JDBC模拟用户登录并防止SQL注入

最新推荐文章于 2022-07-16 09:43:42 发布
最新推荐文章于 2022-07-16 09:43:42 发布
阅读量291 收藏 1
点赞数
文章标签: jdbc
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Amlynooto/article/details/109754467
版权 
import java.sql.*;
import java.util.HashMap;
import java.util.Map;
import java.util.ResourceBundle;
import java.util.Scanner;

/**
 * 解决sql注入问题
 *      只要用户的信息不参与编译即可
 *      使用PreparedStatement预编译
 */
public class JDBCTest07 {
    public static void main(String[] args) {
        //初始化用户界面
        Map<String,String> loginPage = initLoginPage();

        //登录
        boolean loginStatus = login(loginPage);

        System.out.println(loginStatus == true ? "sign in successfully":"sign in failed");

    }

    /**
     * 登录
     * @param loginPage
     * @return
     */
    private static boolean login(Map<String,String> loginPage) {

        boolean isSuccess = false;

        String name = loginPage.get("username");
        String pw = loginPage.get("password");

        Connection conn = null;
        //第一个改动
        PreparedStatement ps = null;
        ResultSet rs = null;

        ResourceBundle bundle = ResourceBundle.getBundle("JDBC");

        String driver = bundle.getString("driver");
        String url = bundle.getString("url");
        String user = bundle.getString("user");
        String pword = bundle.getString("password");

        try {

            Class.forName(driver);

            conn = DriverManager.getConnection(url,user,pword);

            //第二个改动
            String sql = "select loginname,password from t_user where loginname = ? and password = ?";//?为占位符
            //第三个改动 在此处将sql语句的框架传给DBMS进行sql语句的预编译
            ps = conn.prepareStatement(sql);

            //传值第一个?下标为1 类推
            ps.setString(1,name);
            ps.setString(2,pw);
            //执行
            rs = ps.executeQuery();

            if (rs.next()){
                isSuccess = true;
            }

        } catch (ClassNotFoundException | SQLException e) {
            e.printStackTrace();
        }finally {
            if (rs != null) {
                try {
                    rs.close();
                } catch (SQLException e) {
                    e.printStackTrace();
                }
            }

            if (ps != null) {
                try {
                    ps.close();
                } catch (SQLException e) {
                    e.printStackTrace();
                }
            }

            if (conn != null) {
                try {
                    conn.close();
                } catch (SQLException e) {
                    e.printStackTrace();
                }
            }
        }

        return isSuccess;
    }

    /**
     * 初始化用户界面
     * @return 用户的登录账号和密码信息
     */
    private static Map<String,String> initLoginPage() {

        Scanner s = new Scanner(System.in);

        System.out.println("username:");
        String username = s.nextLine();

        System.out.println("password:");
        String password = s.nextLine();

        Map<String,String> loginPage = new HashMap<>();
        loginPage.put("username",username);
        loginPage.put("password",password);

