利用 JDBC做用户登录系统(使用 PreparedStatement防止 SQL 注入)

最新推荐文章于 2021-10-26 23:14:50 发布
最新推荐文章于 2021-10-26 23:14:50 发布
阅读量192 收藏
点赞数
分类专栏: JAVA 文章标签: SQL注入 PreparedStatement Java JDBC 安全编程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/oriongzzz/article/details/110390072
版权 
public class JDBCTEST {
    public static void main(String[] args) {
        //初始化界面
        Map<String, String> userLoginInfo = initUI();
        boolean loginSuccess = login(userLoginInfo);
        System.out.println(loginSuccess ? "登录成功" : "登录失败");
    }

    private static boolean login(Map<String, String> userLoginInfo) {
        //先打个登录的标记
        boolean loginSuccess = false;
        //这里使用 JDBC
        ResourceBundle bundle = ResourceBundle.getBundle("jdbctest");
        String driver = bundle.getString("driver");
        String url = bundle.getString("DB_url");
        String username = bundle.getString("username");
        String password = bundle.getString("password");

        Statement statement = null;
        ResultSet resultSet = null;
        Connection connection = null;

        try {
            Class.forName(driver);
            connection = DriverManager.getConnection(url, username, password);
            statement = connection.createStatement();//获取操作数据库的对象
            String sql = "select * from t_user where username = '"+userLoginInfo.get(username)+"' and password = '"+userLoginInfo.get(password)+"'";
            //但是这里会出现有注入的风险,所以需要修改一下
            resultSet = statement.executeQuery(sql);
            if (resultSet.next()) {
                loginSuccess = true;
            }
        } catch (ClassNotFoundException e) {
            e.printStackTrace();
        } catch (SQLException e) {
            e.printStackTrace();
        } finally {
            //4.关闭结果集,数据库操作对象,数据库连接
            try {
                if (statement != null) {
                    statement.close();
                }
            } catch (SQLException e) {
                e.printStackTrace();
            }

            try {
                if (connection != null) {
                    connection.close();
                }
            } catch (SQLException e) {
                e.printStackTrace();
            }

            try {
                if (resultSet != null) {
                    resultSet.close();
                }
            } catch (SQLException e) {
                e.printStackTrace();
            }
        }

        return loginSuccess;
    }
    /**
     * 初始化用户界面
     *
     * @return 用户输入的用户名等登录信息
     */
    private static Map<String, String> initUI() {
        Scanner s = new Scanner(System.in);
        System.out.println("用户名");
        String username = s.nextLine();
        System.out.println("密码");
        String password = s.nextLine();
        Map<String, String> userLoginIninfo = new HashMap<>();
        userLoginIninfo.put("username", username);
        userLoginIninfo.put("password", password);
        return userLoginIninfo;
    }
}
如果想去除注入的影响,则需要改动 login 的里面的部分
 private static boolean login(Map<String, String> userLoginInfo) {
        //先打个登录的标记
        boolean loginSuccess = false;

        String loginName = userLoginInfo.get("Lusername");
        String loginPwd = userLoginInfo.get("Lpassword");


        //这里使用 JDBC
        ResourceBundle bundle = ResourceBundle.getBundle("jdbctest");
        String driver = bundle.getString("driver");
        String url = bundle.getString("DB_url");
        String username = bundle.getString("username");
        String password = bundle.getString("password");

        PreparedStatement preparedStatement = null;//预编译操作的对象
        ResultSet resultSet = null;
        Connection connection = null;

        try {
            Class.forName(driver);
            connection = DriverManager.getConnection(url, username, password);
            String sql = "select * from t_user where loginName = ? and loginPwd = ?";//要先写 sql 语句的框架,其中一个问号表示一个占位符,不能使用单引号括起来
            /**
             * 只要用户提供的信息不参与 SQL 语句的编译过程,问题就解决了
             * 要想用户信息不参与 sql 语句的编译,那么必须使用 PreparedStatement
             * 它的原理是,预先对sql 语句的框架进行编译
             */
            preparedStatement = connection.prepareStatement(sql);
            //占位符的传值,是有下标的,(JDBC 中下标从1开始)
            preparedStatement.setString(1,loginName);
            preparedStatement.setString(2,loginPwd);
            resultSet = preparedStatement.executeQuery();//这里就不需要传 sql 语句了
            if (resultSet.next()) {
                loginSuccess = true;
            }
        } catch (ClassNotFoundException e) {
            e.printStackTrace();
        } catch (SQLException e) {
            e.printStackTrace();
        } finally {
            //4.关闭结果集,数据库操作对象,数据库连接
            try {
                if (preparedStatement != null) {
                    preparedStatement.close();
                }
            } catch (SQLException e) {
                e.printStackTrace();
            }

