解决SQL注入问题

heliuerya

已于 2023-02-02 20:44:14 修改

阅读量1.3k

点赞数

分类专栏：学习笔记 JDBC 文章标签：数据库 java sql

于 2023-01-23 07:49:31 首次发布

本文链接：https://blog.csdn.net/heliuerya/article/details/128751389

版权

学习笔记同时被 2 个专栏收录

277 篇文章 5 订阅

订阅专栏

JDBC

13 篇文章 0 订阅

订阅专栏

package com.bjpowernode.jdbc;

import java.sql.*;
import java.util.HashMap;
import java.util.Map;
import java.util.Scanner;

/**
 * 怎么避免SQL注入现象的发生  （SQL注入的根本原因是：先进行了字符串的拼接，然后再进行编译。）
 *
 * java.sql.Statement接口（父接口）的特点：先进行了字符串的拼接，然后再进行sql语句的编译。
 *                         优点：可以进行sql语句的拼接。
 *                         缺点：因为拼接可能会给不法分子机会，发生SQL注入的情况。
 *
 * java.sql.PreparedStatement接口（子接口）特点：先进行sql语句的编译，然后再进行sql语句的传值。
 *                         优点：避免SQL注入的发生。
 *                         缺点：没有办法进行sql语句的拼接，只能给sql语句传值。
 *
 */
public class 解决SQL注入问题 {
    public static void main(String[] args) {
        //初始化一个界面，让用户输入用户名和密码
        Map<String,String> userLoginInfo = initUI();

        //连接数据库验证用户名和密码是否正确
        boolean ok = checkNameAndPwd(userLoginInfo.get("loginName"),userLoginInfo.get("loginPwd"));

        System.out.println(ok ? "登录成功" : "登录失败");
    }

    /**
     * 验证用户名和密码
     * @param loginName  登录名
     * @param loginPwd  登录密码
     * @return  true表示登录成功，false表示登录失败。
     */
    private static boolean checkNameAndPwd(String loginName, String loginPwd) {
        boolean ok = false;//这里准备一个boolean类型的变量，默认是false表示登录失败
        Connection conn = null;
        PreparedStatement ps = null;
        ResultSet rs = null;
        try {
            //1.注册驱动
            Class.forName("com.mysql.jdbc.Driver");
            //2.获取连接
            conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/test","root","******");
            //3.获取预编译的数据库操作对象
            //一个?是一个占位符，一个占位符只能接收一个“值/数据”   占位符 ? 两边不能有单引号''。
            String sql = "select * from t_user where login_name = ? and login_pwd = ?";
            ps = conn.prepareStatement(sql);//此时会发送sql给DBMS，进行SQL语句的编译。
            //给占位符?传值，JDBC中所有的下标都是从1开始。
            //是怎么解决sql注入的呢？即使用户输入的信息中有sql关键字，但是不参加编译就没事。
            ps.setString(1,loginName); //这里的1代表第一个?,也就是第一个占位符。
            ps.setString(2,loginPwd);  //这里的2代表第二个?,也就是第二个占位符。
            //4.执行SQL
            rs = ps.executeQuery();//这里已经不需要再传递sql语句了，也就是不能：rs = ps.executeQuery(sql);这样写了。
            //5.处理查询结果集
            if (rs.next()){
                ok = true;
            }
        } catch (ClassNotFoundException e) {
            e.printStackTrace();
        } catch (SQLException e) {
            e.printStackTrace();
        } finally {
            if (rs != null) {
                try {
                    rs.close();
                } catch (SQLException e) {
                    e.printStackTrace();
                }
            }
            if (ps != null) {
                try {
                    ps.close();
                } catch (SQLException e) {
                    e.printStackTrace();
                }
            }
            if (conn != null) {
                try {
                    conn.close();
                } catch (SQLException e) {
                    e.printStackTrace();
                }
            }
        }
        return ok;
    }

    /**
     * 初始化界面，并接受用户的输入
     * @return  返回存储登录名和登录密码的Map集合
     */
    private static Map<String, String> initUI() {
        System.out.println("欢迎使用本系统，请用户输入用户名和密码进行身份认证！");
        Scanner s = new Scanner(System.in);
        System.out.print("用户名：");
        String loginName = s.nextLine();
        System.out.print("密码：");
        String loginPwd = s.nextLine();

        //将上面输入的用户名和密码放到Map集合中
        Map<String,String> userLoginInfo = new HashMap<>();
        userLoginInfo.put("loginName",loginName);
        userLoginInfo.put("loginPwd",loginPwd);

        //返回Map集合
        return userLoginInfo;
    }
}