Demo_JDBC_实现一个用户登陆的功能并改进sql的注入问题

最新推荐文章于 2021-05-11 08:25:36 发布
最新推荐文章于 2021-05-11 08:25:36 发布
阅读量377 收藏 1
点赞数 1
分类专栏: Demo 文章标签: string mysql java jdbc class
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SoarFly0807/article/details/77618984
版权

图解如何使用JDBC实现一个用户登陆的功能

实现一个用户登录的功能

1、新建一个Java Project项目

2、新建一个User类对应MySQL中的users表
这里写图片描述

package com.soar.entity;

import java.util.Date;

public class User {
    private int id;
    private String name;
    private String password;
    private String email;
    private Date birthday;
    public int getId() {
        return id;
    }
    public void setId(int id) {
        this.id = id;
    }
    public String getName() {
        return name;
    }
    public void setName(String name) {
        this.name = name;
    }
    public String getPassword() {
        return password;
    }
    public void setPassword(String password) {
        this.password = password;
    }
    public String getEmail() {
        return email;
    }
    public void setEmail(String email) {
        this.email = email;
    }
    public Date getBirthday() {
        return birthday;
    }
    public void setBirthday(Date birthday) {
        this.birthday = birthday;
    }
    @Override
    public String toString() {
        return "User [id=" + id + ", name=" + name + ", password=" + password + ", email=" + email + ", birthday="
                + birthday + "]";
    }


}

3、新建一个DBUtils类

package com.soar.util;

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;
import java.util.ResourceBundle;


public class DBUtils {

    private static String driverClass;
    private static String url;
    private static String user;
    private static String password;

    static{
        ResourceBundle rb = ResourceBundle.getBundle("dbinfo");
        //给上面四个变量赋值
        driverClass = rb.getString("driverClass");
        url = rb.getString("url");
        user = rb.getString("user");
        password = rb.getString("password");

        try {
            Class.forName(driverClass);
        } catch (Exception e) {

            e.printStackTrace();
        }
    }

    //得到连接
    public static Connection getConnection() throws Exception{
        return DriverManager.getConnection(url, user, password);
    }

    //关闭资源
    public static void closeAll(ResultSet rs,Statement stmt,Connection conn){
        if(rs!=null){
            try {
                rs.close();
            } catch (SQLException e) {

                e.printStackTrace();
            }
            rs = null;
        }

        if(stmt!=null){
            try {
                stmt.close();
            } catch (SQLException e) {

                e.printStackTrace();
            }
            stmt = null;
        }

        if(conn!=null){
            try {
                conn.close();
            } catch (SQLException e) {

                e.printStackTrace();
            }
            conn = null;
        }

    }
}

4、创建一个properties的配置文件和DBUtils类进行关联
这里写图片描述
注意:不用加分号

5、创建一个DoLogin类

package com.soar.service;

import java.sql.Connection;
import java.sql.ResultSet;
import java.sql.Statement;

import com.soar.entity.User;
import com.soar.util.DBUtils;

public class DoLogin {

    /**
     * 根据用户名和密码查询用户对象信息
     * @param name
     * @param pwd
     * @return u
     */

    public User findUser(String name, String pwd){
        Connection conn = null;
        Statement stmt = null;
        ResultSet rs = null;

        User u = null;
        try {
            conn = DBUtils.getConnection(); //得到连接对象
            stmt = conn.createStatement();  //得到执行sql语句的对象
            rs = stmt.executeQuery("SELECT * FROM users WHERE NAME='"+name+"' AND PASSWORD='"+pwd+"'"); //执行sql语句
            if(rs.next()){
                u = new User();
                u.setId(rs.getInt(1));
                u.setName(rs.getString(2));
                u.setPassword(rs.getString(3));
                u.setEmail(rs.getString(4));
                u.setBirthday(rs.getDate(5));
            }
        } catch (Exception e) {

            e.printStackTrace();
        }finally{
            DBUtils.closeAll(rs, stmt, conn);
        }

        return u;
    }
}

注意事项:在调用executeQuery()方法时,括号中的sql语句应该在SQLyog中写完后复制到MyEclipse中,因为如果在ME中写sql语句即使写错了,编译器也不会报错。

6、创建一个Login类

package com.soar.client;

import java.util.Scanner;

import com.soar.entity.User;
import com.soar.service.DoLogin;

public class Login {
    public static void main(String[] args) {
        Scanner input = new Scanner(System.in);

        System.out.println("请输入用户名:");
        String name = input.nextLine();
        System.out.println("请输入密码:");
        String pwd = input.nextLine();