            try {
                if (connection != null) {
                    connection.close();
                }
            } catch (SQLException e) {
                e.printStackTrace();
            }

            try {
                if (resultSet != null) {
                    resultSet.close();
                }
            } catch (SQLException e) {
                e.printStackTrace();
            }
        }

        return loginSuccess;
    }
鲜鱼汤是我了
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JDBC实现简单登录系统
m0_56238604的博客
09-03 270
JDBC:Java DataBase Connectivity的简写,Java与数据库的连接桥梁,是一套规范,可以执行SQL,由Java的类与接口组成。 工具:SQL和IDEA JDBC操作步骤 : 1.装载相应的数据库的JDBC驱动并进行初始化 2.建立JDBC和数据库之间的Connection连接 3.创建Statement或者PreparedStatement接口 4.执行SQL语句 5.处理和显示结果 5.释放资源 Statement和PreparedStatement的异同及优.
JDBC如何有效防止SQL注入
12-14
使用`PreparedStatement`代替`Statement`是防止SQL注入的基本方法。预编译的SQL语句将参数化查询与实际值分离,从而阻止恶意SQL代码注入。例如,而不是拼接字符串形成SQL: ```java String sql = "SELECT * FROM ...
php mysqlsql注入_PHP简单实现防止SQL注入的方法
weixin_35104141的博客
01-19 389
本文实例讲述了PHP简单实现防止SQL注入的方法。分享给大家供大家参考,具体如下:方法一:execute代入参数if(count($_POST)!= 0) {$host = 'aaa';$database = 'bbb';$username = 'ccc';$password = '***';$num = 0;$pdo = new PDO("mysql:host=$host;dbname=$dat...
JDBC登录sql注入
CHIhacker666的博客
10-24 187
JDBC登录sql注入 日常表白张春凤老师! 下面是我的mysql信息: 我的mysql为5.5版本,老东西了见谅哈!mysql版本不同,connection连接的内容也不一样,这个需要注意!还有就是注意端口号,账号密码,sql语句要正确填写哦!!! 下面是sql的创建部分: CREATE TABLE `user` ( `id` int(11) NOT NULL AUTO_INCREMENT, `username` varchar(32) DEFAULT NULL, `password` v
使用JDBC工具类实现一个简单的登录管理系统
weixin_53106424的博客
01-09 566
使用JDBC工具类实现一个简单的登录管理系统 实现要求: 在控制台实现一个用户管理系统,包含3个功能: 1.用户登录 2.注册 3.用户查询。 启动程序后,进入主菜单选项: 输出:“请选择您要操作的功能:1.用户登录 2.新用户注册 3所有用户查询: ” 功能说明: 1.用户登录: ​ 请用户输入用户名和密码,接收后,去数据库的users表中查询是否存在该用户名。并输出合理的提示,例如:登录成功! 用户名不存在! 密码错误! ​ 不论登录是否成功,都返回主菜单界面。 2.新用户注册 : ​ 请用户
JDBC模拟用户登录防止SQL注入
Amlynooto的博客
11-17 312
import java.sql.*; import java.util.HashMap; import java.util.Map; import java.util.ResourceBundle; import java.util.Scanner; /** * 解决sql注入问题 * 只要用户的信息不参与编译即可 * 使用PreparedStatement预编译 */ public class JDBCTest07 { public static void main(
Mybatis防止sql注入的实例
08-30
Mybatis防止sql注入的实例 Mybatis框架作为一款半自动化的持久层框架,其sql语句都要我们自己来手动编写,这个时候当然需要防止sql注入防止sql注入的方法有很多,例如将sql语句全部替换为存储过程的方式,但这种...
注入SQL的代码、防止SQL注入
最新发布
04-17
下面是一个使用Java的JDBC进行数据库查询的例子,这个例子使用了参数化查询,从而有效防止SQL注入攻击: ```java String user = "your_username"; String pwd = "your_password"; String url = "jdbc:mysql://...
mybatis如何防止SQL注入
01-05
SQL注入是一种常见的Web应用程序安全漏洞,攻击者可以通过提交恶意的SQL代码到应用程序的输入字段中(如表单、URL等),利用这些输入来操控数据库执行非预期的操作,进而获取敏感数据、修改数据甚至破坏整个数据库...
SQL注入原理与解决方法代码示例
09-09
