SQL Injection - JDBC 漏洞案例

SQLI(SQL Injection), SQL注入是因为程序未能正确对用户的输入进行检查,将用户的输入以拼接的方式带入SQL语句,导致了SQL注入的产生。攻击者可通过SQL注入直接获取数据库信息,造成信息泄漏。
JDBC有两个方法执行SQL语句,分别是PrepareStatement和Statement。

运行
漏洞代码 - 语句拼接(Statement)


运行
漏洞代码 - 语句拼接(PrepareStatement)
运行
安全代码 - 过滤方法


运行
安全代码 - 预编译


运行
安全代码 - ESAPI安全框架