第二阶段:反射的概念和介绍、jdbc介绍及注入式攻击

最新推荐文章于 2020-03-10 15:10:09 发布
最新推荐文章于 2020-03-10 15:10:09 发布
阅读量247 收藏
点赞数 1
分类专栏: 第二阶段 文章标签: 第二阶段:反射的概念和介绍、jdbc介绍及注入式攻击

1、反射的概念
1、反射的应用场景
在框架中或者是应用中,往往会遇到如下的场景,就是知道一个类的字符串全名,从而能够构建这个字符串全名对
于的类对象,进而去执行操作。还要比如在框架中,我们要构建一个对象,这个对象一般不是用户去创建的,而是
由框架本身去创建,进而提供给用户使用。比如spring框架的配置,经常要创建很多的Bean对象。它就需要用到
反射。
**2、往往需要在程序运行的过程中,通过类的全名字符串去创建对象,进而去使用它的构造方法、成员变量、成员
方法。我们可以通过操作类的反射对象、属性、方法、构造方法的反射对象,从而达到对类的操作。
3、什么是反射?
任何对象在运行时都在内层中由一个对象,这个对象就是所谓的反射对象,它的类型是Class.
2、反射的API介绍
1)如何获得类对于的反射对象Class?
a)Class.forName(“类的全名字符串”); 比如 Class c=Class.forName(“com.kgc.User”);
b)类名.class(用的少),比如 Class c=User.class
c)对象名.getClass(),比如 User u=new User(); Class c=u.getClass(
2) 如何获得构造方法、属性、成员方法对应的反射对象?
getConstructor(Class<?>…
parameterTypes)
返回一个 Constructor 对象,它反映此 Class 对象所表示的类的
指定公共构造方法。
getDeclaredConstructor(Class<?>…
parameterTypes)
返回一个 Constructor 对象,该对象反映此 Class 对象所表示的
类或接口的指定构造方法。
getField(String name) 返回一个 Field 对象,它反映此 Class 对象所表示的类或接口的指
定公共成员字段。
getDeclaredField(String name) 返回一个 Field 对象,该对象反映此 Class 对象所表示的类或接口
的指定已声明字段。
getMethod(String name, Class<?>…
parameterTypes)
返回一个 Method 对象,它反映此 Class 对象所表示的类或接口
的指定公共成员方法
getDeclaredField(String name) 返回一个 Field 对象,该对象反映此 Class 对象所表示的类或接口
的指定已声明字段。
3)如何通过Field属性对应的反射对象操作属性?
Xxx getXxx(Object obj) 获取基本类型的属性值
Object get(Object obj) ) 得到引用类型属性值
void setXxx(Object obj,Xxx val) 将obj对象的该属性设置成val值
void set(Object obj,object val) 将obj对象的该属性设置成val值
void setAccessible(bool flag) 对获取到的属性设置访问权限
4)如何通过方法的反射对象Method去操作对象的方法?
Method setName = clz1.getMethod(“setName”, String.clas
3、演示操作
1)构建一个User类
public class User {
private Integer id;
private String name;
private Integer age;
public User() {
}
public User(Integer id, String name, Integer age) {
this.id = id;
this.name = name;
this.age = age;
}
public Integer getId() {
return id;
}
public void setId(Integer id) {
this.id = id;
}
public String getName() {
return name;
}
public void setName(String name) {
this.name = name;
}
public Integer getAge() {
return age;
}
public void setAge(Integer age) {
this.age = age;
}
public void info(){
System.out.println(“用户的信息是:”);
System.out.println(getId()+" “+getName()+” “+getAge());
}
}
2)构建User的反射对象
2)构建User的反射对象
public static void test1(){
try {
//1、通过全名构建
Class<?> clz1 = Class.forName(“com.kgc.entity.User”);
//2、通过类名.class
Class clz2 = User.class;
//3、通过对象来构建
User user=new User();
Class<? extends User> clz3 = user.getClass();
} catch (ClassNotFoundException e) {
e.printStackTrace();
}
}
2)获得构造方法的反射对象?
public static void test2() {
try {
//1、通过全名构建
Class<?> clz1 = Class.forName(“com.kgc.entity.User”);
//2、构建构造方法的反射对象,获得的是无参的构造反射对象
Constructor<?> constructor = clz1.getDeclaredConstructor();
Constructor<?> constructor1 = clz1.getDeclaredConstructor(Integer.class,
String.class, Integer.class);
} catch (Exception e) {
e.printStackTrace();
}
}
3)通过反射对象获得类的实例对象?
