JDBC防注入sql语句书写

最新推荐文章于 2023-05-16 07:40:27 发布
最新推荐文章于 2023-05-16 07:40:27 发布
阅读量535 收藏
点赞数
分类专栏: web开发学习笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36010615/article/details/79686987
版权 
package cn.itcast.test;

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;

import org.junit.Test;

/**
 * 测试sql注入问题
 * 
 * @author Never Say Never
 * @date 2018年3月25日
 * @version V1.0
 */
public class TestLogin {

	@Test
	public void testLogin() {
		try {
			login1("账户", "密码");
		} catch (Exception e) {
			e.printStackTrace();
		}
	}

	/**
	 * 用户登录方法
	 * 
	 * @param username
	 * @param password
	 * @throws ClassNotFoundException
	 * @throws SQLException
	 */
	public void login(String username, String password) throws ClassNotFoundException, SQLException {
		// 1.注册驱动
		Class.forName("com.mysql.jdbc.Driver");
		// 2.获取连接
		Connection conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/nanjieying", "root", "root");
		// 3.创建执行sql语句的对象
		Statement stmt = conn.createStatement();
		// 4.书写一个sql语句
		String sql = "select * from user where " + "uname='" + username + "' and upassword='" + password + "'";
		// 5.执行sql语句
		ResultSet rs = stmt.executeQuery(sql);
		// 6.对结果集进行处理
		if (rs.next()) {
			System.out.println("恭喜您," + username + ",登录成功!");
			System.out.println(sql);
		} else {
			System.out.println("账号或密码错误!");
		}
		if (rs != null)
			rs.close();
		if (stmt != null)
			stmt.close();
		if (conn != null)
			conn.close();
	}

	public void login1(String username, String password) throws ClassNotFoundException, SQLException {
		// 1.注册驱动
		Class.forName("com.mysql.jdbc.Driver");
		// 2.获取连接
		Connection conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/nanjieying", "root", "root");
		// 3.编写sql语句
		String sql = "select * from user where uname=? and upassword=?";
		// 4.创建预处理对象
		PreparedStatement pstmt = conn.prepareStatement(sql);
		// 5.设置参数(给占位符)
		pstmt.setString(1, username);
		pstmt.setString(2, password);
		// 6.执行查询操作
		ResultSet rs = pstmt.executeQuery();
		// 7.对结果集进行处理
		if (rs.next()) {
			System.out.println("恭喜您," + username + ",登录成功!");
			System.out.println(sql);
		} else {
			System.out.println("账号或密码错误!");
		}
		if (rs != null)
			rs.close();
		if (pstmt != null)
			pstmt.close();
		if (conn != null)
			conn.close();
	}
}