        return loginPage;
    }
}
Amlynooto
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Java-JDBC【源码】JDBC概述、获取连接、SQL注入问题与解决、查询解析
04-30
Java-JDBC【之】JDBC概述、获取连接、SQL注入问题与解决、查询解析 1.JDBC概述 2.操作流程 1.初始化项目,导入`驱动jar包...3.1.模拟SQL注入 3.2.PreparedStatement解决 3.3.Statement 与 PreparedStatement 4.完整源码
SQL注入源码+SQL注入命令
07-16
SQL注入是一种常见的网络安全威胁,它发生在应用程序不恰当地处理用户输入数据时,导致攻击者能够构造恶意SQL语句,从而获取、修改、删除或者控制数据库中的敏感信息。在这个实验中,我们将关注Java语言如何处理SQL...
JDBC登录防sql注入
CHIhacker666的博客
10-24 179
JDBC登录防sql注入 日常表白张春凤老师! 下面是我的mysql信息: 我的mysql为5.5版本,老东西了见谅哈!mysql版本不同,connection连接的内容也不一样,这个需要注意!还有就是注意端口号,账号密码,sql语句要正确填写哦!!! 下面是sql的创建部分: CREATE TABLE `user` ( `id` int(11) NOT NULL AUTO_INCREMENT, `username` varchar(32) DEFAULT NULL, `password` v
1、用JDBC模拟用户登录功能,及SQL注入问题
m0_62824173的博客
07-16 229
JDBC模拟用户登录功能,及SQL注入问题
JDBC模拟登陆及SQL语句防注入问题
weixin_30952103的博客
10-10 72
实现模拟登陆效果:基于表Tencent 1 package boom; 2 3 import java.sql.Connection; 4 import java.sql.DriverManager; 5 import java.sql.ResultSet; 6 import java.sql.SQLException; 7 import java.sql.S...
JDBC-防止SQL注入问题
weixin_30952535的博客
12-18 76
String sql = "select * from user where name = '" + name + "' and password = '" + password + "' ;"; //说明:使用拼接的sql语句会有sql注入问题 System.out.println(sql); ......省略操作数据库代码............ 控制台操作: ...
利用 JDBC用户登录系统(使用 PreparedStatement防止 SQL 注入)
啥也不是的博客
11-30 187
public class JDBCTEST { public static void main(String[] args) { //初始化界面 Map<String, String> userLoginInfo = initUI(); boolean loginSuccess = login(userLoginInfo); System.out.println(loginSuccess ? "登录成功" : "登录失败")
SQL注入漏洞检测工具sqlmap用户手册
09-16
SQL注入是一种常见的网络安全威胁,它允许攻击者通过在应用程序的输入字段中插入恶意SQL代码,来操纵数据库系统。SQLmap是应对这种威胁的一款强大的自动化工具,由Python编写,旨在帮助安全专家和渗透测试人员检测和...
使用JDBC连接Oracle,MySql,SQLServer数据库
09-20
Statement适合执行静态SQL,而PreparedStatement适用于预编译SQL,能防止SQL注入并提高性能。 4. 执行SQL:调用Statement或PreparedStatement的`executeQuery()`或`executeUpdate()`方法。 5. 处理结果集:对于查询...
java实例-jdbc连接数据库模拟oracle
12-14
在实际应用中,为了提高性能和防止SQL注入,通常会使用`PreparedStatement`代替`Statement`,并使用参数化查询。此外,还可以考虑使用连接池管理数据库连接,如C3P0、HikariCP等,以提高应用的效率和可维护性。 ...
JDBC_演示如何防止SQL注入
坤坤
03-01 240
该案例需要在数据库中插入一张表格。create table robin_user_zqk( id NUMBER(6), name VARCHAR2(100), pwd VARCHAR2(100));insert into robin_user_zqk(id,name,pwd)VALUES (1,'jerry','123')insert into robin_user_zqk(id,name,pwd...
jdbc存在sql注入(安全隐患)的模拟用户登录的功能
giao211的博客
04-24 1033
/** * 实现功能 * 1.需求:模拟用户登录的功能 * 2.用户描述 * 程序运行的时候,提供一个输入的接口,可以让用户按输入用户名密码 * java程序连接数据库,提交信息,java程序收集用户信息 * java程序连接数据库验证用户名密码是否正确 * 合法;显示登录成功 * 不合法:显示登录失败 * * 当前程序存在的问题 (很好玩) * 用户名:fdsa * 密码:fdsa' or '1'='1 * 会登录成功 * 这种现象被称为sql注入(安全隐患) * .
使用PreparedStatement模拟登录防止Sql注入
qq_36943809的博客
12-10 94
package Day01.Text04; /** * 使用PreparedStatement防止Sql注入 */ import Day01.Text03.JdbcUtils; import Day01.Text03.Student; import java.sql.*; import java.util.Scanner; public class Deom02 { public...
pl/sql中模拟登录并获得职责
WarDen
03-17 803
