JDBC-注入攻击和事务管理(二)

SQL注入攻击

巧妙通过输入数据,拼写出一个具备新条件的恒等的sql语句,导致不该查询出来的数据被查询出来了.

注入场景,如:

登陆的sql语句:SELECT * FROM `user` WHERE loginname='XXXXX' AND PASSWORD = 'XXXX';  
用户有:zhangsan,1234/lisi,123

正常登录成功:
用户名:zhangsan   密码:1234
SELECT * FROM `user` WHERE loginname='zhangsan' AND PASSWORD = '1234';  
查询出zhangsan的用户记录

正常登录失败:
用户名:rose   密码:jack
SELECT * FROM `user` WHERE loginname='rose' AND PASSWORD = 'jack';
没有符合条件的用户记录



SQL注入:得到了不该得到的所有记录


用户名:rose   密码:jack' OR '1' = '1
SELECT * FROM `user` WHERE loginname='rose' AND PASSWORD = 'jack' OR '1' = '1';

SQL注入的解决

解决方法:使用PreparedStatement登陆方法,解决注入攻击

  • preparedStatement 预编译执行者对象
  • 该执行者特点:SQL语句中的参数使用 ? 作为占位符
  • 调用方法为 ? 赋值
  • setXxx(参数1,参数2); Xxx:问号的数据类型,参数1:SQL中第几个问好,参数2:真正的数据。参数1计数从1开始

案例:

//1.获取连接
conn = JDBCUtils.getConnection();
//2.定义SQL语句
String sql = "SELECT * FROM user WHERE loginname=? AND password=?";
//3.获取操作对象,执行sql语句,获取结果集
st = conn.prepareStatement(sql);
st.setString(1,"zhangsan");   //为第一个问号,loginname字段赋值
st.setString(2,"1234");     //为第二个问号,password字段赋值
//则确定了要执行的sql语句				
//"SELECT * FROM user WHERE loginname='zhangsa'n AND password='1234'";		
rs = st.executeQuery();     //执行sql语句,并获取结果集

JDBC事务

JDBC提供了3个方法来进行事务管理

JDBC默认的事务处理行为是自动提交。

  • setAutoCommit() 设置自动提交,方法中需要传入一个boolean类型的参数,true为自动提交,false为手动提交

  • commit() 提交事务

  • rollback() 回滚事

在这里插入图片描述

事务控制:

@Override
    public void batchAdd(List<User> users) {
        //获取数据库连接对象
        Connection con = JDBCUtils.getConnection();
        try {
            //开启事务
            con.setAutoCommit(false);

            for (User user : users) {
                //1.创建ID,并把UUID中的-替换
                String uid = UUID.randomUUID().toString().replace("-", "").toUpperCase();
                //2.给user的uid赋值
                user.setUid(uid);
                //3.生成员工编号
                user.setUcode(uid);

                //出现异常
                //int n = 1 / 0;

                //4.保存
                userDao.save(con,user);
            }

            //提交事务
            con.commit();

        }catch (Exception e){
            //回滚事务
            try {
                con.rollback();
            } catch (SQLException e1) {
                e1.printStackTrace();
            }
            e.printStackTrace();
        } finally {
            //释放资源
            JDBCUtils.close(con,null);
        }
    }
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值