一、了解
1、概念
数据库连接,被用于向数据库服务器发送命令和SQL语句,并接受数据库服务器返回的结果。
一个数据库连接就是一个Socket连接。
在java.sql包中有3个接口分别定义了对数据库的调用的不同方式:
—— Statement:用于执行静态SQL语句并返回它所生成结果的对象。
—— PrepatedStatement:SQL语句被预编译并存储在此对象中,可以使用此对象多次高效地执行该语句。
—— CallableStatement:用于执行SQL存储过程
2、使用Statement的弊端
(1)需要拼写SQL语句
@Test
public void testLogin() {
Scanner scanner = new Scanner(System.in);
System.out.print("请输入用户名:");
String user = scanner.next();
System.out.print("请输入密码:");
String password = Scanner.next();
String sql = "SELECT user,password FROM user_table WHERE user = '"+ user +"' AND password = '"+ password +"'";
User returnUser = get(sql,User.class);
if(returnUser != null){
System.out.println("登录成功");
}else{
System.out.println("用户名不存在或密码错误");
}
}
(2)并且存在SQL注入问题
@Test
public void testLogin() {
Scanner scanner = new Scanner(System.in);
System.out.print("请输入用户名:");
String user = scanner.nextLine();
System.out.print("请输入密码:");
String password = Scanner.next();
String sql = "SELECT user,password FROM user_table WHERE user = '1' or ' AND password = '=1 or '1' = '1'";
User returnUser = get(sql,User.class);
if(returnUser != null){
System.out.println("登录成功");
}else{
System.out.println("用户名不存在或密码错误");
}
}
补充说明:SQL注入是利用某些系统没有对用户输入的数据进行充分的检查,而在用户输入数据中注入非法的SQL语句段或命令,从而利用系统的SQL引擎完成恶意行为的做法。
3、如何避免出现SQL注入?
用PreparedStatement取代Statement