fnd_global.apps_initialize(user_id      => fnd_global.user_id, resp_id      => fnd_global.resp_id, resp_appl_id => fnd_global.resp_appl_id);mo_global.init('PO');其中:
登录防SQL注入的办法
zengguanlin的博客
02-12 1656
先做判断,判断有没有这个账号,有的话再在该条件里匹配密码正不正确。正确以后才允许登录。一定要先做账号判断,再进行匹配密码正不正确。如:if(userName&gt;0){ //查询该账号的密码 passwordTrue ...... //用前端输入的密码password进行判断 if(password.equals(passwordTrue)){ //登录成功 } }...
解决登录时sql注入的方法:预编译时放入sql(java)
zhan_qian的博客
03-10 1181
1、使用import java.sql.PreparedStatement; 2、先将sql里用户名密码分别用?占位,先预编译将sql放入PreparedStatement的对象中。 然后用调用该对象的set方法将用户名密码设置,接着执行。 3、这样做的话如果密码被注入为' or '1' = '1,在设置密码时会将'转义为\';即: select * from tb_user where username ='lisi' and password = '\' or \'1\' = \'1'..
JDBC 如何有效防止 SQL 注入
weixin_33708432的博客
12-21 525
转载请注明出处:http://blog.csdn.net/linglongxin24/article/details/53769810 本文出自【DylanAndroid的博客】 #JDBC如何有效防止SQL注入 在我们平时的开发中,作为新手写JDBC很有可能忽略了一点,那就是根本没有考虑SQL注入的问题,那么,什么是SQL注入,以及如何防止SQL注入的问题。 一什么是SQL注入 ...
PL/SQL 模拟登陆
wenzong.sun
06-19 1089
PL/SQL 模拟登陆fnd_global.apps_initialize(user_id => fnd_global.user_id, resp_id => fnd_global.resp_id, resp_appl_id => fnd_global.resp_appl_id)参数解析: user_id:用户id resp_id:职责id
mysql学习(6):使用jdbc模拟用户登录LogIn
欢迎来到Jimmy的博客
01-01 1788
jdbc是连接java和mysql等数据库的重要环节,在了解了java操作数据库必要的几个类之后,我们写一个模拟用户登录的代码加强对于jdbc的学习 一,前期准备 首先mysql的库中要有user表,如: username password admin 123456 二,eclipse中新建工程,导入mysql jar包 首先我们将“得到数据库连接”和“关闭资源”这些重
模拟登录案例,设计数据库(user表),编写servlet类(LogincController)、service层、DAO层、编写JDBC,用Statement语句实现查询
最新发布
06-02
好的,下面是一个完整的JavaWeb模拟登录案例,包括设计数据库、编写servlet类、service层、DAO层以及JDBC代码。 1. 设计数据库 首先,我们需要设计一个user表,用来存储用户的登录信息。该表包含以下字段: | 字段名 | 类型 | 描述 | | ------ | -------- | ---------- | | id | int | 用户ID | | username | varchar(50) | 用户名 | | password | varchar(50) | 密码 | 可以使用以下SQL语句创建该表: ```sql CREATE TABLE `user` ( `id` int NOT NULL AUTO_INCREMENT, `username` varchar(50) NOT NULL, `password` varchar(50) NOT NULL, PRIMARY KEY (`id`) ) ENGINE=InnoDB AUTO_INCREMENT=1 DEFAULT CHARSET=utf8mb4; ``` 2. 编写DAO层 在DAO层,我们需要编写一个UserDAO接口和一个UserDAOImpl类,用于实现对用户信息的增删改查操作。 UserDAO.java: ```java public interface UserDAO { User getUserByUsernameAndPassword(String username, String password); } ``` UserDAOImpl.java: ```java public class UserDAOImpl implements UserDAO { private Connection conn; public UserDAOImpl(Connection conn) { this.conn = conn; } @Override public User getUserByUsernameAndPassword(String username, String password) { User user = null; try { Statement stmt = conn.createStatement(); String sql = "SELECT * FROM user WHERE username='" + username + "' AND password='" + password + "'"; ResultSet rs = stmt.executeQuery(sql); if (rs.next()) { user = new User(); user.setId(rs.getInt("id")); user.setUsername(rs.getString("username")); user.setPassword(rs.getString("password")); } } catch (SQLException e) { e.printStackTrace(); } return user; } } ``` 在上面的代码中,我们使用Statement语句实现了查询用户信息的功能,并将查询结果封装成了一个User对象。 需要注意的是,上面的代码中存在SQL注入的安全隐患,因为我们直接将用户输入的用户名密码拼接到SQL语句中。