JDBC登录实践和SQL注入解决方法

最新推荐文章于 2022-04-04 16:09:25 发布
最新推荐文章于 2022-04-04 16:09:25 发布
阅读量146 收藏
点赞数
分类专栏: SpringJDBC
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ghf183184/article/details/116650857
版权

登录实践操作

/*
1.会出现SQL注入操作
2.测试结果
	用户名:fff
	密码:fff' or '1'='1
	登录成功
*/
public class JDBCTest01{
    public static void main(String[] args){
        //初始化一个界面
        Map<String,String> userLoginInfo = initUI();
        //验证用户名和密码
        boolean loginSuccess = login(userLoginInfo);
        //最后输出结果
        System.out.println(loginSuccess ? "登陆成功" : "登录失败");
    }
    /*
    用户登录
    userLoginInfo 用户登录信息
    return false表示失败   true表示成功
    */    
    pricate static boolean login(Map<String,String> userLoginInfo){
        //打标记的意识
        boolean loginSuccess = false;
        //单独定义变量
        String loginName = userLoginInfo.get("loginName");
        String loginPwd = userLoginInfo.get("loginPwd");
        //JDBC代码
        Connection conn = null;
        Statement stmt = null;//使用PreparedStatement(预编译的数据库操作对象)
        ResultSet re = null;
        try{
            //1.注册驱动
            Class.forName("com.mysql.jdbc.Driver");        		//2.获取连接
            conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/bjpowernode","root","root");
            //3.获取与编译的数据库操作对象
            stmt = conn.createStatement();
            //4.执行SQL
            String sql = "select * from t_user where loginName = '"+loginName+"' and loginPwd = '"+loginPwd+"' ";
            re = stmt.executeQuery(sql);
            //5.处理结果集
            if(re.next()){
                //登录成功
                loginSuccess = true;
            }
        }catch(Exception e){
            e.printStackTrace();
        }finally{
            //6.释放资源
            if(re!=null){
                try{
                    re.close();
                }
                catch(Exception e){
                    e.printStackTrace();
                }
            }
            if(stmt!=null){
                try{
                    stmt.close();
                }
                catch(Exception e){
                    e.printStackTrace();
                }
            }
            if(conn!=null){
                try{
                    conn.close();
                }
                catch(Exception e){
                    e.printStackTrace();
                }
            }
        }
    }
    private static Map<String,String> initUi(){
        Scanner s = new Scanner(System.in);
        System.out.print("用户名:");
        String loginName = s.nextLine();
        System.out.print("密码:");
        String loginPwd = s.nextLine();
        Map<String,String> userLoginInfo = new HashMap<>();
        userLoginInfo.put("loginName",loginName);
        userLoginInfo.put("loginPwd",loginPwd);
        return userLoginInfo;
    }
}

