码迷,mamicode.com
首页 > 数据库 > 详细

java web sql注入测试(2)---实例测试

时间:2015-12-02 20:50:18      阅读:270      评论:0      收藏:0      [点我收藏+]

标签:

以下篇幅,用一个简单的实例说明如何进行测试。

功能:根据用户NAME删除用户,采用的是SQL拼接的方式,核心代码部分如下:

public static void deleteByName(String name)throws Exception{

Session session = seesionfactory.openSession();

        org.hibernate.Transaction tx = session.beginTransaction();

try

            {

              String hql="delete from Department where name=‘" + name + "‘";

               Query query = session.createQuery(hql);

              int res = query.executeUpdate();

              tx.commit();

              System.out.println(res);

            }

                catch(HibernateException e)

                {

                System.out.println("deleteByName  has Exception !");

                e.printStackTrace();

             if(null != tx)

                {

                  tx.rollback();

                 }

            }

数据库相应的表中含有记录如下:

 技术分享

 

测试代码:

String name="1";

deleteByName(name);    

 

执行后数据库一条记录都是不会删除的。

 技术分享

 

而执行以下测试代码:

String name="1‘ or ‘1‘=‘1";

deleteByName(name);

执行后数据库的两条记录全部清空。

 技术分享

 

明明数据库里是没有name=1的记录存在的,可是居然全部删除了,原因就是存在恶意SQL,系统没有进行适当的处理,导致where条件永远为真,删除了表里的所有数据。

java web sql注入测试(2)---实例测试

标签:

原文地址:http://www.cnblogs.com/loleina/p/5013932.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!