在写JDBC代码执行sql语句的时候可以写statement或者preparedStatement,前者存在的问题就是有sql注入的漏洞.
SQL注入大致意思就是使用statement执行sql语句的时候会将传入的字符串参数作为SQL语句执行,如果在字符串参数中混入了sql关键字,就可能导致一些严重后果。
比如下图是一个简单的登录验证程序,
数据表中存放了用户名和对应的密码,登录检测就是根据用户传入的用户名和密码使用select语句找出username和password都符合用户传入参数的结果,如果没有符合条件的则验证失败,否则成功。
(表中有个叫fu的用户)
可以看到,用户传入的参数后面加了 ' or ' 1= 1这句,
结果导致拼接出来的SQL语句变成了
select * from user where username = 'fu' or '1=1' and password = '11111111111'.
在这行sql语句中,会先判断'1=1' and password = '11111111111'为flase(因为密码不是111..),
而前面的username='fu'为true,
二者or的结果为真,所以就能查询到结果,这样就可以绕过密码登录进去。
(也可以在fu后面加--这样可以注释掉and后面的语句)
package com.imooc.jdbc.demo1;
import java.sql.Connection;
import java.sql.ResultSet;
import java.sql.Statement;
import com.imooc.jdbc.utils.JDBCUtils;
/*
* 登录验证程序验证sql注入漏洞
*/
public class JDBCDemo2 {
/*
* 测试SQL注入
*/
public static void main(String[] args) {
boolean flag = JDBCDemo2.login("fu ' or '1=1", "11111111111");
if (flag) {
System.out.println("登录成功");
} else {
System.out.println("登录失败");
}
}
public static boolean login(String username, String password) {
Connection conn = null;
Statement stmt = null;
ResultSet rs = null;
boolean flag = false;
try {
conn = JDBCUtils.getConnection();
stmt = conn.createStatement();
String sql = "select * from user where username = '" + username + "' and password = '" + password + "'";
rs = stmt.executeQuery(sql);
if(rs.next()) {
flag = true;
} else {
flag = false;
}
} catch (Exception e) {
// TODO Auto-generated catch block
e.printStackTrace();
} finally {
JDBCUtils.release(rs, stmt, conn);
}
return flag;
}
}