- **预编译语句(PreparedStatement)**:Java的JDBC提供预编译语句接口,可以有效地防止SQL注入。预编译语句将查询模板与用户输入分开,确保用户输入的数据不会被解释为SQL代码。例如: ```java String query = ...
浅析php过滤html字符串,防止SQL注入的方法
12-18
批量过滤post,get敏感数据复制代码 代码如下:$_GET = stripslashes_array($_GET);$_POST = stripslashes_array($_POST);数据过滤函数复制代码 代码如下:function stripslashes_array(&$array) { while(list($key,$var) = each($array)) {  if ($key != ‘argc’ && $key != ‘argv’ && (strtoupper($key) != $key || ”.intval($key) == “$key”)) {   if (is_s
使用PreparedStatement防止SQL注入
robbinBlog
08-16 428
使用PreparedStatement防止SQL注入  (2012-04-10 16:54:39) 转载▼ 标签:  it 分类: java       Statement是PreparedStatement的父接口,不进行预编译操作,减少了进行预编译的开销.单次运行PreparedStatement要比Statem
JDBC模拟登陆及SQL语句防注入问题
weixin_30952103的博客
10-10 74
实现模拟登陆效果:基于表Tencent 1 package boom; 2 3 import java.sql.Connection; 4 import java.sql.DriverManager; 5 import java.sql.ResultSet; 6 import java.sql.SQLException; 7 import java.sql.S...
JDBC-防止SQL注入问题
weixin_30952535的博客
12-18 78
String sql = "select * from user where name = '" + name + "' and password = '" + password + "' ;"; //说明:使用拼接的sql语句会有sql注入问题 System.out.println(sql); ......省略操作数据库代码............ 控制台操作: ...
JDBC_演示如何防止SQL注入
坤坤
03-01 247
该案例需要在数据库中插入一张表格。create table robin_user_zqk( id NUMBER(6), name VARCHAR2(100), pwd VARCHAR2(100));insert into robin_user_zqk(id,name,pwd)VALUES (1,'jerry','123')insert into robin_user_zqk(id,name,pwd...
jdbc sql 参数防止sql注入_如何防止sql注入?介绍5种防止sql注入的方法
weixin_36038435的博客
02-03 1015
一、SQL注入简介SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。二、SQL注入攻击的总体思路1.寻找到SQL注入的位置2.判断服务器类型和后台数据库类型3.针对不通的服务器和数据库特点进行SQL注入攻击三、SQL注入攻击实例比如在一个登录界面,要求输入用户名和密码:可以这样输入实现免帐号登录...
PreparedStatement连接数据库实现登录验证,避免sql注入问题
qq_39773004的博客
08-20 381
一、代码 package d03_system; import java.sql.*; import java.util.Scanner; /** * zt * 2020/8/20 * 14:19 * 1.注册驱动(可省略) * 2.创建链接 * 3.创建命令 * 4.执行命令 * 5.关闭资源 * * PreparedStatement pstat = conn.prepareStatement("select * from user where name=? and passwo
JDBC练习用户登录案列
万般想念你的博客
10-26 239
JDBC练习用户登录案列 文章目录JDBC练习用户登录案列前言一、题目要求二、创建数据表user三、编写jdbc.properties1.知识点睛2.代码四、抽取JDBC工具类 : JDBCUtils1.知识点睛2.代码五、写JDBCDemo1.知识点睛2.代码 前言 本练习主要针对JDBC的基本使用 一、题目要求 通过键盘录入用户名和密码 判断用户是否登录成功 如果等于成功则提示登录成功,失败则提示登录失败 ????快速入门: 步骤: 1. 导入驱动jar包 mysql-connector-
JDBCSQL注入漏洞
weixin_34406796的博客
03-12 100
1.1.1 什么是SQL注入漏洞在早期互联网上SQL注入漏洞普遍存在。有一个网站,用户需要进行注册,用户注册以后根据用户名和密码完成登录。假设现在用户名已经被其他人知道了,但是其他人不知道你的密码,也可以登录到网站上进行相应的操作。1.1.2 演示SQL注入漏洞2.1.1.2.1 基本登录功能实现 1.1.1.2 演示SQL注入漏洞l 输入用户名n aaa’ or ‘1=1 密码随意n aaa’ ...
JDBC实例:防范SQL注入实现用户注册与登录
本资源是一份关于JDBC基础的实例练习教程,重点关注用户注册和登录功能的开发以及SQL注入防范。首先,JDBC(Java Database Connectivity)是SUN公司提出的Java操作数据库的标准接口,它包含java.sql和javax.sql两个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值