1、用JDBC模拟用户登录功能,及SQL注入问题

已于 2022-07-16 10:22:13 修改
阅读量239 收藏
点赞数
文章标签: java
于 2022-07-16 09:43:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62824173/article/details/125816004
版权
该博客讨论了一个Java程序实现用户登录功能时遇到的SQL注入问题。通过模拟用户输入,展示了当用户输入特殊字符串如'fdsa'or'1'='1'时,导致登录成功,揭示了SQL注入的安全隐患。问题的根本原因是用户输入的SQL关键字参与到了SQL语句的编译过程,扭曲了原本的查询意图。博客还提出了SQL注入的风险,并提醒开发者注意防止此类攻击。
摘要由CSDN通过智能技术生成 
package jdbc;

import java.sql.*;
import java.util.HashMap;
import java.util.Map;
import java.util.Scanner;

/*
    实现功能:
        1、需求:
            模拟用户登录功能的实现。
        2、业务描述:
            程序运行的时候,提供一个输入的入口,可以让用户输入用户名和密码
            用户输入用户名和密码之后,提交信息,java程序收集到用户信息Java程序连接数据库验证用户名和密码是否合法
            合法:显示登录成功
            不合法:显示登录失败
        3、数据的准备:
        在实际开发中,表的设计会使用专业的建模工具,我们这里安装一个建模工具:PowerDesigner
        使用PD工具来进行数据库表的设计。 (参见user-login.sq1脚本)

        4、当前程序存在的问题:
        输入用户名:fdsa
        密码:fdsa' or '1'='1
        登陆成功!
        这种现象被称为SQL注入(安全隐患)。(黑客经常使用)

        5、导致sQL注入的根本原因是什么?
            用户输入的信息中含有sq1语句的关键字,并且这些关键字参与sq1语句的编译过程,
            导致sql语句的原意被扭曲,进而达到sq1注入。
 */
public class JDBCTest06 {
    public static void main(String[] args) {
        // 初始化一个界面
        Map<String,String> userLoginInfo=initializeUI();
        // 验证用户名和密码
        boolean loginSuccess=login(userLoginInfo);
        // 最后输出结果
        System.out.println(loginSuccess ? "登陆成功!" : "登陆失败!");
    }


    /**
     *  用户登录
     * @param userLoginInfo 用户登录信息
     * @return false 表示失败   true表示成功
     */
    private static boolean login(Map<String, String> userLoginInfo) {
        // 打标记的意识
        boolean loginSuccess=false;
        //  JDBC代码
        Connection conn=null;
        Statement stmt=null;
        ResultSet rs=null;
        try{
            // 创建驱动
            Class.forName("com.mysql.jdbc.Driver");
            // 获取连接
            conn= DriverManager.getConnection("jdbc:mysql://localhost:3306/jdbc","root","root");
            // 获取数据库操作对象
            stmt=conn.createStatement();
            // 执行sql语句
            String sql="select * from t_user where loginName= '"+userLoginInfo.get("loginName") +"' and loginPwd='"+userLoginInfo.get("loginPwd")+"'";
            // 以上正好完成了sq1语句的拼接,以下代码的含义是,发送sq1语句给DBMS,DBMS进行sql编译。
            // 正好将用户提供的“非法信息"编译进去。导致了原sq1语句的含义被扭曲了。
            rs = stmt.executeQuery(sql);
            // 处理查询结果集
            if (rs.next()){
                loginSuccess=true;
            }
        }catch (Exception e){
            e.printStackTrace();
        }finally{
            // 释放资源
            if (rs != null) {
                try {
                    rs.close();
                } catch (SQLException e) {
                    e.printStackTrace();
                }
            }

            if (stmt != null) {
                try {
                    stmt.close();
                } catch (SQLException e) {
                    e.printStackTrace();
                }
            }
            if (conn != null) {
                try {
                    conn.close();
                } catch (SQLException e) {
                    e.printStackTrace();
                }
            }
        }
        return loginSuccess;
    }


    /**
     * 初始化用户界面
     * @return 用户输入的用户名和密码等登录信息
     */
    private static Map<String, String> initializeUI() {
        Scanner s=new Scanner(System.in);
        System.out.print("输入用户名:");
        String loginName=s.nextLine();
        System.out.print("密码:");
        String logiPwd=s.nextLine();
        Map<String,String> userLoginInfo=new HashMap<>();
        userLoginInfo.put("loginName",loginName);
        userLoginInfo.put("loginPwd",logiPwd);
        return userLoginInfo;  //
    }
}

