JDBC学习(一)--------SQL注入

最新推荐文章于 2024-03-05 14:03:22 发布
最新推荐文章于 2024-03-05 14:03:22 发布
阅读量131 收藏
点赞数
分类专栏: Java基础 文章标签: sql注入 JDBC
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cz_chen_zhuo/article/details/98475246
版权

一、JDBC的开发步骤
1.注册驱动
2.获得连接
3.获得语句执行者
4.执行sql语句
5.处理结果

二、导入驱动jar包
1.创建lib目录,用于存放项目所需要的jar包。选中jar包,复制粘贴即可。
2.选择lib目录下的jar包,右键执行build path—Add to Build Path。

三、API详解,注册驱动
代码:Class.forName(“com.mysql.jdbc.Driver”);
1.JDBC规范定义驱动接口:java.sql.Driver;
MySql驱动包提供了实现类:com.mysql.jdbc.Driver。

注意:只有在此时用的是jdbc下的包,以后导入包都选择sql包。

测试sql注入问题:
在进行sql语句注入时,如果存在sql语句的拼接,则不能够使用Statement stmt=conn.createStatement();此时会产生一个漏洞,用户可以通过输入特殊字符组成的字符串直接访问到数据库中。如login犯法。使用PreparedStatement方法则不会产生这种问题,因为PreparedStatement会对用户输入的内容进行预编译处理。
有很多中方法能够对应sql拼接产生的漏洞,这里的方法是现在接触中最为简单。
数据库中username=‘zs’,upassword=‘zs’。
当使用login方法时,由字符拼接的方式,此时用户输入zs’ or 'zs,仍然能够成功的在数据共查找到。
但是使用login1方法,就不能够通过查找。

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;

import org.junit.Test;

public class TestLogin {
	@Test
	public void testLogin(){
		try {
			login1("zs' or 'zs","zs");
		} catch (Exception e) {
			// TODO Auto-generated catch block
			e.printStackTrace();
		} 
	}
//	用户登录方法
	private void login(String username,String password) throws ClassNotFoundException, SQLException {
//		1.注册驱动
		Class.forName("com.mysql.jdbc.Driver");
//		2.获取连接
		Connection conn=DriverManager.getConnection("jdbc:mysql://localhost:3306/chatroom","root","root");
//		3.创建执行sql语句的对象
		Statement stmt=conn.createStatement();
//		4.书写一个sql语句
		String sql="select * from tbl_user where "+"uname='"+username+"' and upassword='"+password+"'";
//		5.执行sql语句
		ResultSet rs= stmt.executeQuery(sql);
//		6.对结果集进行处理
		if(rs.next()){
			System.out.println("恭喜您:"+username+"!登陆成功");
			System.out.println(sql);
		}else{
			System.out.println("账号或输入密码错误");
		}
		if(rs!=null){
			rs.close();
		}
		if(stmt!=null){
			stmt.close();
		}
		if(conn!=null){
			conn.close();
		}
	}
	public void login1(String username,String password) throws ClassNotFoundException, SQLException{
//		1.注册驱动
		Class.forName("com.mysql.jdbc.Driver");
//		2.获取连接
		Connection conn=DriverManager.getConnection("jdbc:mysql://localhost:3306/chatroom","root","root");
//		3.编写sql语句
		String sql ="select * from tbl_user where uname=? and upassword=?";
//		4.创建预处理对象
		PreparedStatement pr= conn.prepareStatement(sql);
//		5.设置参数(给占位符)
		pr.setString(1,username);
		pr.setString(2, password);
//		6.执行查询操作
		ResultSet rs=pr.executeQuery();
		if(rs.next()){
			System.out.println("恭喜您:"+username+"!登陆成功");
			System.out.println(sql);
		}else{
			System.out.println("账号或输入密码错误");
		}
		if(rs!=null){
			rs.close();
		}
		if(pr!=null){
			pr.close();
		}
		if(conn!=null){
			conn.close();
		}
	}
	
