package com.bjpowernode.jdbc; import java.sql.*; import java.util.HashMap; import java.util.Map; import java.util.Scanner; /** * 怎么避免SQL注入现象的发生 (SQL注入的根本原因是:先进行了字符串的拼接,然后再进行编译。) * * java.sql.Statement接口(父接口)的特点:先进行了字符串的拼接,然后再进行sql语句的编译。 * 优点:可以进行sql语句的拼接。 * 缺点:因为拼接可能会给不法分子机会,发生SQL注入的情况。 * * java.sql.PreparedStatement接口(子接口)特点:先进行sql语句的编译,然后再进行sql语句的传值。 * 优点:避免SQL注入的发生。 * 缺点:没有办法进行sql语句的拼接,只能给sql语句传值。 * */ public class 解决SQL注入问题 { public static void main(String[] args) { //初始化一个界面,让用户输入用户名和密码 Map<String,String> userLoginInfo = initUI(); //连接数据库验证用户名和密码是否正确 boolean ok = checkNameAndPwd(userLoginInfo.get("loginName"),userLoginInfo.get("loginPwd")); System.out.println(ok ? "登录成功" : "登录失败"); } /** * 验证用户名和密码 * @param loginName 登录名 * @param loginPwd 登录密码 * @return true表示登录成功,false表示登录失败。 */ private static boolean checkNameAndPwd(String loginName, String loginPwd) { boolean ok = false;//这里准备一个boolean类型的变量,默认是false表示登录失败 Connection conn = null; PreparedStatement ps = null; ResultSet rs = null; try { //1.注册驱动 Class.forName("com.mysql.jdbc.Driver"); //2.获取连接 conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/test","root","******"); //3.获取预编译的数据库操作对象 //一个?是一个占位符,一个占位符只能接收一个“值/数据” 占位符 ? 两边不能有单引号''。 String sql = "select * from t_user where login_name = ? and login_pwd = ?"; ps = conn.prepareStatement(sql);//此时会发送sql给DBMS,进行SQL语句的编译。 //给占位符?传值,JDBC中所有的下标都是从1开始。 //是怎么解决sql注入的呢?即使用户输入的信息中有sql关键字,但是不参加编译就没事。 ps.setString(1,loginName); //这里的1代表第一个?,也就是第一个占位符。 ps.setString(2,loginPwd); //这里的2代表第二个?,也就是第二个占位符。 //4.执行SQL rs = ps.executeQuery();//这里已经不需要再传递sql语句了,也就是不能:rs = ps.executeQuery(sql);这样写了。 //5.处理查询结果集 if (rs.next()){ ok = true; } } catch (ClassNotFoundException e) { e.printStackTrace(); } catch (SQLException e) { e.printStackTrace(); } finally { if (rs != null) { try { rs.close(); } catch (SQLException e) { e.printStackTrace(); } } if (ps != null) { try { ps.close(); } catch (SQLException e) { e.printStackTrace(); } } if (conn != null) { try { conn.close(); } catch (SQLException e) { e.printStackTrace(); } } } return ok; } /** * 初始化界面,并接受用户的输入 * @return 返回存储登录名和登录密码的Map集合 */ private static Map<String, String> initUI() { System.out.println("欢迎使用本系统,请用户输入用户名和密码进行身份认证!"); Scanner s = new Scanner(System.in); System.out.print("用户名:"); String loginName = s.nextLine(); System.out.print("密码:"); String loginPwd = s.nextLine(); //将上面输入的用户名和密码放到Map集合中 Map<String,String> userLoginInfo = new HashMap<>(); userLoginInfo.put("loginName",loginName); userLoginInfo.put("loginPwd",loginPwd); //返回Map集合 return userLoginInfo; } }
解决SQL注入问题
于 2023-01-23 07:49:31 首次发布