通过prepredStatement 解决注入问题

最新推荐文章于 2023-01-31 20:57:38 发布
最新推荐文章于 2023-01-31 20:57:38 发布
阅读量378 收藏
点赞数
分类专栏: MySQL 文章标签: java 数据库 sql mysql jdbc
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43525993/article/details/108630328
版权

在这里插入图片描述
sql注入的原因:

目前的sql语句是字符串拼接完成的, 里面的传入的参数如果有关键字如or等, 就会把他当作关键字处理导致的

    @Test
    public void demo03() {
        // 目的: 演示 sql  注入, 非法登录

        // 模拟获取用户自己填写的 用户名和密码
        // 模拟登录成功
        String usernme = "aaa";
        String password = "123";

        // 模拟用户名正确, 密码不对
        //String usernme = "aaa' -- ";
        // String usernme = "aaa' #";
        // String password = "123456";


        // 模拟用户名和密码都不正确
        // String usernme = "sdfsfd";
        // String password = "sdfsdfs' or '1'='1";

        // 登录业务: 根据用户名和密码查询用户信息
        // 如果查到了, 表示登录成功, 显示欢迎信息; 如果没有查到, 表示登录失败, 提示错误
        Connection conn = null;
        PreparedStatement stmt = null;
        ResultSet rs = null;

        try {
            // 1 获取连接
            conn = JDBCUtils.getConnection();
            // 2 获取执行sql的对象
            String sql = "select * from user where username=? and password=?";
            System.out.println("sql = " + sql);
            stmt = conn.prepareStatement(sql);
            // java.sql.SQLException: No value specified for parameter 1
            // 因为sql语句中有?占位符, 应该设置对应的值, 注意下标从1开始的
            stmt.setString(1, usernme);
            stmt.setString(2, password);
            // 3 执行sql 获取结果
            rs = stmt.executeQuery();
            // 4 处理结果
            // 因为 用户名是唯一的, 所以 要么有一行结果, 要么没有, 所以 只判断一次就可以了 if
            if(rs.next()) {
                // 表示查到了, 表示登录成功, 显示欢迎信息
                System.out.println("登录成功, 欢迎访问本网站! " + rs.getString("username"));
            }  else {
                // 表示没有查到, 表示登录失败, 显示失败信息
                System.out.println("登录失败, 用户名或密码错误!");
            }
        } catch (Exception e) {
            e.printStackTrace();
        } finally {
            // 5 释放资源
            JDBCUtils.close(conn, stmt, rs);
        }
    }

11 通过preparedStatement 完成增删改

	@Test
    public void demo01() {
        // 需求: 向student表新增一条记录
        Connection conn = null;
        PreparedStatement stmt = null;

        try {
            // 1 获取连接
            conn = JDBCUtils.getConnection();
            // 2 获取执行sql的对象
            String sql = "insert into student(name, sex, birthday) values(?, ?, ?)";
            stmt = conn.prepareStatement(sql);
            // 2.1 如果有?, 就必须设置值
            stmt.setString(1, "迪丽热巴");
            stmt.setBoolean(2,false);
            stmt.setDate(3, java.sql.Date.valueOf("2000-1-1"));
            // 3 执行sql 获取结果
            int count = stmt.executeUpdate();
            // 4 处理结果
            System.out.println("影响的条数是: " + count);
        } catch (Exception e) {
            e.printStackTrace();
        } finally {
            // 5 释放资源
            JDBCUtils.close(conn, stmt);
        }
    }

    @Test
    public void demo02() {
        // 需求: 在student表修改一条记录
        Connection conn = null;
        PreparedStatement stmt = null;

        try {
            // 1 获取连接
            conn = JDBCUtils.getConnection();
            // 2 获取执行sql的对象
            String sql = "update student set name=?, sex=?, birthday=? where id=?";
            stmt = conn.prepareStatement(sql);
            // 2.1 如果有?, 就必须设置值
            stmt.setString(1, "刘德华");
            stmt.setBoolean(2,true);
            stmt.setDate(3, java.sql.Date.valueOf("1965-10-1"));
            stmt.setInt(4, 5);
            // 3 执行sql 获取结果
            int count = stmt.executeUpdate();
            // 4 处理结果
            System.out.println("影响的条数是: " + count);
        } catch (Exception e) {
            e.printStackTrace();
        } finally {
            // 5 释放资源
            JDBCUtils.close(conn, stmt);
        }
    }

    @Test
    public void demo03() {
        // 需求: 在student表 根据id删除一条记录
        Connection conn = null;
        PreparedStatement stmt = null;

        try {
            // 1 获取连接
            conn = JDBCUtils.getConnection();
            // 2 获取执行sql的对象
            String sql = "delete from student where id=?";
            stmt = conn.prepareStatement(sql);
            // 2.1 如果有?, 就必须设置值
            stmt.setInt(1, 5);
            // 3 执行sql 获取结果
            int count = stmt.executeUpdate();
            // 4 处理结果
            System.out.println("影响的条数是: " + count);
        } catch (Exception e) {
            e.printStackTrace();
        } finally {
            // 5 释放资源
            JDBCUtils.close(conn, stmt);
        }
    }

