JDBC_用户登录功能界面的的初始化(SQL注入的分析)

最新推荐文章于 2024-08-11 13:28:35 发布
最新推荐文章于 2024-08-11 13:28:35 发布
阅读量152 收藏
点赞数
分类专栏: JAVA_JDBC 文章标签: sql 数据库 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53239252/article/details/126181909
版权
该博客讨论了如何在Java中实现用户登录功能时遇到的SQL注入问题。内容详细介绍了SQL注入的危害,即用户输入的非法信息可能导致SQL语句原意被扭曲。示例代码展示了使用字符串直接拼接构造SQL查询的不安全方式,并提出了改进的必要性。
摘要由CSDN通过智能技术生成

#JDBC_用户登录功能界面的的初始化

package com.snailxq.jdbc;

import java.sql.*;
import java.util.HashMap;
import java.util.Map;
import java.util.Scanner;

/*  1.需求:
      模拟用户的的登录功能
*  2.当前程序存在问题,这种现象被称为SQL注入
*        用户名:wq
        密码:wq' or '1'='1
        登录成功
   3.导致SQL注入的根本原因:
     用户输入的信息中含有SQL语句关键字,并且这些关键字参加SQL语句的编译过程。
     导致了SQL语句的原意被扭曲,达到了SQL注入。

* */

public class JDBCTest06 {
    public static void main(String[] args) {
        //初始化一个界面
        Map<String,String> userLoginInfo = initUI();
        //验证用户名和密码
        boolean loginSuccess = login(userLoginInfo);
        //输出结果
        System.out.println(loginSuccess ? "登录成功":"登录失败");


    }

    /**
     * 用户登录
     * @param userLoginInfo 用户登录信息
     * @return
     */
    private static boolean login(Map<String, String> userLoginInfo) {
        // 打标记
        boolean loginSussess =false;
        //单独定义变量
        String loginName =userLoginInfo.get("loginName");
        String loginPwd =userLoginInfo.get("loginPwd");

        Connection connection =null;
        Statement statement= null;
        ResultSet resultSet = null;
        try {
            //1.注册驱动
            Class.forName("com.mysql.jdbc.Driver");
            //2.获取连接
            connection = DriverManager.getConnection("jdbc:mysql://localhost:3306/everours","root","333");
            //3.获取数据库连接对象
            statement =connection.createStatement();
            //4.执行SQL
            String sql ="select * from t_user where loginName='"+loginName+"'and loginPwd ='"+loginPwd+"'";
            //以上的正好完成了SQL语句的拼接,一下代码的含义是发送SQL语句给DBMS,DBMS进行编译
            //正好用户提供的“非法信息”编译进去。导致的了原SQL原意被扭曲。
            resultSet =statement.executeQuery(sql);
        //5.处理结果集
            if (resultSet.next()){
                loginSussess=true;
            }
        } catch (Exception e) {
            e.printStackTrace();
        }finally {
            //6.释放结果集
            if (resultSet !=null){
                try {
                    resultSet.close();
                } catch (SQLException e) {
                    e.printStackTrace();
                }
            }if (statement !=null){
                try {
                    statement.close();
                } catch (SQLException e) {
                    e.printStackTrace();
                }
            }if (connection !=null){
                try {
                    connection.close();
                } catch (SQLException e) {
                    e.printStackTrace();
                }
            }
        }
       return  loginSussess;
    }

    private static Map<String, String> initUI() {
        Scanner s= new Scanner(System.in);

        System.out.print("用户名:");
        String loginName=s.nextLine();

        System.out.print("密码:");
        String  loginPwd=s.nextLine();

        Map<String,String> userLoginInfo =new HashMap<>();
        userLoginInfo.put("loginName",loginName);
        userLoginInfo.put("loginPwd",loginPwd);

        return userLoginInfo;