Stone_Nan
关注
专栏目录
11.JavaSE第11天_JDBC技术&SQL注入和预编译&结果集处理
小Y在线编码
01-21 130
一、JDBC介绍 1、什么是 JDBC JDBC:Java推出操作数据库的技术(Java DataBase Connection)。可以通过JDBC技术操作各种数据库。 JDBC它是一套规范,其中定义若干的接口,只要按照这些接口中提供的方法,可以不用关心是哪个数据库,都可以正常的操作。 数据库厂商在生成数据库软件的时候,为了Java能够操作数据库,每个数据库都会基于JDBC封装一套适合自己数据库的相关驱动包(jar包),然后我们在编程时候需要将相关的jar导入到项目中。 二、JDBC基本使用 1、导入数据
JDBC-SQL注入攻击问题及解决方案
Fly_Fly_Zhang的博客
07-07 772
什么是SQL注入: 由于dao层中执行的SQL语句是拼接出来的,其中一部分内容是用户从用户端输入的,当传入数据包含SQL关键字时,就有可能通过这些关键字来改变SQL的语义,从而执行一些特殊的操作,这就称为SQL注入问题。 SQL注入攻击演示: 首先我们创建一张用户表,里面包含用户名和密码。 mysql> select * from user; +----------+----------+ ...
SQL语句注入
唐夫人
05-14 767
mysql_escape_string(strip_tags(arr["arr["arr["val"])); 函数名称:post_check() 函数作用:对提交的编辑内容进行处理 参  数:$post: 要提交的内容 返 回 值:$post: 返回过滤后的内容 function post_check($post){ if(!get_magic_quotes...
Sql语句注入方法
乐杨俊浅谈LAMP
10-17 1542
如果用户输入的内容直接插入到SQL查询语句中,应用程序容易受到SQL注入攻击,就像下面的例子: $unsafe_variable = $_POST['user_input']; mysql_query("INSERT INTO table (column) VALUES ('" . $unsafe_variable . "')");   因为用户可以输入:value'); DROP TAB
jdbcSQL语句
weixin_39924752的博客
03-21 1839
                jdbcSQL语句/第一步 加载用于连接数据库的驱动程序Class.forName("com.mysql.jdbc.Driver");//第二步:创建与mysql数据库的连接Connection conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/数据库名字","账号","密码");//第...
SQL注入
miss1457的博客
05-17 268
SQL注入url注入新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 url注入 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编辑器, 可以仔细阅读这篇文章,了
sql语句JDBC编程基础
Liuxin2448的博客
03-09 767
sql语句JDBC编程基础sql语句char与varchar的区别大对象类型set和枚举日期和时间列类型位类型bit总结删除操作drop修改基本表alter基本练习对表的基本操作 DML+DQL字符串的比较多条件查询术语练习:JDBC编程基础JDBC概述使用JDBC访问MySQL1、加载JDBC驱动程序2、创建数据库连接3、执行SQL语句4、接收并处理SQL的返回结果![在这里插入图片描述](https://img-blog.csdnimg.cn/20210309180943966.png)5、关闭创建
回头探索JDBC及PreparedStatementSQL注入原理
记录生活的点滴
12-02 269
概述 JDBC在我们学习J2EE的时候已经接触到了,但是仅是照搬步骤书写,其中的PreparedStatementsql注入原理也是一知半解,然后就想回头查资料及敲测试代码探索一下。再有就是我们在项目中有一些配置项是有时候要变动的,比如数据库的数据源,为了在修改配置时不改动编译的代码,我们把要变动的属性提取到一个配置文件中,比如properties,因为properties里面都是键值对的形式...
SQLJDBC
ggbondd的博客
03-09 1600
文章目录jdbc概念jdbc本质jdbc快速入门步骤详解各个对象DriverManager:驱动管理对象1.注册驱动2.获取数据库连接对象Connection:数据库连接对象1.获取执行SQL的对象2.管理事务Statement:执行SQL的对象1.执行SQL2.insert语句练习ResultSet:结果集对象,封装着查询结果select语句练习抽取jdbc工具类:JDBCUtilsJDBCUtils.javajdbc.javaPreparedStatement:执行SQL的对象1.sql注入问题2.使用
JDBC学习笔记(SQL语句的执行)
Blog
04-28 551
在获得数据库连接后,紧接着就是执行SQL语句。这里用到俩个类:Statement和PreparedStatement 一、Statment   Statement提供了以下方法用来执行SQL语句:    * executeQuery(String sql):执行一条SQL查询语句,返回查询结果对象(ResultSet)  * executeUpdate(String sql):执行一条...
SQL注入
最新发布
江拥羡橙的博客
05-16 590
SQL注入是比较常见的网络攻击方式之一,它不是利用**操作系统**的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改**数据库**。
JDBC 增、查、删、改 和 sql注入登录
吉祥龙龙的博客
03-31 394
package cn.mxl.jdbc04; import java.sql.Connection; import java.sql.DriverManager; import java.sql.SQLException; import java.sql.Statement; /** * * JDBC 增 * * JDBC 增加表中的数据 用SQL语句 * * @...
JDBC执行SQL语句(PerparedStatement对象)
ZJLOVE的博客
09-12 5557
※ PreparedStatement和Statemnet区别 PreparedStatement是Statemnet的子类 PreparedStatement执行的是同构的sql语句,Statemnet执行的是异构的sql语句; PreparedStatement执行sql语句的时候只编译一次sql语句并且可以采用占位符?,Statemnet每执行一条sql语句都要编译。 PreparedS...
JDBCSQL注入
qq_46093575的博客
05-16 235
一、SQL注入 是指利用某些系统没有对用户输入数据进行充分的检查,而在用户输入数据中注入非法的sql语句或命令,恶意攻击数据库。
JDBC中的SQL注入
Leessang
05-22 947
狭义的 SQL注入 称之为狭义,是指我在深入了解前自己对SQL注入的理解,也就是在练习JDBC操作数据库时接触到的SQL注入。 1.1 JDBC 先介绍一下JDBC的概念:JDBC是sun公司(已被Oracle收购)制定一系列接口标准,由不同数据库厂商(Oracle、MySQL等)实现接口方法并封装成驱动文件,供开发人员操作数据库。也就是说,开发人员可采用统一的代码来操作不同的数据库,而无需关注驱动文件的内部实现。 通俗的理解就是JDBC是规范、是接口,不同的数据库厂商要据此编写各自的操作实现。 1.2 S
JDBCsql注入攻击
We_chuan的博客
12-25 265
哪有什么一夜成名,都是百炼成钢 JDBC JDBC(Java DataBase Connectivity,java数据库连接)又SUN公司开发,是一种用于执行SQL语句的Java API,可以为多种关系数据库提供统一访问,它由一组用Java语言编写的类和接口组成。JDBC提供了一种基准,据此可以构建更高级的工具和接口,使数据库开发人员能够编写数据库应用程序。 简单地说,JDBC 可做三件事:与...
JDBC 简介 ,SQL 注入JDBC操作数据库
Change the World by Program
07-25 295
JDBC简介第三方提供的类库,接口通过这个接口提供的API 可以进行操作数据库。 JDBC使用步骤1. 注册驱动 2. 获取链接对象 3. sql语句 4. 通过Statement对象去操作数据库 5. 关闭资源 示例代码 try{ // 1.注册驱动 // Class.forName("com.mysql.jdbc.Driver"); DriverM
JDBC的学习及SQL注入
一点莹的博客
02-04 214
1.数据库驱动: 这里的驱动的概念和平时听到的那种驱动的概念是一样的,比如平时购买的声卡,网卡直接 插到计算机上面是不能用的,必须要安装相应的驱动程序之后才能够使用声卡和网卡,同样道理, 我们安装好数据库之后,我们的应用程序也是不能直接使用数据库的,必须要通过相应的数据库驱动程序,通过驱动程序去和数据库打交道。 应用程序----->Mysql驱动-------->Mysql数据库 2.JDBC的介绍: SUN公司为了简化、统一对数据库的操作,定义了一套Java操作数据库的规范由Java语言编写(
5种方法止 jsp被sql注入
收集盒 Book box
09-22 6632
一、 SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 ===========================================
WEB项目开发技术详解:从JDBC到MVC架构
2. **数据操作**:在JDBC中,我们可以通过`Statement`或`PreparedStatement`执行SQL语句,进行数据的增删查改。例如,使用`setString(i, value)`设置参数,`executeQuery()`执行查询,`executeUpdate()`执行非查询...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值