sql注入密码（sql注入密码处万能密码）

1. 网上说的SQL是什么意思啊
2. jsp用户信息录入数据库的方式
3. 密钥里面有不可接受的字符

网上说的SQL是什么意思啊

一般开发，肯定是在前台有两个输入框，一个用户名，一个密码，会在后台里，读取前台传入的这两个参数，拼成一段SQL，例如：

select count(1) from tab where usesr=userinput and pass = passinput,把这段SQL连接数据后，看这个用户名/密码是否存在，如果存在的话，就可以登陆成功了，如果不存在，就报一个登陆失败的错误。对吧。但是有这样的情况，这段SQL是根据用户输入拼出来，如果用户故意输入可以让后台解析失败的字符串，这就是SQL注入，例如，用户在输入密码的时候，输入 '''' ' or 1=1'', 这样，后台的程序在解析的时候，拼成的SQL语句，可能是这样的：

select count(1) from tab where user=userinput and pass='' or 1=1; 看这条语句，可以知道，在解析之后，用户没有输入密码，加了一个恒等的条件 1=1，这样，这段SQL执行的时候，返回的 count值肯定大于1的，如果程序的逻辑没加过多的判断，这样就能够使用用户名 userinput登陆，而不需要密码。

防止SQL注入，首先要对密码输入中的单引号进行过滤，再在后面加其它的逻辑判断，或者不用这样的动态SQL拼。

jsp用户信息录入数据库的方式

是加载数据库驱动的方式，链接数据库，执行sql语句，将用户信息录入到数据库。

代码如下：

<%

//加载驱动程序

String driverName="com.mysql.jdbc.Driver";

//数据库信息

String userName="root";

//密码

String userPasswd="root";

在JSP中，可以通过使用Java的JDBC API来连接数据库，从而实现用户信息录入。

首先需要在JSP页面中创建一个表单来获取用户输入的信息，然后在后台JSP代码中使用JDBC API建立与数据库的连接，并执行SQL语句将用户信息插入到数据库中。

使用PreparedStatement可以有效地防止SQL注入攻击。最后，需要在JSP页面上显示成功或失败的消息来告知用户信息录入的结果。

密钥里面有不可接受的字符

对密码的处理逻辑尽量放在后端。特殊字符在b端到s端的传输过程中会被url编码，在s端自动解码。后端代码将用户输入作为字符串处理，不会存在问题。入库时可先将sql语句编译，入口出口检查数据，防止sql注入。 另外，密码在库中通常使用哈希存储，如果前端通过js处理密码后，传输hash值，特殊字符也会消失。

到此，以上就是小编对于sql注入密码处万能密码的问题就介绍到这了，希望介绍的3点解答对大家有用，有任何问题和不懂的，欢迎各位老师在评论区讨论，给我留言。