public static void test2() {
try {
//1、通过全名构建
Class<?> clz1 = Class.forName(“com.kgc.entity.User”);
//2、构建构造方法的反射对象,获得的是无参的构造反射对象
Constructor<?> constructor = clz1.getDeclaredConstructor();
Constructor<?> constructor1 = clz1.getDeclaredConstructor(Integer.class,
String.class, Integer.class);
//Object 实际是User对应的实例对象 User obj_user=new User();
User u2 = (User) clz1.newInstance();
//通过clz1,构建实例对象,相等于通过User obj=new User(1,”",12);
User u = (User) constructor1.newInstance(1, “张三”, 12);
u.info();
User u1 = (User) constructor.newInstance();
System.out.println("===");
u1.info();
System.out.println("=");
u2.info();
} catch (Exception e) {
e.printStackTrace();
}
}
说明:对应类的实例对象,要获得空参构造方法对应的实例对象,可以有两种方式,分别是
a)空参构造方法的反射对象去创建:User u1 = (User) constructor.newInstance();
b) 类的反射对象去创建:User u2 = (User) clz1.newInstance();
对应获得有参的实例对象,只能公共有参构造的反射对象去创建,比如 User u = (User)
constructor1.newInstance(1, “张三”, 12);这里的constructor1必须是构造方法的反射对象,而且是带参数的。
4)获得属性对应的反射对象,并操纵该对象对原始属性进行读写操作?
public static void test3() {
try {
//1、通过全名构建
Class<?> clz1 = Class.forName(“com.kgc.entity.User”);
//2、构建空参对象
Object obj = clz1.newInstance();
//3、获得id属性对应的反射对象
Field id = clz1.getDeclaredField(“id”);
id.setAccessible(true);
//4、设置id的属性值
id.set(obj,12);
//5、获得id的属性值
Object oid = id.get(obj);
Field name = clz1.getDeclaredField(“name”);
//设置操作权限
name.setAccessible(true);
//设置属性值
name.set(obj,“小红”);
//获得属性值
Object oname = name.get(obj);
//输出验证
System.out.println(oname);
System.out.println(oid);
} catch (Exception e) {
e.printStackTrace();
}
}
4)操作方法的反射对象,对原始的方法进行操作?
4、jdbc的概念
1、什么是JDBC?
它是Java语言操作数据库的技术,通过java代码发送sql语言到数据库,并执行语句。
2、什么是jdbc驱动?为什么每种数据库在发布后都会发布对应的驱动程序?
jdbc驱动实际上可以理解成操作某种数据库的java工具包。sun公司对操作数据库写了一组接口代码。数据库厂商
要生存下去,必须要有用户用。那么数据库厂商就必须遵循sun的规范去实现接口(写接口的实现类),我们编码
的时候使用接口就行了。至于用的是哪个数据库,我们不需要理睬。
3、JDBC的API
1)DriverManager:是驱动管理器
2)Connection对象:用来连接数据库
3)PreparedStatement对象和Statement对象:是用来发送sql语句执行对象。
4) 查询:ResultSet对象,结果集对象,对于查询的结果需要通过该对象获取。
4、使用步骤
1)构建驱动包到项目
2)构建利用DriverManager.getConnection(url,user,password)构建Connection对象
3) 利用Connection.createStatement()创建命令对象Statement对象
或者PreparedStatement pstmt = connection.prepareStatement(sql);
4)查询获得结果集
statement.executeQuery(sql)或者pstmt.executeQuery();
5)获得字段的值
6)反向关闭
import java.sql.*;
public class DeptDaoImpl {
public static void main(String[] args) {
DeptDaoImpl deptDao=new DeptDaoImpl();
deptDao.getDeptByDeptNo(20);
}
/

  • 功能:根据部门编号查询该部门的信息
  • @param deptNo
    /
    public void getDeptByDeptNo(Integer deptNo){
    Connection connection =null;
    Statement statement =null;
    ResultSet rs=null;
    try {
    //1、加载驱动
    Class.forName(“com.mysql.jdbc.Driver”);
    //2、创建连接对象
    connection = DriverManager
    .getConnection(“jdbc:mysql://localhost:3306/k9506”,
    “root”, “1234”);
    //3、命令执行对象
    statement = connection.createStatement();
    //4、结果集对象
    String sql=“select * from dept where deptno=”+deptNo;
    rs = statement.executeQuery(sql);
    //5、获得每条记录的每个字段的值
    if(rs.next()){
    int deptno = rs.getInt(“deptno”);
    String dname = rs.getString(“dname”);
    String loc = rs.getString(“loc”);
    //6、验证是否正确
    System.out.println(deptno+" “+dname+” "+loc);
    }
    } catch (Exception e) {
    e.printStackTrace();
    }finally {
    try {
    if(null!=rs){
    rs.close();
    }
    if(null!=statement){
    statement.close();
    }
    if(null!=connection){
    connection.close();
    }