        DoLogin dl = new DoLogin();
        User user = dl.findUser(name, pwd); //调用查询用户的方法

        if(user!=null){
            System.out.println("欢迎你:"+user.getName());
        }else{
            System.out.println("用户名和密码错误!");
        }
    }
}

7、运行Login类

MySQL中的数据表
这里写图片描述

Console中输入正确的信息
这里写图片描述

Console中输入错误的信息
这里写图片描述

8、在 DoLogin类中程序代码不完善,存在sql注入问题
当任意输入一个用户名后,在输入密码时填写如下语句会把
所有的数据库信息都调出来

请输入用户名:
sdaf
请输入密码:
fdsa ' or '1'='1

这里写图片描述

这里写图片描述

解决方法:使用preparedStatement来代替Statement

preparedStatement:预编译对象, 是Statement对象的子类。
特点:
性能要高
会把sql语句先编译
sql语句中的参数会发生变化,过滤掉用户输入的关键字。

这里写图片描述

这里写图片描述

改进后的DoLogin类代码:

package com.soar.service;

import java.sql.Connection;
import java.sql.ResultSet;

import com.mysql.jdbc.PreparedStatement;
import com.soar.entity.User;
import com.soar.util.DBUtils;

public class DoLogin {

    /**
     * 根据用户名和密码查询用户对象信息
     * @param name
     * @param pwd
     * @return u
     */

    public User findUser(String name, String pwd){
        Connection conn = null;
        PreparedStatement stmt = null;
        ResultSet rs = null;

        User u = null;

        try {
            conn = DBUtils.getConnection(); //得到连接对象
            String sql = "SELECT * FROM users WHERE NAME=? AND PASSWORD=?";
            stmt =  (PreparedStatement) conn.prepareStatement(sql); //得到执行sql语句的对象
            //给?赋值
            stmt.setString(1, name);
            stmt.setString(2, pwd);
            rs = stmt.executeQuery();   //执行sql语句
            if(rs.next()){
                u = new User();
                u.setId(rs.getInt(1));
                u.setName(rs.getString(2));
                u.setPassword(rs.getString(3));
                u.setEmail(rs.getString(4));
                u.setBirthday(rs.getDate(5));
            }
        } catch (Exception e) {

            e.printStackTrace();
        }finally{
            DBUtils.closeAll(rs, stmt, conn);
        }

