新建自定义工具类用于连接MySQL数据库: import java.sql.Connection; import java.sql.DriverManager; import java.sql.SQLException; /** * Jdbc 工具类 连接器 */ public class JDBC ...
分类:
数据库 时间:
2020-05-04 13:18:04
阅读次数:
96
Mybatis Mybatis中#{}和${}区别 #{}:解析为参数占位符,生成的SQL里对应的位置用?表示,值是当做字符串处理的,会加上''。 使用#{}可以很大程度上防止sql注入(SQL拼接)。 ${}:直接解析为相应的值。在动态生成SQL时,直接进行变量替换,不会自动加''。 在动态表名和 ...
分类:
编程语言 时间:
2020-05-02 18:42:58
阅读次数:
76
环境搭建 这里使用的windows2003+phpstudy2018+sdy1.5 我们解压sdy1.5至phpstudy下WWW文件内,在浏览器中输入127.0.0.1/sdy1.5进行安装 然后就进入到了首页 1.观察当前页面的URL:http://192.168.50.100/jdy1.5/t ...
分类:
数据库 时间:
2020-05-02 00:03:49
阅读次数:
148
网站安全 包括常见的xss攻击、CSRF攻击等等 1 sql注入:窃取数据库内容 2 XSS攻击:窃取前端的cookie内容 3 密码加密:保障用户信息安全 "前端安全系列(一):如何防止XSS攻击?" "前端安全系列(二):如何防止CSRF攻击?" 1 sql注入攻击: 比如登陆接口,执行的命令是 ...
分类:
Web程序 时间:
2020-05-01 14:54:02
阅读次数:
84
SQL Injection 1. 题目 SQL Injection,即SQL注入,是指攻击者通过注入恶意的SQL命令,破坏SQL查询语句的结构,从而达到执行恶意SQL语句的目的。 2. Low a. 代码分析 对来自客户端的参数id没有进行任何的检查与过滤,存在明显的SQL注入。 b. 漏洞利用 3 ...
分类:
其他好文 时间:
2020-04-30 11:39:17
阅读次数:
71
进去后发现只有报表中心可以点,点进去是一个选择时间的 然后发现域名中有一个id参数,特别像sql注入,然后进行了不断地尝试。。。 最后发现,好像什么都被过滤了,只能输入数字,最后查看了WP才知道,只需要爆破id就行了。。 很简单嘛,脑筋急转弯。。。。 然后就开始爆破,burpsuite抓包,添加id ...
分类:
其他好文 时间:
2020-04-29 12:54:56
阅读次数:
70
环境搭建 这里使用的windows2003+phpstudy2018+sdy1.5 我们解压sdy1.5至phpstudy下WWW文件内,在浏览器中输入127.0.0.1/sdy1.5进行安装 一路通过即可,我就不再赘述。 至此安装成功界面如下,下面我们就进入紧张刺激的实战演练环节喽。 SQL注入环 ...
分类:
数据库 时间:
2020-04-28 20:17:58
阅读次数:
149
(1)n#{}表示一个占位符号,通过#{}可以实现preparedStatement向占位符中设置值,自动进行java类型和jdbc类型转换,#{}可以有效防止sql注入。#{}可以接收简单类型值或pojo属性值。如果parameterType传输单个简单类型值,#{}括号中可以是value或其它名 ...
分类:
其他好文 时间:
2020-04-28 13:26:01
阅读次数:
68
SQL注入分类 1.(以字符类型方式) ?数字型 ?字符型 2.(以注入方式) ? 回显注入 < 回显正常、 回显报错注入> ? 盲注 <布尔盲注、 时间盲注 > dvwa盲注模块 低级别 输入5 输入6 输入 1 and 1=1 # 正确 1 and 1=2 # 正确 输入 1' and '1'= ...
分类:
数据库 时间:
2020-04-25 23:48:05
阅读次数:
216
原始SQL语句:select count(*) from tbusers where username='abc' and userpass='abc'注入后的SQL:select count(*) from tbusers where username='abc' or 1=1 -- and us ...
分类:
数据库 时间:
2020-04-25 13:04:03
阅读次数:
80
