//String sql1 = “select * from users where username=‘qwer’ and password=‘1234535’ or 1=1”;
String sql2 = “select * from users where username='”+ user +“‘and password=’”+ key +“'”;
System.out.println(sql2);
ResultSet res = stat.executeQuery(sql2);
while (res.next())
{
System.out.println(res.getString(“username”) + " " + res.getString(“password”));
}
con.close();
res.close();
stat.close();
}
当从控制台输入正确的账号和密码时,可以登录成功,但当输入任意账号和密码后,在密码后面加上 ‘or’ 1=1,也能够登录成功,这样就存在安全隐患
二、注入攻击解决方案
==========
可以使用 PrearedStatement 来解决注入攻击的问题,在Statement 接口的子接口中,有一个 PrearedStatement 接口,可以使 SQL 预编译存储,多次高效地执行 SQL, 需要zi料+ 绿色徽【vip1024b】
并能防止注入攻击。使用PreparedStatement pst = con.prepareStatement(sql):调用Connection接口的方法prepareStatement,获取PrepareStatement接口的实现类
-
执行SQL语句,数据表,查询用户名和密码,如果存在,登录成功,不存在登录失败
-
调用Connection接口的方法prepareStatement,获取PrepareStatement接口的实现类
-
调用PreparedStatement对象set方法,设置问号占位符上的参数
-
调用方法,执行SQL,获取结果集
public static void main(String[] args) throws SQLException, ClassNotFoundException {
//1.注册驱动 反射技术,将驱动类加入到内容
Class.forName(“com.mysql.jdbc.Driver”);
//2.获得数据库连接 DriverManager类中静态方法
//static Connection getConnection(String url, String user, String password)
//返回值是Connection接口的实现类,在mysql驱动程序
//url: 数据库地址 jdbc:mysql://连接主机IP:端口号//数据库名字
String url = “jdbc:mysql://localhost:3306/mylogon”;
String username = “root”;
String password = “123456”;
Connection con = DriverManager.getConnection(url,username,password);
//3.从控制台输入用户名和密码
Scanner sc = new Scanner(System.in);
String user = sc.nextLine();
String key = sc.nextLine();
//执行SQL语句,数据表,查询用户名和密码,如果存在,登录成功,不存在登录失败
String sql2 = “SELECT * FROM users WHERE username= ? AND PASSWORD= ?”;
//4、调用Connection接口的方法prepareStatement,获取PrepareStatement接口的实现类
//方法中参数,SQL语句中的参数全部采用问号占位符
读者福利
由于篇幅过长,就不展示所有面试题了,感兴趣的小伙伴
更多笔记分享
rU3nK-1710353328036)]
[外链图片转存中…(img-Y9owYiYM-1710353328036)]
更多笔记分享
[外链图片转存中…(img-UCnngQZJ-1710353328037)]