关于SQL注入可见博文https://blog.csdn.net/Z_nannan/article/details/116492920
1、在用户登录界面用户名处输入万能密码admin' or 1=1 --',密码处输入任意字符,点击登录,不能绕过后台登录系统。
原因:项目使用PreparedStatement方法完成SQL语句的执行,该方法要求在执行SQL语句之前,必须告诉JDBC哪些值作为输入参数,解决了普通Statement方法的注入问题,极大的提高了SQL语句执行的安全性。
2、修改用户登录模块的SQL查询相关语句如下所示,注意观察String sql=" "语句
3、再次运行项目,使用万能密码admin' or 1=1 --'进行登录,成功登录数据库第一个用户的账号(默认)