m0_62824173
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
使用JDBC模拟一个简单的用户登录
ryn132的博客
04-26 472
1.JDBC模拟用户登录 public class Test01 { public static void main(String[] args) { //1.初始化登录界面 Map<String,String> user = login(); //2.验证账号密码 boolean LoginSuccess = test(user); //3.返回登录结果 System.out.println
JDBC模拟用户登录
Amlynooto的博客
11-16 308
import java.sql.*; import java.util.HashMap; import java.util.Map; import java.util.ResourceBundle; import java.util.Scanner; /* 模拟用户登录 */ public class JDBCTest06 { public static void main(String[] args) { //初始化用户界面 Map<String,S
JDBC模拟用户登录并防止SQL注入
Amlynooto的博客
11-17 312
import java.sql.*; import java.util.HashMap; import java.util.Map; import java.util.ResourceBundle; import java.util.Scanner; /** * 解决sql注入问题 * 只要用户的信息不参与编译即可 * 使用PreparedStatement预编译 */ public class JDBCTest07 { public static void main(
Java-JDBC【源码】JDBC概述、获取连接、SQL注入问题与解决、查询解析
04-30
Java-JDBC【之】JDBC概述、获取连接、SQL注入问题与解决、查询解析 1.JDBC概述 2.操作流程 1.初始化项目,导入`驱动jar包...3.1.模拟SQL注入 3.2.PreparedStatement解决 3.3.Statement 与 PreparedStatement 4.完整源码
SQL注入源码+SQL注入命令
07-16
SQL注入是一种常见的网络安全威胁,它发生在应用程序不恰当地处理用户输入数据时,导致攻击者能够构造恶意SQL语句,从而获取、修改、删除或者控制数据库中的敏感信息。在这个实验中,我们将关注Java语言如何处理SQL...
使用JDBC连接Oracle,MySql,SQLServer数据库
09-20
Statement适合执行静态SQL,而PreparedStatement适用于预编译SQL,能防止SQL注入并提高性能。 4. 执行SQL:调用Statement或PreparedStatement的`executeQuery()`或`executeUpdate()`方法。 5. 处理结果集:对于查询...
Java学习记录,模拟用户登录
03-04
在本Java学习记录中,我们将深入探讨如何模拟用户登录这一核心功能,这在许多Web应用程序和桌面应用中都是必不可少的。"Java"是我们的主要编程语言,它以其跨平台的特性,丰富的类库以及强大的社区支持,成为了实现...
SQL注入漏洞检测工具sqlmap用户手册
09-16
例如,检测一个网站的登录表单是否存在SQL注入漏洞,可以使用`sqlmap -u "http://target.com/login.php" --data "username=admin&password=123456"`。 三、探测SQL注入 sqlmap提供了多种探测方法,包括盲注、时间...
jdbc模拟用户实现登陆功能
xiaochen_从入门到实战
12-02 431
模拟用户实现登陆功能 初始化一个界面 package com.etc; import java.util.HashMap; import java.util.Map; import java.util.Scanner; /* 实现功能 1.需求:模拟用户登录实现功能 2.业务描述: 程序运行的时候 提供一个输入的入口 可以让用户输入用户名和密码 用户输入用户名和密码之后 提交信息 java程序收集到用户信息
jdbc用户登入
m0_57757933的博客
05-23 348
public class jdbcdemo3 { public static void main(String[] args) throws Exception { String url = "jdbc:mysql://127.0.0.1:3306/db1?useSSL = false"; String password = "1234"; String uesrname = "root"; Connection conn = Dr.
模拟用户登录系统(JDBC的基本步骤使用)
一名蒟蒻的博客
04-15 320
模拟用户登录系统 建表sql脚本 create table t_user ( id bigint auto_increment, loginName varchar(255), loginPwd varchar(255), realName varchar(255),...
JDBC用户登陆系统
qq_33755492的博客
06-13 270
功能: 该程序可以通过Java程序 ,使用 外部 编写的 配置文件,进行数据库的连接与资源的释放,调用MySQL数据库,判断用户是否可以登陆成功。 主测试类 package JDBC_test; import java.sql.Connection; import java.sql.ResultSet; import java.sql.SQLException; import java.sql.Statement; imp...
JDBC用户登录功能的实现
最新发布
zdsxc_的博客
05-06 498
模拟用户登录功能
模拟用户登录
qq_44329028的博客
05-10 862
#include <stdio.h> #include <windows.h> #include <string.h> #pragma warning (disable : 4996) const char * name = "laowang"; // char * const char * password = "123456"; void...
JDBC登录功能实现
wyy的博客
06-07 529
模拟淘宝登录 package com.bjsxt.jdbc2; import com.bjsxt.entity.User; import entity.Emp; import java.nio.file.attribute.UserDefinedFileAttributeView; import java.sql.*; import java.util.ArrayList; import java.util.List; import java.util.Scanner; /** * 模拟淘宝登录的功
jdbc存在sql注入(安全隐患)的模拟用户登录的功能
giao211的博客
04-24 1040
/** * 实现功能 * 1.需求:模拟用户登录的功能 * 2.用户描述 * 程序运行的时候,提供一个输入的接口,可以让用户按输入用户名和密码 * java程序连接数据库,提交信息,java程序收集用户信息 * java程序连接数据库验证用户名和密码是否正确 * 合法;显示登录成功 * 不合法:显示登录失败 * * 当前程序存在的问题 (很好玩) * 用户名:fdsa * 密码:fdsa' or '1'='1 * 会登录成功 * 这种现象被称为sql注入(安全隐患) * .
JDBC_03实现用户登录业务
TSCCG的博客
07-27 518
JDBC_03实现用户登录业务 1.需求描述 1.需求: 模拟用户登录功能。 2.业务描述: 程序运行的时候,提供一个输入的入口,可以让用户输入用户名和密码。 用户输入用户名和密码后,提交信息,java程序收集到用户信息。 java程序连接数据库验证用户名和密码是否正确。 正确:显示登录成功。 错误:显示登录失败。 3.数据的准备: 在实际开发中,表的设计会使用专业的建模工具:PowerDesigner。 使用该工具来进行数据库表的设计。 2.准备数据 1.打开PowerDesi
JDBC登陆方式
L18513072006的博客
03-29 421
/判断用户名和密码是否在数据库中存在,存在返回登录成功,不存在返回登录失败//?//判断用户名和密码是否在数据库中存在,存在返回登录成功,不存在返回登录失败。System.out.println("用户名:");System.out.println("用户名:");System.out.println("密码:");System.out.println("密码:");System.out.println("登录成功!System.out.println("登录成功!2.3.3、实现登录
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值