SQL注入解决方法

/*
1.解决SQL注入问题
	只要用户提供的信息不参与SQL语句的编译过程,问题就解决了
	即使用户提供的信息中含有SQL语句的关键字,但是没有参与编译
	要想用户信息不参与SQL语句的编译,那么必须使用java.sql.PreparedStatement
	PreparedStatement接口继承了java.sql.Statement
	PreparedStatement是属于预编译的数据库操作对象
	PreparedStatement的原理是:预先对SQL语句的框架进行编译,然后再给SQL语句传"值"
2.测试结果
	用户名:fff
	密码:fff' or '1'='1
	登录失败
3.解决SQL注入的关键是:
	用户提供的信息中即使含有SQL语句的关键字,但是这些关键字并没有参与编译,不起作用
4.PreparedStatement和Statement区别
	Statement存在SQL注入问题,PreparedStatement解决了SQL注入问题
	Statement是编译一次执行一次,PreparedStatement是编译一次,可执行N次,PreparedStatement效率较高一些
	PreparedStatement会在编译阶段做类型的安全检查
5.什么情况下必须使用Statement?
	业务方面要求必须支持SQL注入的时候
	Statement支持SQL注入,凡是业务方面要求是需要进行SQL语句拼接的,必须使用Statement
*/
public class JDBCTest01{
    public static void main(String[] args){
        //初始化一个界面
        Map<String,String> userLoginInfo = initUI();
        //验证用户名和密码
        boolean loginSuccess = login(userLoginInfo);
        //最后输出结果
        System.out.println(loginSuccess ? "登陆成功" : "登录失败");
    }
    /*
    用户登录
    userLoginInfo 用户登录信息
    return false表示失败   true表示成功
    */    
    pricate static boolean login(Map<String,String> userLoginInfo){
        //打标记的意识
        boolean loginSuccess = false;
        //单独定义变量
        String loginName = userLoginInfo.get("loginName");
        String loginPwd = userLoginInfo.get("loginPwd");
        //JDBC代码
        Connection conn = null;
        PreparedStatement ps = null;//使用PreparedStatement(预编译的数据库操作对象)
        ResultSet re = null;
        try{
            //1.注册驱动
            Class.forName("com.mysql.jdbc.Driver");        		//2.获取连接
            conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/bjpowernode","root","root");
            //3.获取与编译的数据库操作对象
            //SQL语句的框子 其中一个 ? 代表一个占位符,一个 ? 将来接收一个"值",注意:占位符不能使用单引号括起来
            String sql = "select * from t_user where loginName = ? and loginPwd = ? ";
            //程序执行到此处,会发送SQL语句框子给DBMS,然后DBMS进行SQL语句的预先编译
            ps = conn.prepareStatement(sql);
            //给占位符 ? 传值(第一个问号下标为1,第二个问号下标为2,JDBC中所有下标从1开始)
            ps.setString(1,loginName);
            ps.setString(2,loginPwd);
            //4.执行SQL
            re = ps.escuteQuery()//SQL语句已经预先编译,不需要再插入SQL语句
            //5.处理结果集
            if(re.next()){
                //登录成功
                loginSuccess = true;
            }
        }catch(Exception e){
            e.printStackTrace();
        }finally{
            //6.释放资源
            if(re!=null){
                try{
                    re.close();
                }
                catch(Exception e){
                    e.printStackTrace();
                }
            }
            if(ps!=null){
                try{
                    ps.close();
                }
                catch(Exception e){
                    e.printStackTrace();
                }
            }
            if(conn!=null){
                try{
                    conn.close();
                }
                catch(Exception e){
                    e.printStackTrace();
                }
            }
        }
    }
    private static Map<String,String> initUi(){
        Scanner s = new Scanner(System.in);
        System.out.print("用户名:");
        String loginName = s.nextLine();
        System.out.print("密码:");
        String loginPwd = s.nextLine();
        Map<String,String> userLoginInfo = new HashMap<>();
        userLoginInfo.put("loginName",loginName);
        userLoginInfo.put("loginPwd",loginPwd);
        return userLoginInfo;
    }
}
挽歌亽朽年
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JDBCsql注入
qq_53755636的博客
08-20 258
JDBC全称是Java Database Connectivity(java数据库连接),是java连接数据库的标准和规范。SQL注入攻击是通过操作输入来修改SQL语句,用以达到执行代码对WEB服务器进行攻击的方法
jdbcsql注入
林高禄
06-24 9001
什么是sql注入呢 百度百科:SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息 下面我们就通过一个例子来演示一下,例子是通过jdbc连接查account表中的数据,然后用实体类Account封装起来,返回这个类的集合 jdbc工具类代码 package com.lingaol.
SQL注入问题及解决方法JDBC事务处理
quwenjing_blog
10-19 211
