sql注入

什么是sql注入

用户输入的数据中，有sql关键字或语法并且参与了sql语句的编译，导致sql编译后的条件为true，一直得到正确结果，这种现象称为sql注入。

如下例：

-- 创建表单
CREATE TABLE admin(-- 管理员表
 `name` VARCHAR(32) NOT NULL UNIQUE,
 pwd VARCHAR(32) NOT NULL DEFAULT''   
)CHARACTER SET utf8;
-- 添加数据
INSERT INTO admin VALUES('jack','123456')

-- "SELECT*FROM admin WHERE name = '"+ username +"`AND pwd='" + password + "'";
-- 正常查询用例 username = 张三; password = 1234
SELECT*FROM admin WHERE name='张三' AND pwd='1234'   
-- sql注入
-- 万能密码为 123'OR'1'='1
SELECT*FROM admin WHERE name='张三' AND pwd= '123'OR'1'='1'

如何避免

代码中的sql语句是在用户输入数据整合后再进行编译，想要将之避免，我们要在用户输入数据之前，就编译好sql语句，输入数据后，再进行填充数据
JDBC中，java提供了一些工具类，可以解决如同上面遇到的那些问题。
比如使用preparedstatement类，就可以避免上面的 通过字符串拼接形成的sql语句形成sql注入的问题。

public class Demo6 {
    public static void main(String[] args) {
        try(Connection conn = JDBCUtils.getConnection();) {
            // 准备控制台输入
            Scanner console = new Scanner(System.in);
            // 执行登录
            // 1.输入账号密码
            System.out.println("请输入账号: ");
            String username = console.nextLine();
            System.out.println("请输入密码: ");
            String password = console.nextLine();

            // 2.将账号密码和数据库对比(查询)
            String sql = "select * from users where username=? and password = ?";
            // 获得预编译的 语句块 : 就将sql语句发送给数据库
            PreparedStatement stmt = conn.prepareStatement(sql);
            // 执行sql语句之前, 需要确定 ? 的具体内容: 设置参数
            stmt.setString(1, username);
            stmt.setString(2, password);
            // 执行sql语句, 不需要再次发送sql语句给数据库
            ResultSet rs = stmt.executeQuery();
            if (rs.next()) {
                System.out.println("欢迎" + username + "登录");
            } else {
                System.out.println("账号/密码错误");
            }
        } catch (SQLException e) {
            e.printStackTrace();
        }
    }
}