上一篇中我们登录随便输入用户名,密码为a' or 'a'='a 时,则能登录成功。
为了解决这个问题,我们引入了PreparedStatement类
package cn.JdbcUtil; import cn.JdbcTest4; import java.sql.*; import java.util.Scanner; /* 1.登录sql注入问题:在拼接sql时,有一些sql的特殊关键字参与字符串的拼接。会造成安全性问题 用户名随意输入:qwerasdc,密码输入a' or 'a' = 'a 此时的sql为:"select * from user where username = '"+username+"' and password = '"+password+"' " select * from user where username ='qwerasdc' and and password = 'a' or 'a' = 'a' 则登录成功 *2.PreparedStatement:执行sql的对象 通过预编译sql:参数使用?作为占位符 如:select * from user where username = ? and password = ?; * */ public class JdbcTest5 { /* * 登录方法 */ public static void main(String[] args) { //7.键盘录入,接收用户名和密码 Scanner sc = new Scanner(System.in); System.out.println("请输入用户名"); String username = sc.nextLine(); System.out.println("请输入密码"); String password = sc.nextLine(); //8.调用方法 boolean flag = new JdbcTest5().Login2(username,password); //9.判断结果,输出不同语句 if (flag) { System.out.println("登录成功"); } else { //登录成功 System.out.println("用户名或密码错误"); } } Connection con = null; PreparedStatement prep = null; ResultSet re = null; public boolean Login2(String username,String password) { if(username == null || password == null) { return false; } // 连接数据库判断是否成功 try { //1.获取连接 //工具类报空指针异常,就不用连接方式 con = DriverManager.getConnection("jdbc:mysql://localhost:3306/test","root","newpassword") ; //2.定义sql String sql="select * from user where username = ? and password = ? "; //3.执行sql对象 prep = con.prepareStatement(sql); //给?赋值,分别时第一和第二个? prep.setString(1,username); prep.setString(2,password); //4.执行查询,选择空参的方法 re = prep.executeQuery(); //5.判断 // if(re.next()) { //如果有下一行,返回true // return true; // }else{ // return false; // } return re.next(); } catch (SQLException throwables) { throwables.printStackTrace(); }finally { //6.释放资源 JDBCUtils.Close(re,prep,con); } return false; } }
******************************************
最后测试登录
这样就能防止sql注入的问题了。