SQL注入 利用非法的SQL拼接来达到入侵数据库的目的。 示例: 数据库中用户信息: 以登录为例: public class User { /* 登陆方法 */ boolean doLogin(String name,String passwd){ boolean result = false; try { //加载数据库驱动 Class.forName("co.
JDBC——SQL注入解决SQL注入方法
hjk12345678910的博客
04-13 554
SQL注入原理 如下列代码 String sql="select * from t_user where loginName='"+userLoginInfo.get("loginName")+"' and passWord='"+userLoginInfo.get("passWord")+"'"; rs=s.executeQuery(sql); 在接收用户输入用户名和密码时,如果用户输入用户名为qw,密码输入qw’ or ‘1’='1,则执行的sql语句变为 select * from hero w
JDBC解决SQL注入问题
MarconiYe的博客
04-04 886
我们在通过JDBC执行SQL语句时,为了避免SQL注入,可以用PrepareStatement来代替Statement来获取数据库操作对象,这两个接口的区别如下(如果对JDBC基础操作不熟悉,可参考我的另一篇文章) Statement接口: 先进行字符串的拼接,再进行SQL语句的编译,这就给到了不法分子可乘之机 PrepareStatement接口: 先进行SQL语句的预编译,再进行传值操作,可以有效避免SQL注入问题 Statement state = con.createStatement(); S
解决JDBC实现用户登录时出现SQL注入问题详解
何义竏
11-25 1119
JDBC实现用户登录时出现SQL注入问题JDBC实现用户登录SQL注入解决SQL注入 JDBC实现用户登录: public class jdbcTest06{ public satic void main(String[] args){ Map<String,String> userLoginInfo initUI(); boolean loginSuccess = login(userLoginInfo); System.out.println(
JDBC连接Mysql数据库一实现登录注册功能
一米九的博客
01-26 2925
目录前言1、需求2、业务描述3、数据准备4、编程步骤5、实现源码6、程序存在bug(1)导致这种现象的原因是什么?(2)解决SQL注入(3)总结:7、对比一下statement和preparestatement: 前言 JDBC是SUN公司制定的一套接口(interface) 1、需求 模拟用户登录功能的实现 2、业务描述 程序运行时,提供一个输入的入口,可以让用户输入用户名和密码。用户输入用户名和密码之后,提交信息,java程序收集到用户信息后,连接数据库验证用户名和密码是否合法。 合法:提示登陆.
JDBC如何有效防止SQL注入
12-14
SQL注入是一种常见的网络安全威胁,它允许...总的来说,防止SQL注入的关键在于对用户输入的严格管理和控制,以及在数据库访问层面上采用安全的编程实践。结合这些方法,可以显著降低SQL注入的风险,保护系统免受攻击。
SQL注入漏洞过程实例及解决方案
12-14
这个修改后的查询语句总是返回至少一条记录,即使密码错误,用户也可以成功登录,这就是SQL注入攻击的后果。 为了解决这个问题,应当避免直接拼接SQL字符串。推荐使用预编译的`PreparedStatement`,它可以有效防止...
sqljdbcsqljdbc4 sqlserver最新驱动
04-21
在实际使用时,要注意安全最佳实践,比如避免SQL注入,使用预编译的PreparedStatement,及时关闭数据库连接,以及考虑使用连接池以提高性能和资源管理。 7. 兼容性: 这些驱动通常兼容各种SQL Server版本,包括...
sqljdbc42 jdbc for java
07-19
3. 参数化查询:避免SQL注入攻击,应使用PreparedStatement进行参数化查询。 4. 使用JDBC 4.2新特性:如利用try-with-resources语法自动关闭资源,简化代码。 总结,SQLJDBC42作为Java与SQL Server之间的关键接口,...
jdbc.rar_jdbc sqlserver2005
09-19
8. **安全性最佳实践**:如何配置和使用JDBC驱动以增强安全性,如使用预编译的SQL语句防止SQL注入攻击。 综上所述,这个压缩包文件应该包含了从JSP中使用JDBC连接SQL Server 2005的详细步骤,涵盖了数据库连接、SQL...
sql注入学习——使用sql注入进行登录,使用union进行攻击注入
Demonslzh的博客
06-27 4335
1、sql注入环境搭建 为了方便对sql注入学习,我们首先搭建一个简单的web页面,数据库使用postgresql,具体页面如下 需要这个页面源码的可以去关注页面底部公众号后台回复获取 2、使用sql注入进行登录 数据库的用户信息如下 看下登录的一个主要逻辑,登录成功后前端页面显示当前用户所拥有的权限,登录失败则显示permission denied #!/usr/bin/env python3 # -*- coding: utf-8 -*- """ 1) change to directory co
JDBC 事务管理_hehe.employment.over.5.3
原来是个傻子,请坐 !!!
02-02 80
5.8 JDBC 管理事务_概述 事务: 一个包含多个步骤的业务操作。如果这个业务操作被事务管理,则这多个步骤要么同时成功,要么同时失败。 操作: 1.开启事务 2.提交事务 3.回滚事务 使用Connection对象来管理事务: 开启事务: setAutoCommit(boolean autoCommit) ; //调用该方法设置参数为false,即开启事务 在执行sql之前开启事务。 提交事务: commit() 当所有sql都执行完提交事务。 回滚事务: rollback()
登录SQL注入的办法
zengguanlin的博客
02-12 1660
先做判断,判断有没有这个账号,有的话再在该条件里匹配密码正不正确。正确以后才允许登录。一定要先做账号判断,再进行匹配密码正不正确。如:if(userName&gt;0){ //查询该账号的密码 passwordTrue ...... //用前端输入的密码password进行判断 if(password.equals(passwordTrue)){ //登录成功 } }...
sql注入 登录 mysql_Web登录敲门砖之sql注入
weixin_42516581的博客
02-11 483
声明:文本原创,转载请说明出处,若因本文而产生任何违法违纪行为将与本人无关。在百度、博客园、oschina、github、SegmentFault、上面都关于sql注入的文章和工具。看过很多sql注入的文章。他们讲的内容大同小异,都是围绕一个“帮助单引号越狱“来展开注入。可惜是:他们都只提供了思路、和可行性的方案和简单却不实用的demo,却没有具体详情对针web登录来做详情的阐述和举例。本文将以...
sql注入思路(登录界面)和网络常用端口
u011975363的专栏
04-11 7406
当遇到如图的界面时,没有验证码,我们可以尝试以下几种方法进行SQL注入,以获得正确的登录账户和密码。 要搜索类似的页面可利用百度高级搜索语法:admin inurl:login.php/asp 注入方法: 1、利用sqlmap (1)sqlmap 和burpsuite相结合,利用burpsuite捕获post数据包,保存为:packet.txt, 从用户名或者密码中任选一个...
jdbc操作mysql 实现注册功能_jdbc实现用户注册功能代码示例
weixin_33021323的博客
01-21 663
本文研究的主要问题是jdbc实现用户注册功能,通过具体实例代码学习JSP+MySQL数据库连接、访问方式以及增删查改操作,具体如下。客户端register.jsp界面如下“检测”按钮:检测用户名是否存在。“注册”功能:只有全部通过验证后才能提交到insert.jsp,insert.jsp实现将帐号和密码存入user表。//register.jsp$(document).ready(function...
易控天地标准版3.0帮助手册
最新发布
08-08
易控天地标准版3.0帮助手册
Java数据库连接(JDBC)详解与SQL注入防范
"JDBC相关知识" Java Database Connectivity (JDBC) 是Java编程语言与各种...总结来说,JDBC是Java开发者连接和操作数据库的重要工具,理解并掌握其工作原理和最佳实践,对于编写健壮、安全的数据库应用程序至关重要。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值