jdbc存在sql注入(安全隐患)的模拟用户登录的功能

最新推荐文章于 2023-02-01 17:39:14 发布
最新推荐文章于 2023-02-01 17:39:14 发布
阅读量1k 收藏 3
点赞数 3
文章标签: idea
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/giao211/article/details/124387021
版权 
/**
 * 实现功能
 * 1.需求:模拟用户登录的功能
 * 2.用户描述
 * 程序运行的时候,提供一个输入的接口,可以让用户按输入用户名和密码
 * java程序连接数据库,提交信息,java程序收集用户信息
 * java程序连接数据库验证用户名和密码是否正确
 * 合法;显示登录成功
 * 不合法:显示登录失败
 *
 * 当前程序存在的问题 (很好玩)
 * 用户名:fdsa
 * 密码:fdsa' or '1'='1
 * 会登录成功
 * 这种现象被称为sql注入(安全隐患)
 *   导致sql注入的根本原因?
 *   用户输入的信息含有sql语句的关键字,并且这些关键字参与失去了语句的编译过程
 *   导致sql语句的原意被扭曲,进而达到sql注入
 */


public class JDBCTest5 {
    public static void main(String[] args) {

        //1.初始化一个界面
        Map<String,String> userloginInfo = initUI();
        //验证登录名和密码
        boolean loginSuccess = login(userloginInfo);
        //最后输出结果
        System.out.println(loginSuccess?"登录成功":"登录失败");
    }

    /**
     *  用户登录
     * @param userloginInfo
     * @return
     */
    private static boolean login(Map<String, String> userloginInfo) {
        //打标记的意识
        boolean loginSuccess = false;
        //单独定义变量
        String loginName =userloginInfo.get("loginName");
        String loginPwd =userloginInfo.get("loginPwd");
        //Jdbc代码
        Connection conn = null;
        Statement stmt =null;
        ResultSet rs =null;
        //1.注册驱动
        try {
            Class.forName("com.mysql.cj.jdbc.Driver");
        //2.获取连接
            conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/test?serverTimezone=UTC","root","root");
        //3. 获取数据库操作对象
            stmt = conn.createStatement();
        //4.执行sql语句
            String sql = "select * from t_user where loginName='"+loginName+"' and loginPwd = '"+loginPwd+"'";
            rs = stmt.executeQuery(sql);
        //5.处理结果集
            if (rs.next()){
                //登陆成功
                loginSuccess = true;
            }
        } catch (Exception e) {
            e.printStackTrace();
        }finally {
            //6.释放资源
            try {
                if (rs!=null){
                    rs.close();
                }
            } catch (SQLException e) {
                e.printStackTrace();
            }
            try {
                if (stmt!=null){
                   stmt.close();
                }
            } catch (SQLException e) {
                e.printStackTrace();
            }
            try {
                if (conn!=null){
                    conn.close();
                }
            } catch (SQLException e) {
                e.printStackTrace();
            }
        }

        return loginSuccess;
    }

    /**
     * 初始化用户界面
     * @return 用户输入的用户名和密码等登录信息
     */
    private static Map<String, String> initUI() {
        Scanner sc = new Scanner(System.in);
        System.out.println("请输入用户名:");
        String loginName = sc.nextLine();
        System.out.println("请输入密码:");
        String loginPwd = sc.nextLine();
        Map<String,String> userLoginInfo = new HashMap<>();
        userLoginInfo.put("loginName",loginName);
        userLoginInfo.put("loginPwd",loginPwd);
        return userLoginInfo;
    }
}

 

//2.使用PreparedStatement解决sql注入的问题

import java.sql.*;
import java.util.HashMap;
import java.util.Map;
import java.util.Scanner;
/*
1.解决sql注入问题?
    只要用户提供的信息不参与sql语句的编译过程,问题就解决了
    即使用户提供的信息中包含sql语句的关键字,但没有参与编译,就不起作用了
    要想用户信息不参与sql语句的编译,那么必须使用preperedstatement
    PreparedStatement的原理是:预先对sql语句进行编译,然后再给sql语句传值

 */
public class JDBCTest6 {
        public static void main(String[] args) {

            //1.初始化一个界面
            Map<String,String> userloginInfo = initUI();
            //验证登录名和密码
            boolean loginSuccess = login(userloginInfo);
            //最后输出结果
            System.out.println(loginSuccess?"登录成功":"登录失败");
        }