    }
}
qq_53239252
关注
专栏目录
JdbcSql.rar_java resultset_jtable
09-14
Java编程中,`JdbcSql.rar`这个压缩包文件主要涉及了如何使用JDBCJava Database Connectivity)处理SQL查询结果...通过理解和掌握这些知识点,开发者可以构建出能够从数据库获取数据并实时显示在用户界面中的功能。
JDBC-初始化操作
weixin_42297061的博客
08-20 473
// 1. 注册驱动,jdk1.8之后,自动注册 Class.forName("com.mysql.jdbc.Driver"); // 获取类对象导致类加载,执行静态代码块,注册驱动 //DriverManager.registerDriver(new com.mysql.jdbc.Driver());// 1. 驱动注册两次 // 2. 耦合性高,依赖驱动类 // 2. 获取连接 /** * url:Uniform Resources Location 统一资源定位符 网址,连接字符串 */ Stri
解决SQL注入问题
heliuerya的博客
01-23 1443
解决SQL注入问题
第四章 SQL注入
最新发布
weixin_51186121的博客
08-11 596
SQL注入问题说的是:用户输入的信息中含有SQL语句关键字,和程序中的SQL语句进行字符串拼接,导致程序中的SQL语句改变了原意。原因是:用户提供的信息中有SQL语句关键字,并且和底层的SQL字符串进行了拼接,变成了一个全新的SQL语句。,也就是说:用户提供的信息中即使含有SQL语句的关键字,那么这个信息也只会被当做一个值传递给SQL语句,用户提供的信息不再参与SQL语句的编译了,这样就解决了SQL注入问题。如果以上的SQL语句能够查询到结果,说明用户名和密码是正确的,则登录成功。
初始JDBC 编程
m0_54853503的博客
07-31 238
先自我介绍一下,小编13年上师交大毕业,曾经在小公司待过,去过华为OPPO等大厂,18年进入阿里,直到现在。深知大多数初中级java工程师,想要升技能,往往是需要自己摸索成长或是报班学习,但对于培训机构动则近万元的学费,着实压力不小。因此我收集了一份《java开发全套学习资料》送给大家,初衷也很简单,就是希望帮助到想自学又不知道该从何学起的朋友,同时减轻大家的负担。2、引入依赖,JDBC编程需要用到mysql的驱动包。1、创建DataSource对象,这个对象就描述了数据库服务器在哪。...
登录页面的SQL注入漏洞
m0_61974571的博客
10-12 3981
1、在Linux准备一套Xampp或者Phpstudy:模拟攻防2、在vscode安装Rremote Development插件,进行远程调试新添加主机 在opt/lampp/security创建项目 login.php welcome.php 二、进行登陆的渗透测试 注入类攻击的核心点: (1)、拼接为有效的代码或语句(2)、确保完成了闭合,并且可以改变原有执行逻辑通常并非处理一下就可以完成拼接和闭合,需要不停的尝试,知道出现不一样的结果。这个尝试过程建议使用python+字典快速处理上述代码一共存
利用SQL注入漏洞登录后台
zxcvbnmasdflzl的博客
06-19 1万+
所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令
基于SpringBoot+hiveJDBC+echarts的数据大屏可视化和大数据分析源码
10-16
在本项目中,我们主要探讨的是如何利用SpringBoot、hiveJDBC和Echarts技术栈来实现数据大屏可视化和大数据分析。SpringBoot是Java领域的一个轻量级框架,它简化了Spring应用程序的初始搭建以及开发过程,使得开发者...
JSP + JDBC 登陆系统 登陆界面处理界面成功界面失败界面注销界面(有数据库版)
04-29
- **防止SQL注入**:使用PreparedStatement预编译SQL,避免恶意用户通过输入特殊字符操纵SQL语句。 - **密码安全**:对用户输入的密码进行哈希处理并存储,而不是明文存储。 - **错误处理**:提供适当的错误信息,但...
JDBCServlet_java_
09-28
`PreparedStatement`可以防止SQL注入攻击,提升代码安全性。 5. **异常处理**:在处理数据库操作时,需要捕获并适当地处理可能出现的异常,如`SQLException`,确保程序的健壮性。 6. **MVC模式**:虽然不是强制性...
