sql - 下面的代码如何被SQL注入攻击绕过登录机制
问题描述
下面的代码怎么会被SQL注入攻击绕过登录机制
try {
String sql = "SELECT * FROM employee WHERE username = '"
+ username.text + "' AND password = '" + pwd.text+ "'";
Statement stmt = con.createStatement();
ResultSet rs = stmt.executeQuery(sql);
}
解决方案
分析下面的 SQL 语句,并说明黑客如何操纵给定的查询来访问网站的机密信息,例如来自网站搜索中常用的简单 select 语句的用户详细信息(用户名、密码、信用卡详细信息等)文本框。
Select * from items where item_name Like ‘itemTextbox.text’;
推荐阅读
- laravel - 如何仅检查(状态)活动用户可以登录-JWT Auth-Laravel
- django - 在哪里放置与 DB 交互的代码,并且应该在 django 2.2 或更高版本的项目启动时运行一次?
- r - 如何在 R 中一次导入主包和它需要的所有包
- .net - Docker 命令失败,退出代码为 0:找不到“/nuget.config”
- c# - 调用 GetAccessTokenForUserAsync 方法时如何显示用户同意提示?
- python - 在两个 numpy 数组中查找所有匹配项
- css - 通过 CSS 向 SVG 添加空白,以便为 CSS 动画留出空间
- rxjs - 应该发生错误,但没有发生错误并完成
- php - 使用 PHP 从 SOAP api 响应中获取 SimpleXML 的值
- mysql - Mysql IF 语句总是返回 true