SQL注入解决

hzf-2017

于 2020-10-28 01:03:07 发布

阅读量195

点赞数

分类专栏： Java 物联网安全

本文链接：https://blog.csdn.net/qq_41582910/article/details/109324589

版权

本文讨论了SQL注入问题，描述了当密码包含特殊字符如'*' or 'a'='a'时，可能导致的逻辑漏洞，允许用户绕过正常的身份验证。为解决此问题，提出了两种方法：一是使用prepareStatement进行预编译，二是直接修改查询逻辑来增强安全性。

摘要由CSDN通过智能技术生成

SQL注入问题

问题描述：在设计登陆案例时，通过将输入的name与password作为关键词在数据库中检索匹配，将获取的结果作为身份验证的依据，当有一些特殊的密码时会产生绕过密码直接登陆的问题

如下代码：

package com.JDBCDemo.demo2;

import com.JDBCUtils.JDBCUtils;
import java.sql.Connection;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;
import java.util.Scanner;

public class JDBCLogin {
   
    /**
     * 登陆方法
     */
    public boolean login(String name, String password){
   
        Connection connection = null;
        Statement statement = null;
        ResultSet resultSet = null;
        if (name != null && password != null){
   
            try {
   
                connection = JDBCUtils.getConnection