        /**
         *  用户登录
         * @param userloginInfo
         * @return
         */
        private static boolean login(Map<String, String> userloginInfo) {
            //打标记的意识
            boolean loginSuccess = false;
            //单独定义变量
            String loginName =userloginInfo.get("loginName");
            String loginPwd =userloginInfo.get("loginPwd");
            //Jdbc代码
            Connection conn = null;
            PreparedStatement ps =null;
            ResultSet rs =null;
            //1.注册驱动
            try {
                Class.forName("com.mysql.cj.jdbc.Driver");
                //2.获取连接
                conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/test?serverTimezone=UTC","root","root");
                //3. 获取预编译数据库操作对象
                //sql语句的框子,其中一个?代表了一个占位符,一个?将来接收一个值,注意占位符不能被‘’括起来
                String sql = "select * from t_user where loginName = ? and loginPwd = ?";
                ps = conn.prepareStatement(sql);
                //给占位符?传值
                ps.setString(1,loginName);
                ps.setString(2,loginPwd);
                //4.执行sql语句
                rs = ps.executeQuery();
                //5.处理结果集
                if (rs.next()){
                    //登陆成功
                    loginSuccess = true;
                }
            } catch (Exception e) {
                e.printStackTrace();
            }finally {
                //6.释放资源
                try {
                    if (rs!=null){
                        rs.close();
                    }
                } catch (SQLException e) {
                    e.printStackTrace();
                }
                try {
                    if (ps!=null){
                        ps.close();
                    }
                } catch (SQLException e) {
                    e.printStackTrace();
                }
                try {
                    if (conn!=null){
                        conn.close();
                    }
                } catch (SQLException e) {
                    e.printStackTrace();
                }
            }

            return loginSuccess;
        }

        /**
         * 初始化用户界面
         * @return 用户输入的用户名和密码等登录信息
         */
        private static Map<String, String> initUI() {
            Scanner sc = new Scanner(System.in);
            System.out.println("请输入用户名:");
            String loginName = sc.nextLine();
            System.out.println("请输入密码:");
            String loginPwd = sc.nextLine();
            Map<String,String> userLoginInfo = new HashMap<>();
            userLoginInfo.put("loginName",loginName);
            userLoginInfo.put("loginPwd",loginPwd);
            return userLoginInfo;
        }
    }

 

