java 项目简单操作 mysql

39 篇文章 0 订阅

首先建立表,和插入数据:

CREATE TABLE users (
userId INT PRIMARY KEY,
username VARCHAR(20),
passwd VARCHAR(20),
grade INT);

INSERT INTO `users` (`userId`, `username`, `passwd`, `grade`) VALUES('1','admin','123','1');
INSERT INTO `users` (`userId`, `username`, `passwd`, `grade`) VALUES('2','hou','123','2');
INSERT INTO `users` (`userId`, `username`, `passwd`, `grade`) VALUES('3','test','123','3');

java 文件中只显示 username 和 passwd,自己可以更改。

import java.sql.*;

public class Mysql {
	public static void main(String[] args){
		String driver = "com.mysql.jdbc.Driver";
		String url = "jdbc:mysql://127.0.0.1:3306/db_hou";
		String user = "root"; 
		String password = "123456";
		try { 
	    	Class.forName(driver);
	        Connection conn = DriverManager.getConnection(url, user, password);
	        if(!conn.isClosed()) 
	        	System.out.println("Succeeded connecting to the Database!");
	        Statement statement = conn.createStatement();
	        String sql = "select * from users";
	        ResultSet rs = statement.executeQuery(sql);
	        System.out.println("-----------------");
	        System.out.println("result");
	        System.out.println("-----------------");
	        System.out.println("name" + "\t" + " passwd");
	        System.out.println("-----------------");
	        String name = null;
	        while(rs.next()) { 
	        	name = rs.getString("passwd");
	        	name = new String(name.getBytes("ISO-8859-1"),"GB2312");
	        	System.out.println(rs.getString("username") + "\t" + name);
	        }
	        rs.close();
	        conn.close();
		}
		catch(ClassNotFoundException e) {
			System.out.println("Sorry,can`t find the Driver!"); 
			e.printStackTrace();
		} 
		catch(SQLException e) {
			e.printStackTrace();
		}
		catch(Exception e) {
			e.printStackTrace();
		} 
	} 
}

这里需要引入依赖包:mysql-connector-java-5.1.6-bin.jar,项目右键 properties,java build path,add external jars。


关于sql 注入漏洞:对于之前的表和数据,查询语句可以是:

SELECT * FROM users WHERE username='admn' AND passwd='123';
这样只能显示这一个用户,且如果密码或者用户名输入错误,就不能查询到任何信息,但如果,密码加上一段话  OR 1='1'

SELECT * FROM users WHERE username='admn' AND passwd='564' OR 1='1';
这样就算你输入错误的用户名,也能查询到所有用户的信息。

比如在登录项目中:点击打开链接

用户名随便输入,密码输入 ' OR 1='1 就可以进入到 welcome 页面下。

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值