025_jdbc-mysql-Statement的sql注入问题

最新推荐文章于 2023-07-14 22:32:34 发布
最新推荐文章于 2023-07-14 22:32:34 发布
阅读量95 收藏
点赞数
分类专栏: MySql学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/aihiao/article/details/113408519
版权

1. 新建一个JDBCStatementProblem工程, 使用我们之前的JDBCUtil.java和jdbc.properties属性文件, 以及UserDao

2. 修改UserDaoImpl.java

package com.lywgames.dao.impl;

import java.sql.Connection;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;
import com.lywgames.dao.UserDao;
import com.lywgames.util.JDBCUtil;

public class UserDaoImpl implements UserDao {
	public void login(String username, String password) {
		Connection conn = null; 
		Statement st = null;
		ResultSet rs = null;
		
		try {
			// 1.获取连接对象
			conn = JDBCUtil.getConn(); 
			// 2.创建statement, 跟数据库打交道, 一定需要这个对象
			st = conn.createStatement();
			// 3.执行查询sql, 获取ResultSet结果集
			String sql = "select * from user where username='"+ username  +"' and password='"+ password +"'";
			System.out.println(sql);
			rs = st.executeQuery(sql);
			// 4.使用ResultSet结果集遍历
			if(rs.next()){
				System.out.println("登录成功");
			}else{
				System.out.println("登录失败");
			}
		} catch (SQLException e) {
			e.printStackTrace();
		} finally {
			// 5.释放资源
			JDBCUtil.release(conn, st, rs);
		}
	}
}