}
诗与猿方
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java-sql-inspector:用于测试Java代码是否存在SQL注入漏洞的实用程序
02-17
Java SQL检查器 用于测试Java代码是否存在SQL注入漏洞的实用程序。
mybatis-day01培训内容1
08-08
第一章 回顾jdbc开发 1)优点:简单易学,上手快,非常灵活构建SQL,效率高2)缺点:代码繁琐,难以写出高质量的代码(例如:资源的释放,SQL注入安全性等)
JDBC模拟SQL注入和避免SQL注入
YOU__FEI的博客
10-03 965
导致SOL注入的根本原因是:用户不是一般的用户,用户是懂得程序的,输入的用户名信息以及密码信息中含有SOL语句的关健字,这个SQL语句的关健字和底层的SQL语句进行 “字符串拼接”,导致原SQL语句的含义被扭曲了。最最最最最最主要的原因是:用户提供的信息参与了SQL语句的编译,这个程序是先进行的字符串拼接,然后再进行的SQL语句的编译,正好被注入...........
jdbc基本流程(注入数据源)
内沐的博客
10-22 456
1,在实现类中注入数据源 该数据源为在spring 配置文件中配置好的数据源 e,g: //注入数据源 @Resource private DataSource dataSource;2,jdbc基本流程 1,得到数据源 2,得到Connection 3,得到PreparedStatement
JDBC学习SQL注入
一点莹的博客
02-04 204
1.数据库驱动: 这里的驱动的概念和平时听到的那种驱动的概念是一样的,比如平时购买的声卡,网卡直接 插到计算机上面是不能用的,必须要安装相应的驱动程序之后才能够使用声卡和网卡,同样道理, 我们安装好数据库之后,我们的应用程序也是不能直接使用数据库的,必须要通过相应的数据库驱动程序,通过驱动程序去和数据库打交道。 应用程序----->Mysql驱动-------->Mysql数据库 2.JDBC的介绍: SUN公司为了简化、统一对数据库的操作,定义了一套Java操作数据库的规范由Java语言编写(
JavaWeb-JDBC
qq_56999608的博客
03-05 1173
学完了Java SE部分的内容后,继续学习Java EE。学习JavaWeb以及一些主流的开发框架如SSM,SpringBoot,SpringClound等。首先来学习JDBC,一个与数据库连接相关的API。
sharding-jdbc SQL支持详细列表
半生苦涩半生酸的博客
10-28 7217
SQL支持详细列表 由于SQL语法灵活复杂,分布式数据库和单机数据库的查询场景又不完全相同,难免有和单机数据库不兼容的SQL出现。 本文详细罗列出已明确可支持的SQL种类以及已明确不支持的SQL种类,尽量让使用者避免踩坑。 其中必然有未涉及到的SQL欢迎补充,未支持的SQL也尽量会在未来的版本中支持。 全局不支持项 动态表 未配置逻辑表和真实表对应关系的真实表,称为
JAVA程序开发大全---上半部分
12-15
10.2.3 控制反转中的依赖注入方式 164 10.3 Spring框架中的AOP编程 165 10.3.1 面向切面编程的原理 165 10.3.2 面向切面编程中的主要概念 166 10.4 使用MyEclipse实现Spring框架中的IoC编程 166 10.4.1 创建Spring...
Mycat2数据库中间件-其他
06-11
支持密码加密支持服务降级支持IP白名单支持SQL黑名单、sql注入攻击拦截支持分表(1.6)集群基于ZooKeeper管理,在线升级,扩容,智能优化,大数据处理(2.0开发版)。优点:1、基于阿里巴巴的开源项目Cobar,其稳定...
Mycat数据库中间件-其他
06-12
支持SQL黑名单、sql注入攻击拦截 支持分表(1.6) 集群基于ZooKeeper管理,在线升级,扩容,智能优化,大数据处理(2.0开发版)。 优点: 1、基于阿里巴巴的开源项目Cobar,其稳定性,可靠性,出色的体系结构和性能...
springboot(酒店管理系统)
04-25
开发语言:Java JDK版本:JDK1.8(或11) 服务器:tomcat 数据库:mysql 5.6/5.7(或8.0) 数据库工具:Navicat 开发软件:idea 依赖管理包:Maven 代码+数据库保证完整可用,可提供远程调试并指导运行服务(额外付费)~ 如果对系统的中的某些部分感到不合适可提供修改服务,比如题目、界面、功能等等... 声明: 1.项目已经调试过,完美运行 2.需要远程帮忙部署项目,需要额外付费 3.本项目有演示视频,如果需要观看,请联系我 4.调试过程中可帮忙安装IDEA,eclipse,MySQL,JDK,Tomcat等软件 重点: 需要其他Java源码联系我,更多源码任你选,你想要的源码我都有! 需要加v19306446185
BP神经网络matlab实例.doc
最新发布
04-25
数学模型算法
设计.zip
04-25
设计.zip
基于 Spring Cloud 组件构建的分布式服务架构
04-25
Java SSM项目是一种使用Java语言和SSM框架(Spring + Spring MVC + MyBatis)开发的Web应用程序。SSM是一种常用的Java开发框架组合,它结合了Spring框架、Spring MVC框架和MyBatis框架的优点,能够快速构建可靠、高效的企业级应用。 1. Spring框架:Spring是一个轻量级的Java开发框架,提供了丰富的功能和模块,用于开发企业级应用。它包括IoC(Inverse of Control,控制反转)容器、AOP(Aspect-Oriented Programming,面向切面编程)等特性,可以简化开发过程、提高代码的可维护性和可测试性。 2. Spring MVC框架:Spring MVC是基于Spring框架的Web框架,用于开发Web应用程序。它采用MVC(Model-View-Controller,模型-视图-控制器)的架构模式,将应用程序分为模型层、视图层和控制器层,提供了处理请求、渲染视图和管理流程的功能。 3. MyBatis框架:MyBatis是一个持久层框架,用于与数据库进行交互。它提供了一种将数据库操作与Java对象映射起来的方式,避免了手动编写繁琐的SQL语句,并提供了事务管理和缓存等功能,简化了数据库访问的过程