    } catch (SQLException e) {
    e.printStackTrace();
    }
    }
    }
    5、jdbc注入式攻击
    public class UserDaoImpl {
    public static void main(String[] args) {
    UserDaoImpl userDao=new UserDaoImpl();
    String loginName=“admin”;
    // PASSWORD=‘abc’ OR ‘1=1’
    String password=“abc’ or '1=1”;
    boolean login = userDao.login(loginName, password);
    if(login){
    System.out.println(“登录成功”);
    }else{
    System.out.println(“登录失败”);
    }
    }
    /    *
  • 演示注入式攻击
  • @param loginName
  • @param password
  • @return
    */
    public boolean login (String loginName,String password){
    boolean isLogin=false;
    Connection connection =null;
    Statement statement =null;
    ResultSet rs=null;
    try {
    //1、加载驱动
    Class.forName(“com.mysql.jdbc.Driver”);
    //2、创建连接对象
    connection = DriverManager
    .getConnection(“jdbc:mysql://localhost:3306/k9506”,
    “root”, “1234”);
    //3、命令执行对象
    statement = connection.createStatement();
    //4、结果集对象
    String sql=“SELECT * from user WHERE loginName=’”+loginName+"’ and
    password=’"+password+"’";
    System.out.println(sql);
    rs = statement.executeQuery(sql);
    //5、获得每条记录的每个字段的值
    isLogin=rs.next();
    } catch (Exception e) {
    e.printStackTrace();
    }finally {
    try {
    if(null!=rs){
    rs.close();
    }
    if(null!=statement){
    statement.close();
    }
    if(null!=connection){
    connection.close();
    }
    } catch (SQLException e) {
    e.printStackTrace();
    }
    }
    return isLogin;
    }
  • 演示注入式攻击
  • @param loginName
  • @param password
  • @return
    */
    public boolean login1 (String loginName,String password){
    boolean isLogin=false;
    Connection connection =null;
    PreparedStatement pstmt=null;
    ResultSet rs=null;
    try {
    //1、加载驱动
    Class.forName(“com.mysql.jdbc.Driver”);
    //2、创建连接对象
    connection = DriverManager
    .getConnection(“jdbc:mysql://localhost:3306/k9506”,
    “root”, “1234”);
    String sql=“SELECT * from user WHERE loginName=? and password=?”;
    //3、命令执行对象
    pstmt = connection.prepareStatement(sql);
    //4、结果集对象
    pstmt.setString(1,loginName);
    pstmt.setString(2,password);
    System.out.println(sql);
    rs = pstmt.executeQuery();
    //5、获得每条记录的每个字段的值
    isLogin=rs.next();
    } catch (Exception e) {
    e.printStackTrace();
    }finally {
    try {
    if(null!=rs){
    rs.close();
    }
    if(null!=pstmt){
    pstmt.close();
    }
    if(null!=connection){
    connection.close();
    }
    } catch (SQLException e) {
    e.printStackTrace();
    }
    }
    return isLogin;
    }
T_Tonz
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
JAVA反射机制和JDBC和各种数据库的连接
07-07
JAVA的反射机制 JDBC连接各种数据库的方法
JDBC反射
weixin_30458043的博客
03-19 55
什么是JDBC Java定义了一套关于连接使用数据库的规范(接口)叫做JDBC,许多数据库厂商实现了这个规范,所以我们可以通过Java提供的接口编程,使得我们更换数据库的时候不用修改原来的代码,只需要通过修改配置文件即可,修改什么配置文件呢?下面说。 什么是反射 如果我们在程序运行的时候得到一个字符串,而这个字符串是某个类的类名,如果要实例化这个类,那么就需要用到反射。 ...
JDBC\反射
大灰狼的忧伤博客
09-16 701
JDBC概述  java  date base connectivity   JDBC是一种用于执行SQL语句的  java API   作者 sun公司   内容主要集成在 java.sql和 javax.sql中    oracle.jdbc.OracleDriver  是 oracle.jdbc.driver.OracleDriver 的直接子类    JDBC中的 事务管理 Tr...
简单的反射实现JDBC操作
Leon的博客
08-05 3087
创建User.java文件 /** 1. @Author: Chendc 2. @Date: 2019/7/23 19:57 */ public class User { private Long id; private String name; private Long age; private String email; public Lon...
