JDBC-模拟用户登录
案例需求:
模拟用户登录,Statement对象完成
开发步骤:
1.准备环境,导入JDBCUtils工具类,mysql-connector-java-5.1.10-bin.jar包,JUnit 4 jar包
2.创建main方法,提示用户登录
3.创建login方法,用来验证用户是否存在,去查询user表,根据用户名和密码,利用jdbc完成,JDBCUtils工具类
方式一:当我们的用户名输入的值为jack’# /jack’ or’1=1’时会产生一新现象:只输入用户名不输入密码可以登录成功。
本质上是因为SQL中出现了SQL关键字(# / or),使得SQL语义发生了变化。出现SQL注入攻击问题,
方式二:给出了解决方案,利用PreparedeStatement对象开发,可以成功的避免攻击问题
总结:1.防止 SQL注入攻击问题,本质上是将SQL的关键字当做一个普通的字符串来处理的。
2.省去了参数拼接的麻烦,利用?来作为占位符,将SQL的参数和SQL的骨架分隔开。?的值通过ps.setString(index,username)
3.提高程序的效率,执行sql的时候,先将SQL骨架缓存,减少了数据库的交互提高程序访问效率
用户表: