【数据库】 兴唐第二十七节课只sql注入

最新推荐文章于 2020-10-19 14:52:14 发布
最新推荐文章于 2020-10-19 14:52:14 发布
阅读量115 收藏
点赞数
分类专栏: Java 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tyrant_forever/article/details/96173015
版权

首先来一个用户登录程序

public static void login(String username, String password) {
	Connection conn = null;
	Statement stat = null;
	ResultSet rs = null;
try {
	Class.forName("com.mysql.jdbc.Driver");
	String url = "jdbc:mysql://127.0.0.1:3306/tyrantforever";
	String sql = "select * from students where stu_name = '" + username + "' and scores = '"+ password +"'";
	conn = DriverManager.getConnection(url, "root", "root");
	stat = conn.createStatement();
	rs = stat.executeQuery(sql);
	if(rs.next()) {
		System.out.println("用户登陆成功!!!");
	}else {
		System.out.println("用户登陆失败!!!");
	}
	
} catch (ClassNotFoundException e) {
	// TODO Auto-generated catch block
	e.printStackTrace();
} catch (SQLException e) {
	// TODO Auto-generated catch block
	e.printStackTrace();
}finally {
	try {
		if(conn != null) {
			conn.close();
		}
		
		if(stat != null) {
			stat.close();
		}
		
		if(rs != null) {
			rs.close();
		}
	} catch (SQLException e) {
		// TODO Auto-generated catch block
		e.printStackTrace();
	}
}
}

如果在main方法里输入

login("张伟", 'hello 'or' 1'='1 ");

输出:

用户登陆成功!!!

 

分析:

我们将输入sql的语句打印出来:

select * from students where stu_name = '张伟' and scores = 'hello 'or ' 1 '=' 1'

由于数据库解析数据时是从后往前,所以它读到的是

‘1’ = ‘1’ or 。。。。。or前面就为真,所以语句就为真了。

 

所谓魔高一尺道高一丈,我们自然有防止sql注入的方法

public static void loginWithPrepare(String username, String passwd) {
	Connection conn = null;
	PreparedStatement stat = null;
	ResultSet rs = null;
	try {
		Class.forName("com.mysql.jdbc.Driver");
		String url = "jdbc:mysql://127.0.0.1:3306/tyrantforever";
		conn = DriverManager.getConnection(url, "root", "root");
		String sql = "select * from students where stu_name = ? and stu_no = ?";
		stat = conn.prepareStatement(sql);
		stat.setString(1, username);
		stat.setString(2, passwd);
		
		rs = stat.executeQuery();
		if(rs.next()) {
			System.out.println("用户登录成功!!!");
		}else {
			System.out.println("用户登录失败!!!");
			
		}
		
			
	} catch (ClassNotFoundException e) {
		// TODO Auto-generated catch block
		e.printStackTrace();
	} catch (SQLException e) {
		// TODO Auto-generated catch block
		e.printStackTrace();
	}finally {
		try {
			if(conn != null) {
			conn.close();
			}
			
			if(stat != null) {
				stat.close();
			}
			
			if(rs != null) {
				rs.close();
			}
		} catch (SQLException e) {
			// TODO Auto-generated catch block
			e.printStackTrace();
		}
	}
}

 