反射机制在JDBC连接中的使用
简约不简单
07-26 384
1、数据库当中的表设计   2、对应数据表的实体Bean (id为主键)     public class EnginConfigVO { int id = 0; int THREADS_COUNT; /** * @return the id */ public int primaryGetId() { return id; } ...
shardingsphere 4.1.1 SQLFeatureNotSupportedException: isValid sharding-jdbc
01-15
sharding-jdbc-orchestration-4.1.1.jar sharding-jdbc-core-4.1.1.jar 参考下下面链接,更改源码 https://github.com/apache/shardingsphere/pull/6002/files/c191c9571ab5a2e9e6d3f0c0f84c8bb6cd36d851
java jdbc连接和使用详细介绍
08-31
主要介绍了 java jdbc连接和使用详细介绍的相关资料,需要的朋友可以参考下
Cause: com.mysql.jdbc.exceptions.jdbc4.MySQLSyntaxErrorException: ….. this is incompatible with sq
12-14
2、连接数超过系统最大连接数 3、Can’t connect to local MySQL server through socket ‘/Data/mydata/mysql.sock’ socket文件目录不对应导致的问题 4、今天要说的就是 没有打开only_full_group_by Cause:...
clickhouse-jdbc-bridge:从ClickHouse到外部数据库的JDBC代理
05-23
ClickHouse JDBC桥 用于ClickHouse:registered:的JDBC桥。 它充当无状态代理,将查询从ClickHouse传递到外部数据源。 使用此扩展,您可以跨多个数据源实时在ClickHouse上运行分布式查询,从而以某种方式简化了用于...
reflection_db_converstion_annotation:基于反射和注释的常规JDBC操作
05-14
General JDBC operation based on reflection and annotation./reflection_db_converstion_annotation/src/com/ubuntuvim/core/CoreDao.java 核心类 封装了 JDBC 的增删改查操作/reflection_db_converstion_...1, 2, 3,
详解Java 反射反射的应用场景
09-07
主要介绍了Java 反射反射的应用场景的相关资料,帮助大家更好的理解和学习Java反射的相关知识,感兴趣的朋友可以了解下
反射性DDos攻击类型及原理解析
煮酒闲谈
05-29 5682
攻击类型: 1、反射攻击:memcached反射攻击、NTP反射攻击、SSDP反射攻击 2、转发伪造跨域攻击 3、转发伪造本地攻击 原理解析: memcache 反射服务器资源 memcached 反射攻击利用了在互联网上暴露的大批量memcached 服务器(一种分布式缓存系统)存在的认证和设计缺陷,攻击者通过向 memcached 服务器 IP 地址的默认端口11211 ...
反射、注解与依赖注入总结
kongshaohui的博客
05-24 225
反射(Reflection) 反射概念 主要是指程序可以访问,检测和修改它本身状态或行为的一种能力,并能根据自身行为的状态和结果,调整或修改应用所描述行为的状态和相关的语义。 概念看着就有些晕或不知所云啦,可以通过反射的作用理解它的概念反射的作用 反射可以让我们在运行时获取类的属性,方法,构造方法、父类、接口等信息,通过反射还可以让我们在运行期实例化对象、调用方法、即使方法或属
攻击场景描述
Jane的私房菜
12-29 1142
作为一个内部攻击者,我要攻击的是一个正在给自己侄女申请留学基金的经理,我可以先制作一个伪装成留学基金申请的钓鱼网站,然后在谈话时无意向其透露这个网站的信息。当这位经理点击网站时,自动盗取他终端内的资料并且对这些资料进行删除或加密。 如果钓鱼网站伪装的足够好,并且在向其透露信息时能引起他的兴趣,那么他就有很大的概率去访问这个网站。
单例模式安全之反射攻击
古月的博客
03-10 533
单例模式这里就不谈了,什么是单例模式可参考七种Java单例模式详解,这里是关于单例模式安全方面的,当然了这里说的安全不是线程安全。 什么是反射攻击呢 在Java中,由于反射的功能实在是太强了,通过动态访问类并设置Access(如setAccessible(true))使得可以访问对象的私有属性方法等。 在单例模式中,我们使用private 修饰构造方法对外隐藏,防止外部new 对象,但是在反...
ddos中的tcp反射攻击技术分析
whatday的专栏
05-16 3282
我们常听说UDP反射攻击,那你听说过TCP反射攻击吗? 我们对TCP三次握手谙熟于心,但你确定服务器收到SYN包之后一定返回SYN/ACK吗? 现网的DDoS对抗中,基于TCP协议的反射攻击手法已经悄然兴起,而且出现了多次手法变种,对DDoS防护方带来严峻的挑战。新场景下的技术对抗如约而至。 0×00 引言 笔者之前曾撰写过一篇关于利用TCP协议发起的反射攻击的文章《小隐隐于野:基于TCP...
node-v0.8.10-sunos-x64.tar.gz
最新发布
05-16
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
【课程设计】实现的金融风控贷款违约预测python源码.zip
05-16
【课程设计】实现的金融风控贷款违约预测python源码.zip
node-v0.10.27-x86.msi
05-16
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
介绍 JDBC 4.2 和 4.3 区别
02-06
- JDBC 4.2 是 JDBC 4.1 的一个主要更新版本,它提供了许多新功能和改进,如更好的性能和更加便捷的开发体验。 - JDBC 4.3 是 JDBC 4.2 的一个主要更新版本,它主要提供了对 Java 8 的支持,包括对新的日期和时间 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值