在真实的项目中,我们应该使用PreparedStatement语句,通过参数化查询的方式防止SQL注入。 3. 编写Service层 在Service层,我们需要编写一个UserService接口和一个UserServiceImpl类,用于调用DAO层的方法,并进行业务逻辑的处理。 UserService.java: ```java public interface UserService { User login(String username, String password); } ``` UserServiceImpl.java: ```java public class UserServiceImpl implements UserService { private UserDAO userDao; public UserServiceImpl(UserDAO userDao) { this.userDao = userDao; } @Override public User login(String username, String password) { User user = userDao.getUserByUsernameAndPassword(username, password); if (user != null) { // 登录成功,将用户信息存储到Session中 // ... } return user; } } ``` 在上面的代码中,我们调用了UserDAO的方法来查询用户信息,并进行了登录验证。如果登录成功,我们可以将用户信息存储到Session中,以便在后续的请求中进行身份验证。 4. 编写Servlet类 在Servlet类中,我们需要获取用户输入的用户名密码,调用UserService的方法进行登录验证,然后将结果返回给前端页面。 LoginController.java: ```java @WebServlet("/login") public class LoginController extends HttpServlet { private UserService userService; @Override public void init() throws ServletException { // 在初始化方法中注入UserService的实现类 userDao = new UserDAOImpl(JDBCUtils.getConnection()); userService = new UserServiceImpl(userDao); } @Override protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { String username = request.getParameter("username"); String password = request.getParameter("password"); User user = userService.login(username, password); if (user != null) { // 登录成功,重定向到主页 response.sendRedirect("/index.jsp"); } else { // 登录失败,返回错误信息 request.setAttribute("errorMsg", "用户名密码错误"); request.getRequestDispatcher("/login.jsp").forward(request, response); } } } ``` 在上面的代码中,我们在init()方法中注入了UserService的实现类,并在doPost()方法中获取用户输入的用户名密码,调用UserService的方法进行登录验证,然后根据验证结果进行重定向或错误信息提示。 5. 编写JDBC代码 在JDBC代码中,我们需要获取数据库连接,并实现连接的关闭功能。 JDBCUtils.java: ```java public class JDBCUtils { private static String url = "jdbc:mysql://localhost:3306/test"; private static String user = "root"; private static String password = "123456"; public static Connection getConnection() { Connection conn = null; try { Class.forName("com.mysql.jdbc.Driver"); conn = DriverManager.getConnection(url, user, password); } catch (ClassNotFoundException | SQLException e) { e.printStackTrace(); } return conn; } public static void closeConnection(Connection conn) { if (conn != null) { try { conn.close(); } catch (SQLException e) { e.printStackTrace(); } } } } ``` 在上面的代码中,我们使用了JDBC的标准API来获取数据库连接,并实现了连接的关闭功能。 最后,我们需要在Web.xml中配置Servlet和JDBC的相关信息。 web.xml: ```xml <web-app> <servlet> <servlet-name>LoginController</servlet-name> <servlet-class>com.example.LoginController</servlet-class> </servlet> <servlet-mapping> <servlet-name>LoginController</servlet-name> <url-pattern>/login</url-pattern> </servlet-mapping> </web-app> ``` 以上就是一个完整的JavaWeb模拟登录案例,包括设计数据库、编写DAO层、Service层、Servlet类以及JDBC代码。需要注意的是,在实际开发中,我们应该对用户输入的用户名密码进行安全性验证,以防止SQL注入等攻击。此外,我们还应该使用HTTPS协议来保护用户的登录信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值