        return u;
    }
}

这里写图片描述

Soar_Sir
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
jdbc_demo.zip_DEMO_jdbc java demo
09-21
java jdbc使用基本代码,很基础的一些使用方法
JDBC连接mysql数据库 --实现用户登录功能
闽江程程的博客
06-23 909
1.使用MySQL数据库新建数据库并且在中新建user表,包含三个属性id、username、password,给定一条数据设置账号密码admin,123。 2.在idea中创建实体类 2.1User类 public class User { private Integer id; private String username; private String password; public User() { } public User(Integer
mysql执行多条语句
xd1501013的博客
04-16 1万+
最近因为删除信息的自增序列断裂问题,不得不重新排序,也就是需要在java代码中执行多条sql语句。 问题引出 最开始,是这样做的 在mysql中执行以上代码,发现序列重新排好了,详见:https://blog.csdn.net/xd15010130025/article/details/89319380 但是在java中运行却遇到了一下问题,将sql语句拼接在一起 报错为 可是语句明明和my...
sql登录注入
陈羽
09-06 2083
早在02年,国外关于SQL注入漏洞的技术文章已经很多,而国内在05年左右才开始的。   如今,谈SQL注入漏洞是否已是明日黄花,国内大大小小的网站都已经补上漏洞。但,百密必有一疏,入侵是偶然的,但安全绝对不是必然的。   前些天,网上传得沸沸扬扬的“拖库”事件给我们敲响了安全警钟。   在开发网站的时候,出于安全考虑,需要过滤从页面传递过来的字符。通常,用户可以通过以下接口调用数据库的
JDBC编程之连接Mysql数据库实现SQL注入问题讲解(超详细!!!)
shaomingmin的博客
06-14 333
1.数据库驱动 2.JDBC SUN公司为了简化开发人员对数据库的统一操作,提供了一个Java操作数据库的规范,俗称JDBC。这些规范的实现由具体的数据库生产商去做,开发人员只需要掌握JDBC接口的操作即可。 1.所需要的包: java.sql javax.sql 需要导入一个数据库驱动包:mysql-connector-java-8.0.20.jar 2.jdbc代码: package jdbcProject; //第一步:导入必须的包 import java.sql.*; public cl
demo_jdbc_DEMO_
09-29
作为一个初学者,这方面的知识我真的什么也不懂,只能实现一点点的小功能jdbc连接数据库
Demo.zip_DEMO_jdbc
09-23
my sql链接Java小程序所使用的jdbc桥驱动程序
SQL_demo.rar_DEMO_LabVIEW SQL_labview_labview范例_sql
09-20
用labview实现一个SQL范例,大家可以参考
jdbcDemo_jdbc_
10-01
jdbc 连接数据库 通用源代码,适合各种数据库,修改下就行了。
Spring连接数据库的方式1:利用Spring实现bean属性setter方式注入
刘哥聊技术
11-24 2255
利用Spring实现bean属性setter方式注入 JDBCDataSource类封装了管理数据库连接的方法getConnection(),  这个方法在执行之前需要数据库连接参数: 数据库驱动, 连接URL, 用户名和密码. 利用Spring配置文件applicationContext.xml配置bean, 并且setter参数注入JDBCDataSource的连接参数, 
5、sql注入
酸奶牛的博客
05-11 129
用户名:qwer 密码:fdsa’or’1’='1 登录成功! SQL注入原因? 用户输入的信息中含有sql语句的关键字,【并且】这些关键字参与sql语句的编译过程。导致sql语句的原意被扭曲,进而达到sql注入 怎么解决SQl注入问题? 使用java.sql.PreparedStatement,该接口继承了java.sql.Statement接口。即使用户提供的信息含有sql语句关键字,但是没有参与编译,不起作用 PreparedStatement属于预编译的数据库操作对象。 Prepared
使用JDBC连接MySQL数据库--典型案例分析(五)----用户名密码验证功能
悟已往之不谏,知来者之可追
06-15 1万+
前几次有网友转载我的博客也声称原创,我实在对这种人很无语耶,我转载其他人的博客从来都是很尊重的,该是转载的就写明了转载,虽然这里没有人去要求,但是这是对只是的一种尊重,对他人的尊重。人与人之间应如此,哪怕情侣之间也是如此(虽然我没有谈恋爱),但是在生活中我看到无论是小情侣还是小两口,总存在我觉得不尊重对方的地方,这样并不好。 言归正传,这节谢谢如何进行用户名的验证功能。 转载请注明:http:
SQL 语句小Demo
冷静
04-16 319
这篇文章主要总结一些,常用的SQL语句,方便以后用的上直接复制粘贴 建表 create table users( id int(11) primary key not null auto_increment, name varchar(255) default '' not null, email varchar(255) default '' not null, ...
一篇搞定JDBCMysql基础】
liudachu的博客
05-08 273
目录1.JDBC2.JDBC的本质模拟JDBC3.导入jar包4.JDBC编程六步用户登录验证5.解决SQL注入问题用户登录改进后6.对比Statement和PreparedStatement7.演示只能使用Statement对象不能使用PreparedStatement的业务需求用户输入sql语句8.JDBC事务控制三段重要代码应用于数据库用户之间的转账 1.JDBC Java Database Connectivity(java语言连接数据库) 2.JDBC的本质 JDBC是SUN公司制定的一套接口(
Spring Boot Jpa实现简单的查询findByUsernameAndPassword
热门推荐
xuyonjin的博客
03-02 1万+
版权声明:本文为博主原创文章,欢迎转载,转载请注明作者、原文超链接 ,博主地址:http://blog.csdn.net/xuyonjinJPA        JPA是Java Persistence API的简称,中文名Java持久层API,是JDK 5.0注解或XML描述对象-关系表的映射关系,并将运行期的实体对象持久化到数据库中。        JPA 的目标之一是制定一个可以由很多供应商实...
JDBC实现DML,DQL以及注入现象解释和解决方案
qq_45796208的博客
09-07 775
JDBC 1、JDBC是什么? Java DataBase Connectivity(Java语言连接数据库) 2、JDBC的本质是什么? JDBC是SUN公司制定的一套接口(interface) java.sql.*; (这个软件包下有很多接口。) 接口都有调用者和实现者。 面向接口调用、面向接口写实现类,这都属于面向接口编程。 为什么要面向接口编程? 解耦合:降低程序的耦合度,提高程序的扩展力。 多态机制就是...
用户模块之用户登录相关(有sql注入攻击)
yjsuge的专栏
06-29 2186
在这里关系到异常的处理,一种是声明式异常,一种是编程式异常,在这里用了编程式异常首先要建立两个类,都继承自RuntimeException/**  * 用户登录  * @param userId  * @param password  * @return  */ public User login(String userId, String password) {  User user =
帮我写一段代码,要求使用jdbc查询sql语句,规避sql注入漏洞,sql中的标名是动态的
最新发布
08-30
以下是一个示例代码,演示如何在JDBC中使用参数化查询,并规避SQL注入漏洞: ``` import java.sql.Connection; import java.sql.DriverManager; import java.sql.PreparedStatement; import java.sql.ResultSet; ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值