花名时礼
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
兴唐纵加客户端
07-31
兴唐纵向加密装置为国网入网设备,适用于SJW07-A这款纵加设备。 从事电力行业系统集成必备工具。
067麦肯锡--兴唐战略规划_附战略、财务规划模板.ppt
最新发布
07-11
兴唐公司战略规划】是基于麦肯锡的管理咨询框架进行的一项企业规划活动,旨在为公司的长期发展制定明确的方向和策略。战略规划的核心在于它不仅仅是财务规划的起点,更是一个涉及经营、预算、资金管理和业绩管理等...
JDBC关于驱动连接的笔记
风吟Pro的博客
10-19 189
JDBC驱动注册及连接 import java.sql.*; public class JDBCTest01 {//最好能把数据库的东西写进配置文件里面(资源绑定器)来降低结构耦合度,方便后续修改 public static void main(String[] args) {//IDEA要配置JAR包引入MODULE中 //拿到connection和statement对象,要全局变量便于后面进行资源流的关闭 Connection conn=null; S
数据库兴唐第二十七节课之jdbc的使用
tyrantForever的博客
07-16 124
使用jdbc修改数据库表中的信息 package java27practice; import java.sql.Connection; import java.sql.DriverManager; import java.sql.SQLException; import java.sql.Statement; public class JDBCDemo { public static...
【java】兴唐第二十三节课作业
tyrantForever的博客
07-14 450
已知如下: 下表为某班级四次考试成绩单, 要求使用HashMap<String, Integer>存储每次考试的成绩(key键为姓名,value为成绩)。 要求使用LinkedList存储考试次数,有几次考试就有几个HashMap 注意:后台用户是知道学生姓名的 形式如:LinkedList<HashMap<String, Integer>> 姓名 第一次考...
【java】兴唐第二十七节课作业 用数据库实现学生信息管理系统(极度阉割版,待更新)
tyrantForever的博客
07-17 145
import java.sql.Connection; import java.sql.ResultSet; import java.sql.SQLException; import java.sql.Statement; import java.util.Scanner; import Util.DbUtil; public class Main { public static void...
数据库兴唐第二十六节课作业
tyrantForever的博客
08-03 125
一、设计购物车表、支付信息表和订单表 思路: 购物车中有: 商品名、价格、生产日期、 保质期(shelf life)、生产厂家。 支付信息中有: 商品名、 价格、 件数、 总价 订单信息有: 发货时间、订单号、预计到货时间、送货地址 代码实现: create table trolley( id int(11) not null auto_increment, name varchar(20) ...
【java】兴唐第三十一节课之反射
tyrantForever的博客
07-21 116
知识点 一、获取类对象、 方法一 代码实现: Class myDriver = Class.forName("com.mysql.jdbc.Driver"); 方法二: 代码实现: Class mysqlDriver = com.mysql.jdbc.Driver.class; 注:方法二中Driver前面的东西可以不写,如果把Driver引入的话。 二、获取类的父类 代码...
数据库兴唐第二十八节课零散知识点汇总
tyrantForever的博客
07-17 120
1、group by order by等都要放到语句的最后 2、表格标签: <table> <tr>表示行 <td>表示一个行里的单元格 </table> 3、表格调整 内容水平方向跳整: align="center" 表示水平居中 align 有三个值:left\center\right 内容垂直方向调整...
【java】兴唐第十八节课
tyrantForever的博客
05-11 158
1、java接口的关键字:implements,可实现多个接口,接口接口之间使用逗号分隔。 注: 继承只能继承一个,接口可以实现多个 2、在接口里所有的方法都是抽象方法,不用关键字abstract修饰。 3、接口不能定义变量,必须定义常量 4、抽象方法的访问权限必须使用public,即使省略public关键字,默认类型也是public 5、默认方法只能被实现类调用 代码实现 public def...
【HTML】兴唐第二十八节课之初识HTML
tyrantForever的博客
07-17 136
1、HTML:hyper text markup language(超级文本标记语言)算编程,但HTML不是编程语言 2、注意: (1)所有的HTML文件都是以.html或者htm作为扩展名 (2)html文件需要被浏览器解析执行 (3) html不区分大小写 (4)html不是一个所见即所得的标签语言 3、标签: (1)单标签和双标签 单标签:一般描述一个组件 ...
McK兴唐战略规划附战略、财务规划模板.pptx
09-21
兴唐公司战略规划】是企业管理和决策的重要环节,它涉及到公司的长远发展方向和目标设定。战略规划不仅是财务规划的起点,也是资金管理、业绩管理等其他管理流程的基础。该文档提出了战略规划流程的关键要点和预期...
兴唐战略规划_附战略、财务规划模板.pptx
09-21
兴唐公司战略规划】是企业管理和决策的重要环节,它涉及到公司的长远发展和核心竞争力的构建。战略规划不仅是财务规划的起点,而且需要定期滚动修订,以适应不断变化的市场环境。这一过程需要基于对市场、竞争情况...
兴唐战略规划附战略、财务规划模板.ppt
09-16
兴唐战略规划附战略、财务规划模板】的文件提供了制定企业战略规划和财务规划的详细框架,旨在帮助公司制定有效的策略,以适应快速变化的市场环境并实现可持续发展。以下是对该文件主要内容的深入解析: 1. **...
java学生管理系统
热门推荐
tyrantForever的博客
04-06 3万+
以下记录来自一个菜鸟,请大佬们见谅 2019.4.6 16:49,已经在电脑前坐了将近五个小时的我将个人第一个java优化系统调试完成,五个小时,只是将已经写好的系统进行优化,起初开始优化的时候觉得这简直是个无底洞,要考虑的东西太多太细(忽然想起一位java老师曾说过,“永远不要相信你的用户都是正常人”,言外之意就是要考虑到用户各种各样稀奇古怪的操作),而且不同类之间的分工很难协调,初步估算工程量...
【tomcat】tomcat启动失败的种种(持续更新)
tyrantForever的博客
04-06 1万+
初始化配置问题 易感人群:部分版本(注意不是全部)版本在安装初期会发生的问题 解决方法: 将Tomcat的Server Location配置改为第二个即可 但此时问题来了,为什么选项会是灰色不可更改的呢? 答:你需要将发布到Tomcat里的项目移除出去 工程没有添加lib文件 发病症状: 1、等tomcat里没有发布项目时正常启动,发布项目之后启动失败 2、 3、...
【java】如何将一个long类型的数据转换为long类型的数组
tyrantForever的博客
08-21 9635
话不多说,直接上代码 //将一个long类型的数据转为一个long类型的数组 public static long[] longToLongarray(long longData) { String stringData = String.valueOf(longData); long[] longarray = new long[stringData.length()]; for(int i = 0; i < stringData.length(); i++) { longarray[
【蓝桥java】递归基础之计算共多少种走法
tyrantForever的博客
02-19 5843
计算从某个位置(x,y)走到(0,0) 一共多少种走法 代码实现: package xn.zzunit.recurrence; /** * 从某个位置(x,y)走到(0,0) 一共多少种走法 * @author tyrantForever * */ public class Project3 { public static void main(String[] args) ...
兴唐战略规划:市场、竞争与财务预测分析
"McK-兴唐战略规划附战略、财务规划模板分析.ppt" 这份文档详细阐述了兴唐公司采用麦肯锡(McKinsey)战略规划方法进行企业发展的全面规划过程,其中包括战略规划流程、财务规划以及组织结构和风险管理等多个关键...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值