Java SQL 注入 - MySQLSyntaxErrorException
Java SQL Injection - MySQLSyntaxErrorException
我正在尝试 SQL 注入我的一个应用程序来编写我需要为项目做的文章。
我使用了以下语句:
Statement statement = conn.createStatement();
String insertTableSQL = "INSERT INTO activity (activity_name, user_id, category_id, started, completed) VALUES ('" + activityForm.getName() + "', '" + user.getId() + "', '" + category.getId() + "', '" + 0 + "', '" + 0 + "')";
System.out.println(insertTableSQL);
statement.executeUpdate(insertTableSQL);
然后我将以下内容放入我的表单输入之一(在本例中为 activity 名称输入):
ActivityName'); DROP TABLE STUDENTS; --
我收到以下错误:
INSERT INTO activity (activity_name, patient_id, category_id, started, completed) VALUES ('ActivityName'); DROP TABLE STUDENTS; --', '1', '1', '0', '0')
com.mysql.jdbc.exceptions.jdbc4.MySQLSyntaxErrorException: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'DROP TABLE STUDENTS; --', '1', '1', '0', '0')' at line 1
我似乎无法找到避免此错误的方法,所以我希望有人有一些想法。
我猜测错误的发生是由于 java 中语句的工作方式以及正在解析的查询的其余部分。
谢谢
编辑:我知道我应该使用准备好的语句,我知道。我的应用程序将 ORM 与 JPA 结合使用。
对于大学,我只是在测试 SQL 注入的工作原理。
默认情况下,MySQL JDBC 驱动程序不允许一次执行到 运行 多个 SQL 语句。这意味着您显示的 SQL 注入测试类型无法执行。这是好事!
当您连接到 JDBC 数据源时,您必须明确允许 multi-query,方法是将 allowMultiQueries=true 放入 JDBC URL。
另见 Multiple queries executed in java in single statement
还有其他类型的 SQL 注入没有 运行 附加语句。
我正在尝试 SQL 注入我的一个应用程序来编写我需要为项目做的文章。
我使用了以下语句:
Statement statement = conn.createStatement();
String insertTableSQL = "INSERT INTO activity (activity_name, user_id, category_id, started, completed) VALUES ('" + activityForm.getName() + "', '" + user.getId() + "', '" + category.getId() + "', '" + 0 + "', '" + 0 + "')";
System.out.println(insertTableSQL);
statement.executeUpdate(insertTableSQL);
然后我将以下内容放入我的表单输入之一(在本例中为 activity 名称输入):
ActivityName'); DROP TABLE STUDENTS; --
我收到以下错误:
INSERT INTO activity (activity_name, patient_id, category_id, started, completed) VALUES ('ActivityName'); DROP TABLE STUDENTS; --', '1', '1', '0', '0')
com.mysql.jdbc.exceptions.jdbc4.MySQLSyntaxErrorException: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'DROP TABLE STUDENTS; --', '1', '1', '0', '0')' at line 1
我似乎无法找到避免此错误的方法,所以我希望有人有一些想法。
我猜测错误的发生是由于 java 中语句的工作方式以及正在解析的查询的其余部分。
谢谢
编辑:我知道我应该使用准备好的语句,我知道。我的应用程序将 ORM 与 JPA 结合使用。 对于大学,我只是在测试 SQL 注入的工作原理。
默认情况下,MySQL JDBC 驱动程序不允许一次执行到 运行 多个 SQL 语句。这意味着您显示的 SQL 注入测试类型无法执行。这是好事!
当您连接到 JDBC 数据源时,您必须明确允许 multi-query,方法是将 allowMultiQueries=true 放入 JDBC URL。
另见 Multiple queries executed in java in single statement
还有其他类型的 SQL 注入没有 运行 附加语句。