SQL注入攻击
巧妙通过输入数据,拼写出一个具备新条件的恒等的sql语句,导致不该查询出来的数据被查询出来了.
注入场景,如:
登陆的sql语句:SELECT * FROM `user` WHERE loginname='XXXXX' AND PASSWORD = 'XXXX';
用户有:zhangsan,1234/lisi,123
正常登录成功:
用户名:zhangsan 密码:1234
SELECT * FROM `user` WHERE loginname='zhangsan' AND PASSWORD = '1234';
查询出zhangsan的用户记录
正常登录失败:
用户名:rose 密码:jack
SELECT * FROM `user` WHERE loginname='rose' AND PASSWORD = 'jack';
没有符合条件的用户记录
SQL注入:得到了不该得到的所有记录
用户名:rose 密码:jack' OR '1' = '1
SELECT * FROM `user` WHERE loginname='rose' AND PASSWORD = 'jack' OR '1' = '1';
SQL注入的解决
解决方法:使用PreparedStatement登陆方法,解决注入攻击
- preparedStatement 预编译执行者对象
- 该执行者特点:SQL语句中的参数使用 ? 作为占位符
- 调用方法为 ? 赋值
- setXxx(参数1,参数2); Xxx:问号的数据类型,参数1:SQL中第几个问好,参数2:真正的数据。参数1计数从1开始
案例:
//1.获取连接
conn = JDBCUtils.getConnection();
//2.定义SQL语句
String sql = "SELECT * FROM user WHERE loginname=? AND password=?";
//3.获取操作对象,执行sql语句,获取结果集
st = conn.prepareStatement(sql);
st.setString(1,"zhangsan"); //为第一个问号,loginname字段赋值
st.setString(2,"1234"); //为第二个问号,password字段赋值
//则确定了要执行的sql语句
//"SELECT * FROM user WHERE loginname='zhangsa'n AND password='1234'";
rs = st.executeQuery(); //执行sql语句,并获取结果集
JDBC事务
JDBC提供了3个方法来进行事务管理
JDBC默认的事务处理行为是自动提交。
-
setAutoCommit() 设置自动提交,方法中需要传入一个boolean类型的参数,true为自动提交,false为手动提交
-
commit() 提交事务
-
rollback() 回滚事
事务控制:
@Override
public void batchAdd(List<User> users) {
//获取数据库连接对象
Connection con = JDBCUtils.getConnection();
try {
//开启事务
con.setAutoCommit(false);
for (User user : users) {
//1.创建ID,并把UUID中的-替换
String uid = UUID.randomUUID().toString().replace("-", "").toUpperCase();
//2.给user的uid赋值
user.setUid(uid);
//3.生成员工编号
user.setUcode(uid);
//出现异常
//int n = 1 / 0;
//4.保存
userDao.save(con,user);
}
//提交事务
con.commit();
}catch (Exception e){
//回滚事务
try {
con.rollback();
} catch (SQLException e1) {
e1.printStackTrace();
}
e.printStackTrace();
} finally {
//释放资源
JDBCUtils.close(con,null);
}
}