAVA代码审计篇-SQL注入
m0_60571990的博客
03-10 1930
JAVA代码审计篇-SQL注入
第8篇:Oracle注入漏洞绕waf的新语句
ABC_123的博客
05-02 1064
Part1 前言大家好,上期分享了一次MS12-020蓝屏漏洞的巧用。这篇文章源于之前做的一个银行红队项目,遇到到了一个Oracle数据库的SQL注入漏洞,但是网上能搜索到的各种SQL语句都没法出数据,所以客户不认可这个漏洞的危害性,于是就开始了对这个OracleSQL注入绕WAF的探索过程:Part2 研究过程SQL注入判断过程经过对Web应用一系列的手工漏洞.........
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值