JDBC连接数据库过程中，SQL注入攻击示例

原创喜欢ヅ旅行 2024-10-07 07:03 139阅读 0赞

SQL注入攻击是一种利用Web应用程序对用户输入数据的处理不足，从而向数据库执行恶意SQL代码的过程。

以下是一个简单的JDBC连接数据库并可能发生SQL注入攻击的示例（使用Java和MySQL）：

```java
import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;

public class SQLInjectionExample {
    public static void main(String[] args) {
        // 加载数据库驱动
        String url = "jdbc:mysql://localhost:3306/testdb";
        String username = "testuser";
        String password = "testpassword";

try (Connection connection = DriverManager.getConnection(url, username, password);
             PreparedStatement preparedStatement = connection.prepareStatement("SELECT * FROM users WHERE email=?")) {

// SQL注入，使用用户输入的email
            String userInput = "test.user@example.com";  // 假设这是真实的用户输入
            preparedStatement.setString(1, userInput));
            ResultSet resultSet = preparedStatement.executeQuery();

if (resultSet.next()) {
                System.out.println("Found user: " + resultSet.getString("username"));
            } else {
                System.out.println("No users found with the given email.");
            }

} catch (Exception e) {
            e.printStackTrace();
            System.err.println("Error connecting to database: " + e.getMessage());
        }
    }
}
```

在这个示例中，`userInput` 是从用户那里获取的，如果没有进行适当的验证和转义，那么 `userInput` 可能会被恶意注入SQL代码。

为了避免SQL注入攻击，应该对用户输入进行严格的验证、清理（如使用参数化查询）和转义。