giao211
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
java+jdbc实现简单的用户登陆项目,SQL注入问题解决方法,何时使用PreparedStatement或Statement,PreparedStatement完成sql增删查改
m0_53881899的博客
08-14 657
java+jdbc实现简单的用户登陆项目,SQL注入问题解决方法,何时使用PreparedStatement或Statement,PreparedStatement完成增删查改
模拟用户登录功能的实现以及演示SQL注入现象
weixin_52385232的博客
09-10 431
模拟用户登录功能的实现以及演示SQL注入现象
Java模拟SQL注入问题及解决方案
毫无感情的吃瓜群众的博客
02-01 639
Java模拟SQL注入问题及解决方案
解决登录时sql注入的方法:预编译时放入sql(java)
zhan_qian的博客
03-10 1178
1、使用import java.sql.PreparedStatement; 2、先将sql里用户名和密码分别用?占位,先预编译将sql放入PreparedStatement的对象中。 然后用调用该对象的set方法将用户名和密码设置,接着执行。 3、这样做的话如果密码被注入为' or '1' = '1,在设置密码时会将'转义为\';即: select * from tb_user where username ='lisi' and password = '\' or \'1\' = \'1'..
模拟数据库
01-06
实现一个模拟数据库
JDBC如何有效防止SQL注入
12-14
具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。...
利用JDBC实现注册用户账号和登录功能Android源码
09-13
源代码中包含连接mysl数据库实现线上注册登录功能,新注册注册账号、和登录功能,具有在注册时会检查用户是否存在,两次输入确认密码是否正确;在登录时如果密码或用户账号错误,会提示重新输入,账号密码正确显示...
JDBC连接SQLSERVER的JAR包
12-07
JDBC连接SQLSERVER的JAR包
JAVA代码审计之SQL注入
06-14
1、JDBC连接方式下sql注入存在的形态及修复方法,like、in情况在如何安全使用预处理来防范sql注入 2、在使用Mybatis框架下如何审计sql注入代码,并详细的介绍了如何编写安全的数据库查询语句。 3、在使用Hibernate...
sqljdbc和sqljdbc4 sqlserver最新驱动
04-21
sqljdbc和sqljdbc4最新sqlserver驱动,java连接数据库驱动,亲测试正常,放心下载使用
Web渗透测试之SQL注入:基于错误的登录界面绕过(一)
vodkaDL的博客
11-17 1150
文章目录前言题目分析导出数据总结 前言 题目分析 导出数据 总结
Java JDBC 使用Statement 产生sql注入问题
BLWY_1124的博客
05-18 733
#Java JDBC 使用Statement 产生sql注入问题 Statement 对象用于执行静态SQL语句并返回其生成的结果对象 Statement 对象执行SQL语句,存在SQL注入风险 代码演示: 先创建一张表 -- 演示 sql 注入 -- 创建一张表 CREATE TABLE admin ( -- 管理员表 NAME VARCHAR(32) NOT NULL UNIQUE, pwd VARCHAR(32) NOT NULL DEFAULT '') CHARACTER S
java安全(二):JDBC|sql注入|预编译
weixin_45694388的博客
11-14 6081
1 JDBC基础 JDBC(Java Database Connectivity)是Java提供对数据库进行连接、操作的标准API。Java自身并不会去实现对数据库的连接、查询、更新等操作而是通过抽象出数据库操作的API接口(JDBC),不同的数据库提供商必须实现JDBC定义的接口从而也就实现了对数据库的一系列操作。 2 JDBCConnection 2.1连接 Java通过java.sql.DriverManager来管理所有数据库的驱动注册,所以如果想要建立数据库连接需要先在java.sql.Drive
关于JDBC连接MySQL数据库发生的异常
Mr_John
03-18 2841
1.浅谈mysql-connector-java-5.1.46.jar和mysql-connector-java-8.0.15.jar的区别 因为版本不同,其加载数据库驱动程序的方式也会有所不同 mysql-connector-java-5.1.46.jar com.mysql.jdbc.Driver JDBC连接数据库的具体参数如下: private String driver = "com.mysql.jdbc.Driver"; private String url = "数据库连接地址";
sql姓名、证件号码、手机号码脱敏
qq443466509的博客
09-06 5297
sql姓名、证件号码、手机号码脱敏 sql姓名、证件号码、手机号码脱敏 姓名只保留第一位,例如:林某某脱敏为林** UPDATE 表名 SET NAME = RPAD(SUBSTR(NAME,0,1),LENGTH(NAME)+1,’*’); 18位证件号码脱敏,例如350524123456783532脱敏为3505243532 UPDATE 表名 SET CARD_NO = SUBSTR(CARD_NO,0,6) || '’ || SUBSTR(CARD_NO,-4,4) 手机号码脱敏,例如1801234
模拟用户登录
LeoZuosj的博客
11-18 825
模拟用户登录 A:案例演示 需求:模拟登录,给三次机会,并提示还有几次。 用户名和密码都是admin 分析: 1.模拟登录,需要键盘录入。Scanner 2.给三次机会,需要循环。for 3.并提示有几次,需要判断,if并提示有几次,需要判断。if public static void main(String[] args) { //创建键盘录入对象 Scanner sc = ...
JDBC如何有效防止SQL注入
rentian1的博客
09-01 1177
转载请注明出处:http://blog.csdn.net/linglongxin24/article/details/53769810 本文出自【DylanAndroid的博客】 JDBC如何有效防止SQL注入 在我们平时的开发中,作为新手写JDBC很有可能忽略了一点,那就是根本没有考虑SQL注入的问题, 那么,什么是SQL注入,以及如何防止SQL注入的问题。 一什
JDBC登录防sql注入
CHIhacker666的博客
10-24 176
JDBC登录防sql注入 日常表白张春凤老师! 下面是我的mysql信息: 我的mysql为5.5版本,老东西了见谅哈!mysql版本不同,connection连接的内容也不一样,这个需要注意!还有就是注意端口号,账号密码,sql语句要正确填写哦!!! 下面是sql的创建部分: CREATE TABLE `user` ( `id` int(11) NOT NULL AUTO_INCREMENT, `username` varchar(32) DEFAULT NULL, `password` v
使用JDBC模拟一个简单的用户登录
ryn132的博客
04-26 456
1.JDBC模拟用户登录 public class Test01 { public static void main(String[] args) { //1.初始化登录界面 Map<String,String> user = login(); //2.验证账号密码 boolean LoginSuccess = test(user); //3.返回登录结果 System.out.println
jdbc sql注入
最新发布
09-30
SQL注入是一种安全漏洞,指的是攻击者通过向用户输入的数据中注入恶意的SQL代码,从而执行未经授权的数据库操作。攻击者可以通过修改原始的SQL查询或者添加额外的查询来绕过应用程序的身份验证和授权机制,进而获取敏感信息或者破坏数据库的完整性。 为了防止SQL注入,可以采取以下方法: 1. 使用预编译的SQL语句:预编译SQL语句中的参数使用占位符(例如?)代替实际的参数值。在执行SQL语句之前,必须为每个参数提供值。这可以防止恶意用户通过在参数中插入SQL代码来修改原始的SQL语句。 2. 输入验证和过滤:在接收用户输入的数据时,需要对其进行验证和过滤,确保只接受有效的数据。可以使用正则表达式或者特殊字符过滤函数来检查输入是否符合预期的格式,并且避免执行任何潜在的危险操作。 3. 最小权限原则:在数据库中,为应用程序使用的数据库用户分配最小的权限。这样即使发生了SQL注入攻击,攻击者也只能在权限范围内进行操作,无法对整个数据库造成破坏。 4. 输入参数化:尽量使用参数化的查询,而不是将用户输入直接拼接到SQL语句中。这样可以避免将用户输入的数据作为SQL代码的一部分执行。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值