import java.sql.*;
import java.util.HashMap;
import java.util.Map;
import java.util.Scanner;
import java.sql.DriverManager;
/**
* @author zzw
* @create 2020/11/07-10:28
* 实现功能:
* 1、需求:模拟用户登录功能的实现
* 2、业务描述:
* 程序运行的时候,提供一个输入的入口,可以让用户输入用户名和密码
* 用户名输入用户名和密码之后,提交信息,Java程序收集到用户信息
* Java程序连接到数据库验证用户名和密码是否合法
* 合法,显示登录成功
* 不合法,显示登录失败
* 3、数据的准备:
* 在实际开发中,表的设计会使用专业的建模工具,这里我安装一个建模工具,PowerDesigner
* 使用PD工具进行数据库表的设计(参见user-login.sql脚本)
* 4、当前程序存在的问题
* 用户名:
* user
* 密码:
* user' or '1'='1
* 登录成功
* 当我们使用这个格式的时候就可以登录成功
* 这种现象被称为SQL注入(安全隐患,以前的黑客经常使用)。
* 5、导致sql注入的原因是什么?
* debug得到 select * from login where loginName='user' and loginPwd='user' or '1'='1'
* or '1'='1'使得这条语句必定查询成功,or '1'='1'被当作sql语句被编译进去了
* 用户输入的信息中含有sql语句的关键字,**并且**这些关键字参与sql语句的编译过程
* 导致sql语句的原意被扭曲,进而达到SQL注入
*
*
*/
public class jdbcTest06 {
public static void main(String[] args) {
//initUI()初始化一个界面方法,函数的返回值是一个map集合
Map<String,String> userLogininfo=initUI();
//验证用户名和密码 函数的返回值是一个boolean类型
boolean loginSuccess=login(userLogininfo);
//最后输出结果
System.out.println(loginSuccess?"登录成功":"登录失败");
}
/**
* 用户登录
* @param userLogininfo 用户登录信息
* @return false表示失败,true表示成功
*/
private static boolean login(Map<String, String> userLogininfo) {
//打标机的意识
boolean loginSuccess=false;
//单独定义变量,在sql那里就可以直接用这个了,登录名
String userName=userLogininfo.get("loginName");
//登录密码
String userPwd=userLogininfo.get("loginPwd");
//jdbc代码
Connection conn=null;
Statement stmt=null;
ResultSet rs=null;
//1、注册驱动
try {
Class.forName("com.mysql.jdbc.Driver");
// Class.forName("com.mysql.jdbc.Driver");这句话报错很有可能是因为自己没有导包import java.sql.DriverManager;或者没有给当前环境加入mysqljar包
//2、获取连接
conn= DriverManager.getConnection("jdbc:mysql://localhost:3306/jdbc","root","a");
//3、获取数据库操作对象
stmt=conn.createStatement();
//4、执行sql
//String sql="select * from login where loginName= '"+userLogininfo.get("roginName")+"' and loginPwd='"+userLogininfo.get("loginPwd")+"' ";
//String sql="select * fron login where loginName='"+userName+"' and loginPwd='"+userPwd+"'";
//你知道你哪里错了吗,你居然把from拼错了,所以一直报错!!!
//String sql="select * from login where loginName='1' and loginPwd='1'";
String sql="select * from login where loginName='"+userName+"' and loginPwd='"+userPwd+"'";
//以上正好完成了sql语句的拼接,以下代码的含义是,发送sql语句给DBMS,DBMS进行sql编译
//正好将银狐提供的“非法信息”编译进去,导致原sql语句的含义被扭曲了
//执行查询语句把sql传过来并把结果集返回给rs
rs= stmt.executeQuery(sql);
//5、处理查询结果集
//查询到多条用循环,一条用if就好了,在用户名密码错误的情况下肯定为0条,如果对也只有一条,所以我们只要用if就好了
if(rs.next()){
//结果集有数据则说明登录成功
loginSuccess=true;
}
}catch (Exception e){
e.printStackTrace();
}finally {
//6、释放资源
if(rs!=null){
try {
rs.close();
} catch (SQLException throwables) {
throwables.printStackTrace();
}
}
if(stmt!=null){
try {
stmt.close();
} catch (SQLException throwables) {
throwables.printStackTrace();
}
}
if(conn!=null){
try {
conn.close();
} catch (SQLException throwables) {
throwables.printStackTrace();
}
}
}
return loginSuccess;
}
/**
* 初始化界面
* @return 返回用户输入的用户名和密码等登录信息
*/
private static Map<String, String> initUI() {
Scanner s=new Scanner(System.in);
System.out.println("用户名:");
String loginName=s.nextLine();
System.out.println("密码:");
String loginPwd=s.nextLine();
//用户名和密码有了,我们就该把数据组装到一个map集合了
Map<String,String> userLoginInfo=new HashMap<>();
userLoginInfo.put("loginName",loginName);
userLoginInfo.put("loginPwd",loginPwd);
//最后把这个map集合返回
return userLoginInfo;
}
}
05-20
528
528
04-30
954
954
“相关推荐”对你有帮助么?
-
非常没帮助 -
没帮助 -
一般 -
有帮助 -
非常有帮助
提交
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
