用java试试在Mysql环境中注入sql
2013-10-09 09:17
399 查看
一般的说,在java环境中,使用java.sql.Statement可能导致sql注入,而使用java.sql.PreparedStatement可以避免这个问题。
今天做了个实验,发现Statement也是没那么容易注入的,在jdbc url里面必须配置allowMultiQueries=true,例如jdbc:mysql:///demo?autoReconnect=true&useUnicode=true&characterEncoding=utf8&allowMultiQueries=true。否则select id,name from tb_demo where name like '%name'; delete from tb_demo;%' 这样的语句是无法执行的。
今天做了个实验,发现Statement也是没那么容易注入的,在jdbc url里面必须配置allowMultiQueries=true,例如jdbc:mysql:///demo?autoReconnect=true&useUnicode=true&characterEncoding=utf8&allowMultiQueries=true。否则select id,name from tb_demo where name like '%name'; delete from tb_demo;%' 这样的语句是无法执行的。
相关文章推荐
- PHP+MySQL环境下的SQL手工注入教程
- MYSQL:SQL注入小笔记
- 阿里轻量云服务器CentOS7.3 Java Web开发环境配置(Tomcat9+JDK1.8+MySQL5.7) 以及tomcat启动慢和mysql外网访问
- mysql使用uuid()函数生成主键方法(java环境)
- sql查询报java.sql.SQLException: Column 'LC_ID' not found 的错误实际上是mysql在hibernate别名的问题
- java+jsp+tomcat+mysql开发环境配置
- Mysql/SQLServer数据类型与java基本数据类型的对应
- mysql java.sql.SQLException: Unknown system variable 'language'
- 关于json-lib将mysql中的date(time)转换成json对象出现java.sql.time not gethours问题
- MySql系列:中文写入数据库出现错误java.sql.SQLException: Incorrect string value: '\xE5\xxxx' for column 'xxxx' at r
- ADNROID/JAVA/SSH/Oracle+MySQl+SQLServer/jQuery/Ajax等等 优质学习资料免费下砸
- MySQL 及 SQL 注入与防范方法
- windows开发 linux部署 java [debian+resin+mysql+java] 之环境搭建
- 一、java运行环境安装之-linux centos6.6安装mysql 5.6安装步骤【rpm安装方式】
- SQL注入之DVWA平台测试mysql注入
- 一个包含了 java环境,mysql,nginx,redis docker 镜像
- window环境下mysql导入sql文件时报错:ERROR: ASCII '\0' appeared in the statement
- Java&Tomcat&eclipse&mysql&Navicat安装与环境配置视频
- 防止sql注入mysql_real_escape_string
- Linux下web环境的搭建【java+Mysql+tomcat+Redis】(Centos 6.5)