Java JDBC学生数据管理系统
10-14
3. 创建Statement或PreparedStatement对象:Statement用于执行静态SQL语句,而PreparedStatement允许预编译SQL语句,提高性能并防止SQL注入。 4. 执行SQL:调用Statement或PreparedStatement的executeQuery()或...
SQL注入详解
行者AI
09-16 1万+
现在大多数系统都使用B/S架构,出于安全考虑需要过滤从页面传递过来的字符。通常,用户可以通过以下接口调用数据库的内容:URL地址栏、登陆界面、留言板、搜索框等。这往往会出现安全隐患,为了更好的保护数据泄露或服务器安全,为了方便的安全测试,便编写此文。 1. SQL注入简介 SQL注入就是指Web应用程序对用户输入数据的合理性没有进行判断,前端传入后端的参数是攻击者可控制的,并且根据参数带入数据库查询,攻击者可以通过构造不同的SQL语句来对数据库进行任意查询。下面以PHP语句为例作为展示: query="SE
SQL注入---测试工程师必知必会
啊Sei的博客
06-02 2443
SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息
SQL注入原理讲解
热门推荐
幻染雨停轻的博客
09-16 2万+
本文转自http://www.cnblogs.com/rush/archive/2011/12/31/2309203.html 1.1.1 摘要 日前,国内最大的程序员社区CSDN网站的用户数据库被黑客公开发布,600万用户的登录名及密码被公开泄露,随后又有多家网站的用户密码被流传于网络,连日来引发众多网民对自己账号、密码等互联网信息被盗取的普遍担忧。      网络安全成为了现在互联网的焦...
入门渗透:SQL注入登录页面——Appointment
栉风沐雪的博客
02-16 765
它是最受欢迎的HTTP服务器之一,通常在标准HTTP端口上运行,例如端口 80 TCP、443 TCP 以及 HTTP 端口(如 8080 TCP 或 8000 TCP)上的端口。发现80端口http服务开启,Apache版本为2.4.38,通过搜索引擎查看该版本的漏洞,发现不含任何已知的可以利用的漏洞。/home /login /contact /login/forgot 均无所发现,尝试使用gobuster工具。#在其中表示注释语句,那么尝试利用用户名一栏注释掉密码需求,实现只用用户名就可以登入,
sql注入详解
m0_67392811的博客
06-12 6163
目录前言? ?一、漏洞原因分析二、漏洞危害三、sql注入防范四、如何挖掘sql注入漏洞五、常见的注入手法联合查询(union注入)报错注入基于布尔的盲注基于时间的盲注HTTP头注入宽字节注入堆叠查询二阶注入六、sql注入getshell的几种方式结构化查询语言(Structured Query Language,缩写:SQL),是一种特殊的编程语言,用于数据库中的标准数据查询语言。SQL注入SQL Injection)是一种常见的Web安全漏洞,主要形成的原因是在数据交互中,前端的数据传入到后台处理时,没
Web安全之SQL注入_web注入,2024年最新【绝对干货
jixuczy的博客
04-15 1092
SQL注入SQL lnjection)是发生在 Web 程序中数据库层的安全漏洞,是比较常用的网络攻击方式之一,他不是利用操作系统的 BUG 来实现攻击,而是针对程序员编写时的疏忽,通过 SQL 语句,实现无账号登录,甚至修改数据库。也就是说,SQL 注入就是在用户输入的字符串中添加 SQL 语句,如果在设计不良的程序中忽略了检查,那么这些注入进去的 SQL 语句就会被数据库服务器误认为是正常的 SQL 语句而运行,攻击者就可以执行计划外的命令或者访问未授权的数据。
SQL注入绕过登陆界面
weixin_73094474的博客
03-06 2783
【代码】SQL注入绕过登陆界面
JSP+JDBC实现用户注册登录功能教程
- SQL注入防护:在使用JDBC进行数据库操作时,必须确保应用程序对SQL注入攻击有适当的防护措施,如使用预处理语句(PreparedStatement)。 - 数据库连接管理:合理管理数据库连接是Web应用程序性能的关键。可能需要...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值