//1.注册驱动 反射技术,将驱动类加入到内容
Class.forName(“com.mysql.jdbc.Driver”);
//2.获得数据库连接 DriverManager类中静态方法
//static Connection getConnection(String url, String user, String password)
//返回值是Connection接口的实现类,在mysql驱动程序
//url: 数据库地址 jdbc:mysql://连接主机IP:端口号//数据库名字
String url = “jdbc:mysql://localhost:3306/mylogon”;
String username = “root”;
String password = “123456”;
Connection con = DriverManager.getConnection(url,username,password);
//3.获得语句执行平台
//Statement createStatement() 获取Statement对象,将SQL语句发送到数据库
Statement stat = con.createStatement();
//4.从控制台输入用户名和密码
Scanner sc = new Scanner(System.in);
String user = sc.nextLine();
String key = sc.nextLine();
//String sql1 = “select * from users where username=‘qwer’ and password=‘1234535’ or 1=1”;
String sql2 = “select * from users where username='”+ user +“‘and password=’”+ key +“'”;
System.out.println(sql2);
ResultSet res = stat.executeQuery(sql2);
while (res.next())
{
System.out.println(res.getString(“username”) + " " + res.getString(“password”));
}
con.close();
res.close();
stat.close();
}
当从控制台输入正确的账号和密码时,可以登录成功,但当输入任意账号和密码后,在密码后面加上 ‘or’ 1=1,也能够登录成功,这样就存在安全隐患
二、注入攻击解决方案
==========
可以使用 PrearedStatement 来解决注入攻击的问题,在Statement 接口的子接口中,有一个 PrearedStatement 接口,可以使 SQL 预编译存储,多次高效地执行 SQL,并能防止注入攻击。使用PreparedStatement pst = con.prepareStatement(sql):调用Connection接口的方法prepareStatement,获取PrepareStatement接口的实现类
-
执行SQL语句,数据表,查询用户名和密码,如果存在,登录成功,不存在登录失败
-
调用Connection接口的方法prepareStatement,获取PrepareStatement接口的实现类
-
调用PreparedStatement对象set方法,设置问号占位符上的参数
-
调用方法,执行SQL,获取结果集
public static void main(String[] args) throws SQLException, ClassNotFoundException {
//1.注册驱动 反射技术,将驱动类加入到内容
Class.forName(“com.mysql.jdbc.Driver”);
//2.获得数据库连接 DriverManager类中静态方法
//static Connection getConnection(String url, String user, String password)
//返回值是Connection接口的实现类,在mysql驱动程序
//url: 数据库地址 jdbc:mysql://连接主机IP:端口号//数据库名字
String url = “jdbc:mysql://localhost:3306/mylogon”;
String username = “root”;
String password = “123456”;
Connection con = DriverManager.getConnection(url,username,password);
//3.从控制台输入用户名和密码
Scanner sc = new Scanner(System.in);
String user = sc.nextLine();
String key = sc.nextLine();
//执行SQL语句,数据表,查询用户名和密码,如果存在,登录成功,不存在登录失败
String sql2 = “SELECT * FROM users WHERE username= ? AND PASSWORD= ?”;
//4、调用Connection接口的方法prepareStatement,获取PrepareStatement接口的实现类
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。
深知大多数Java工程师,想要提升技能,往往是自己摸索成长或者是报班学习,但对于培训机构动则几千的学费,着实压力不小。自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
因此收集整理了一份《2024年Java开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上Java开发知识点,真正体系化!
由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!
如果你觉得这些内容对你有帮助,可以扫码获取!!(备注Java获取)
最后
很多程序员,整天沉浸在业务代码的 CRUD 中,业务中没有大量数据做并发,缺少实战经验,对并发仅仅停留在了解,做不到精通,所以总是与大厂擦肩而过。
我把私藏的这套并发体系的笔记和思维脑图分享出来,理论知识与项目实战的结合,我觉得只要你肯花时间用心学完这些,一定可以快速掌握并发编程。
不管是查缺补漏还是深度学习都能有非常不错的成效,需要的话记得帮忙点个赞支持一下
整理不易,觉得有帮助的朋友可以帮忙点赞分享支持一下小编~
《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!
效,需要的话记得帮忙点个赞支持一下
整理不易,觉得有帮助的朋友可以帮忙点赞分享支持一下小编~
《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!