3. 输入任意用户名和密码, 在密码处拼接1=1, 运行程序, 居然登录成功了。

4. Statement执行, 其实是拼接sql语句的。 先拼接sql语句, 然后在一起执行。如果变量里面带有了数据库的关键字, 那么一并认为是关键字, 不认为是普通的字符串。 这里拼接 or 1=1, 永远为真, 返回登录成功。

自由与束缚JavaJavaScript
关注
专栏目录
jdbc_mysql(二)Statement实现sql注入,PrepareStatement解决注入
weixin_35695688的博客
05-31 253
一、 问题描述 目标:java通过键盘输入关键词拼接成sql去数据库中查找。 存在问题:键盘输入关键字,拼接后没有产生过滤效果,反而查出了所有记录 二、Statement代码实现 1.在src目录下新建injection.properties连接数据库的配置文件 url=jdbc:mysql://192.168.132.2:3306/mysql_test user=mysql_test password=BJjbHSKFGESJrtpP 2.新建连接数据库的工具类InjectionUtils,实现连接数据
java实现mysql拦截_JDBC - 使用 mysql-connector-java-5.1.13.jar 中的拦截器
weixin_33665771的博客
02-03 1369
// 加载MySql的驱动类try {Class.forName("com.mysql.jdbc.Driver"); // 注册驱动到DriverManager} catch (ClassNotFoundException e) {System.out.println("找不到驱动程序类 ,加载驱动失败!");e.printStackTrace();}// 连接MySql数据库String url...
mysqlStatementsql注入问题
m0_56525972的博客
12-21 1089
SQL注入问题: 通过SQL语言语法规则改变了程序设计的初衷,从而导入一些有问题的现象。 import java.sql.Connection; import java.sql.DriverManager; import java.sql.ResultSet; import java.sql.Statement; import java.util.Scanner; public class StatementDemo02 { public static void main(String...
Java JDBC 使用Statement 产生sql注入问题
BLWY_1124的博客
05-18 792
#Java JDBC 使用Statement 产生sql注入问题 Statement 对象用于执行静态SQL语句并返回其生成的结果对象 Statement 对象执行SQL语句,存在SQL注入风险 代码演示: 先创建一张表 -- 演示 sql 注入 -- 创建一张表 CREATE TABLE admin ( -- 管理员表 NAME VARCHAR(32) NOT NULL UNIQUE, pwd VARCHAR(32) NOT NULL DEFAULT '') CHARACTER S
JDBC 连接 MySQL
热门推荐
程序猿追的博客
04-18 10万+
JDBC 是 Java DataBase Connectivity (Java 数据连接)技术的简称,是一种可用于执行SQL 语句的 Java API。它由一些 java 语言编写的类和接口组成;程序员通过使用 jdbc 可以方便地将 SQL 语句传送给几乎任何一种数据库。......
数据库基础面试题-JDBC防止SQL注入的对象
songfelicity的博客
07-27 735
5.JDBC中,可以使用哪个对象来防止SQL注入? A. Statement B. SQLStatement C. PreparedStatement D. MySQLStatement 正确答案是:C 数据库基础面试题-高级32题
JDBC详讲Connection与 jdbc-Statement
&volume的博客
10-02 1864
next()函数用到函数:bool类型 next()(光标默认是指向数据的上一行)(1)将**光标**从当前位置向前移动一行(2)判断当前行是否为有效行返回值:TRUE 有效行FALSE 当前行无数据getxxx()函数getxx(参数)--函数--获取数据(打印数据)xxxgetxx(参数)xxx是类型 如 int String参数:int 列的编号(编号从1开始)String 列名称(可以写编号)
java preparestatement sql注入_浅析Statement和PreparedStatementSQL注入
weixin_30950075的博客
03-06 2655
一、SQL注入所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。上述语句摘自百度百科,可能对于有些人来说晦涩难懂,那么我举个最简单的例子,来体验这一过程;假设有一个登录表单,后台数据校验sql为select * from user where username = 'XXX' and password = 'XXX',...
Sharding-JDBC 源码之 SQL 解析
朝花夕拾
12-24 2031
基于 SpringBoot2.4 快速搭建一个 Demo,主要 jar 包依赖版本分别是: io.shardingsphere.sharding-jdbc-spring-boot-starter:3.0.0.M1 com.alibaba.druid-spring-boot-starter:1.1.17 org.mybatis.spring.boot.mybatis-spring-boot-starter:2.1.4 在执行 SQL 时,Sharding-JDBC 需要根据启动时获取到的数据源、路由等配置
5. MySQL - JDBC & SQL 注入 &博客系统(万字详解)
最新发布
qq_58969626的博客
07-14 2157
JDBC 的介绍;如何通过 JDBC 连接数据库;什么是 SQL 注入;通过 JDBC 实现简单的博客系统。
JDBC_MYSQL.rar_JDBC-MYSQL_java jdbc mysql_java sql 简单
09-21
在本示例中,我们关注的是使用JDBCMySQL数据库的连接,这也是一个常见的应用场景,因为MySQL是一个广泛使用的开源关系型数据库管理系统。 1. **JDBC基础**: - JDBC是Java中的一个API,它提供了多种方法来建立...
jdbc.rar_java jdbc_java 数据库 连接_jdbc_jdbc-odbc_数据 插入 删除
09-23
对于大多数关系型数据库,如MySQL、Oracle、SQL Server等,都有对应的JDBC驱动。以MySQL为例,你需要将`mysql-connector-java.jar`文件添加到项目的类路径中。 接下来,我们来看如何建立数据库连接。JDBC提供了一个...
jdbc-mysql.rar_JDBC mysql java
09-22
`Statement`用于执行静态SQL语句,而`PreparedStatement`则支持预编译的SQL语句,可以防止SQL注入,提高效率。 4. **执行SQL**:调用`Statement`或`PreparedStatement`的`executeQuery()`或`executeUpdate()`方法...
Java_MySQL_JDBC.rar_JDBC程序_java jdbc mysql_java mysql jd_jdbc 样例
09-24
但其不支持预编译和参数化查询,对于防止SQL注入等安全性问题稍显不足。 4. **PreparedStatement**:预编译的Statement,比Statement更高效且安全。它可以接受参数并预编译SQL语句,防止SQL注入,适合多次执行相同...
Mysql JDBC驱动 .zip_MYSQL_jdbc mysql_mysql jdbc_mysql jdbc driver_
09-20
Connection对象表示到数据库的连接,Statement用于执行SQL语句,而PreparedStatement则允许预编译SQL语句,提高性能并防止SQL注入攻击。ResultSet是查询结果的容器,用于遍历查询返回的数据。 **2. MySQL JDBC驱动...
005_MySQL数据类型
aihiao的专栏
05-12 2937
1. MySQL中定义数据字段的类型对你数据库的优化是非常重要的。 2. MySQL支持多种类型, 大致可以分为三类: 数值、日期/时间和字符串(字符)类型。 3. 日期类型 类型 字节数 取值范围 tinyint(迷你整型) 1byte (-128,127) smallint(小整型) 2bytes (-32768,...
028_jdbc-mysql大文本
aihiao的专栏
01-29 693
1. 例如我们存储一篇文章、大量文字, 就需要用到大文本。 2. MySQL的大文本类型有: tinytext, text, mediumtext, longtext。 3. JDBC中我们用PrepareStatement的SetClob和SetNClob来设置大文本存储;使用GetClob和GetNClob获取大文本数据。 4. 新建一个JDBC_CLOB工程, 使用我们之前的JDBCUtil.java和jdbc.properties属性文件, 同时在Resources目录下存放一个文本文件
017_标量函数
aihiao的专栏
05-19 606
1. 标量函数 1.1. ucase()/upper(): 将某个字段转换为大写。 1.2. lcase()/lower(): 将某个字段转换为小写。 1.3. mid(column_name,start,[length]): 从某个文本字段提取字符。 1.4. substring(column_name,start,[length]): 从某个文本字段提取字符。 1.5. length(): 返回某个文本字段的长度。 1.6. round(): 对某个数值字段进行指定小数位数的四舍五入。 1
027_jdbc-mysql几个常用的日期类型
aihiao的专栏
01-29 378
1. 表示年月日类型:java.sql.Date, 对应MySQL的date类型。 2. 表示时分秒类型:java.sql.Time, 对应MySQL的time类型。 3. 表示年月日时分秒类型:java.sql.Timestamp, 对应MySQL的timestamp类型。 4. 新建一个JDBCRiQi工程, 使用我们之前的JDBCUtil.java和jdbc.properties属性文件 5. 编写SqlTime.java, 打印java.sql的几个日期类型, java.sql.Time
mysql连接jdbc增删改_JDBC----用JDBC连接Mysql并进行增删改查操作
06-06
好的,我可以为您解答JDBC连接MySQL并进行增删改查操作的问题。 首先,您需要确保已经安装了MySQL数据库和Java开发环境。然后,您需要下载MySQL提供的JDBC驱动程序,将其添加到您的Java项目中。 接下来,您可以...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值