【微信小程序毕业设计】书店系统开发项目(源码+演示视频+说明).rar
04-25
【微信小程序毕业设计】书店系统开发项目(源码+演示视频+说明).rar 【项目技术】 微信小程序开发工具+java后端+mysql 【演示视频-编号:246】 https://pan.quark.cn/s/cb634e7c02b5 【实现功能】 用户信息管理,图书信息管理,图书类型管理,图书留言管理,论坛信息管理等
基于java的-44-17-宠物销售系统-源码.zip
04-25
提供的源码资源涵盖了Java应用等多个领域,每个领域都包含了丰富的实例和项目。这些源码都是基于各自平台的最新技术和标准编写,确保了在对应环境下能够无缝运行。同时,源码中配备了详细的注释和文档,帮助用户快速理解代码结构和实现逻辑。 适用人群: 适合毕业设计、课程设计作业。这些源码资源特别适合大学生群体。无论你是计算机相关专业的学生,还是对其他领域编程感兴趣的学生,这些资源都能为你提供宝贵的学习和实践机会。通过学习和运行这些源码,你可以掌握各平台开发的基础知识,提升编程能力和项目实战经验。 使用场景及目标: 在学习阶段,你可以利用这些源码资源进行课程实践、课外项目或毕业设计。通过分析和运行源码,你将深入了解各平台开发的技术细节和最佳实践,逐步培养起自己的项目开发和问题解决能力。此外,在求职或创业过程中,具备跨平台开发能力的大学生将更具竞争力。 其他说明: 为了确保源码资源的可运行性和易用性,特别注意了以下几点:首先,每份源码都提供了详细的运行环境和依赖说明,确保用户能够轻松搭建起开发环境;其次,源码中的注释和文档都非常完善,方便用户快速上手和理解代码;最后,我会定期更新这些源码资源,以适应各平台技术的最新发展和市场需求。 所有源码均经过严格测试,可以直接运行,可以放心下载使用。有任何使用问题欢迎随时与博主沟通,第一时间进行解答!
Web开发工具和方法课程的学术项目Java、Spring、Hibernate、Angular
04-25
Java SSM项目是一种使用Java语言和SSM框架(Spring + Spring MVC + MyBatis)开发的Web应用程序。SSM是一种常用的Java开发框架组合,它结合了Spring框架、Spring MVC框架和MyBatis框架的优点,能够快速构建可靠、高效的企业级应用。 1. Spring框架:Spring是一个轻量级的Java开发框架,提供了丰富的功能和模块,用于开发企业级应用。它包括IoC(Inverse of Control,控制反转)容器、AOP(Aspect-Oriented Programming,面向切面编程)等特性,可以简化开发过程、提高代码的可维护性和可测试性。 2. Spring MVC框架:Spring MVC是基于Spring框架的Web框架,用于开发Web应用程序。它采用MVC(Model-View-Controller,模型-视图-控制器)的架构模式,将应用程序分为模型层、视图层和控制器层,提供了处理请求、渲染视图和管理流程的功能。 3. MyBatis框架:MyBatis是一个持久层框架,用于与数据库进行交互。它提供了一种将数据库操作与Java对象映射起来的方式,避免了手动编写繁琐的SQL语句,并提供了事务管理和缓存等功能,简化了数据库访问的过程
spring-boot 集成geotools工具包(高分项目).zip
04-25
Java SSM项目是一种使用Java语言和SSM框架(Spring + Spring MVC + MyBatis)开发的Web应用程序。SSM是一种常用的Java开发框架组合,它结合了Spring框架、Spring MVC框架和MyBatis框架的优点,能够快速构建可靠、高效的企业级应用。 1. Spring框架:Spring是一个轻量级的Java开发框架,提供了丰富的功能和模块,用于开发企业级应用。它包括IoC(Inverse of Control,控制反转)容器、AOP(Aspect-Oriented Programming,面向切面编程)等特性,可以简化开发过程、提高代码的可维护性和可测试性。 2. Spring MVC框架:Spring MVC是基于Spring框架的Web框架,用于开发Web应用程序。它采用MVC(Model-View-Controller,模型-视图-控制器)的架构模式,将应用程序分为模型层、视图层和控制器层,提供了处理请求、渲染视图和管理流程的功能。 3. MyBatis框架:MyBatis是一个持久层框架,用于与数据库进行交互。它提供了一种将数据库操作与Java对象映射起来的方式,避免了手动编写繁琐的SQL语句,并提供了事务管理和缓存等功能,简化了数据库访问的过程
决策树.zip0002
04-25
决策树, 决策树(Decision Tree)是一种常见的数据挖掘算法,它模仿人类决策过程来预测数据。决策树是一种树形结构,它从根节点开始,分支延伸至叶节点,每个内部节点代表了某个特征的测试,而每个叶节点代表了最终的预测结果。
spring-boot-starter-jdbc
03-23
spring-boot-starter-jdbc是Spring Boot框架中的一个starter,它提供了与JDBC(Java Database Connectivity)相关的依赖和配置,使得在Spring Boot应用中使用JDBC变得更加简单和方便。 具体来说,spring-boot-...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值