12 将查询的一条记录结果封装到 pojo对象

package cn.itcast.dao;

import cn.itcast.pojo.Student;
import cn.itcast.utils.JDBCUtils;
import org.junit.Test;

import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.ResultSet;

/**
 * 使用prepaaredStatement执行查询
 */
public class JDBCTest06 {

    @Test
    public void demo01() {
        // 需求: 将查询到一条记录封装到pojo对象
        Connection conn = null;
        PreparedStatement stmt = null;
        ResultSet rs = null;

        // 声明一个参数, 保留结果
        Student student = null;

        try {
            // 1 获取连接
            conn = JDBCUtils.getConnection();
            // 2 获取执行sql的对象
            String sql = "select * from student where id=?";
            stmt = conn.prepareStatement(sql);
            // 设置参数
            stmt.setInt(1, 55);
            // 3 执行sql 获取结果
            rs = stmt.executeQuery();
            // 4 处理结果
            if(rs.next()) {
                student = new Student();
                student.setId(rs.getInt("id"));
                student.setName(rs.getString("name"));
                student.setSex(rs.getBoolean("sex"));
                student.setBirthday(rs.getDate("birthday"));
            }
        } catch (Exception e) {
            e.printStackTrace();
        } finally {
            // 5 释放资源
            JDBCUtils.close(conn, stmt, rs);
        }

        // 6 打印查询的结果
        System.out.println("查询的结果: " + student);
    }

    @Test
    public void demo02() {

    }
}

13 将查询的所有记录结果封装到 List 中

@Test
    public void demo02() {
        // 需求: 将查询的所有记录结果封装到 List<pojo> 中
        Connection conn = null;
        PreparedStatement stmt = null;
        ResultSet rs = null;

        // 声明一个变量, 保留结果
        List<Student> studentList = new ArrayList<Student>();

        try {
            // 1 获取连接
            conn = JDBCUtils.getConnection();
            // 2 获取执行sql的对象
            String sql = "select * from student";
            stmt = conn.prepareStatement(sql);
            // 3 执行sql 获取结果
            rs = stmt.executeQuery();
            // 4 处理结果
            while(rs.next()) {
                Student student = new Student();
                student.setId(rs.getInt("id"));
                student.setName(rs.getString("name"));
                student.setSex(rs.getBoolean("sex"));
                student.setBirthday(rs.getDate("birthday"));

                studentList.add(student);
            }
        } catch (Exception e) {
            e.printStackTrace();
        } finally {
            // 5 释放资源
            JDBCUtils.close(conn, stmt, rs);
        }

        // 6 打印查询的结果
        System.out.println("查询的结果: " + studentList);

        for (Student student : studentList) {
            System.out.println("=============================");
            System.out.println(student);
        }
    }

娃娃 哈哈
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
【很有料】浅析Statement和PreparedStatementSQL注入
daobuxinzi的博客
10-19 429
因为SQL语句在程序运行前已经进行了预编译,在程序运行时第一次操作数据库之前,SQL语句已经被数据库分析,编译和优化,对应的执行计划也会缓存下来并允许数据库参数化的形式进行查询,当运行时动态地把参数传给PreprareStatement时,即使参数里有敏感字符如 or '1=1'也数据库会作为一个参数一个字段的属性值来处理而不会作为一个SQL指令,如此,就起到了SQL注入的作用了!这就是一个最简单sql注入的例子,输入包含sql命令的内容,欺骗服务器执行破坏数据。,直接删除了数据表,十分的危险。
JDBC预编译PreparedStatement
李昆鹏的博客
06-15 300
-----------------------------------------------------------JDBC预编译PreparedStatement----------------------------------------JDBC预编译 1 什么是SQL注入在需要用户输入的地方,用户输入的是SQL语句的片段,最终用户输入的SQL片段与我们DAO中写的SQL语句合成一个完整的...
javastatement对象的作用,Statement stmt=null的作用是什么?该如何解决
weixin_39867200的博客
03-21 2458
Statement stmt=null的作用是什么?本帖最后由 u014297219 于 2014-07-28 09:57:42 编辑pageEncoding="gbk"%>htmlPUBLIC"-//W3C//DTDHTML4.01Transitional//EN""http://www.w3.org/TR/html4/loose.dtd">通过MySqlJDBC驱动访...
JDBC中使用preparedStatement解决SQL注入问题
sunny_wwu的博客
04-19 1212
今天学习JDBC的时候老师讲到了使用Statement会产生sql注入问题,并且讲了解决方案,所以写在这里和大家一起学习
JDBC用PrepareStatement解决SQL注入
最新发布
qq_46534049的博客
01-31 2086
setXxx()方法有两个参数,第一个参数是要设置的SQL语句中的参数的索引(从1开始),第二个是设置的SQL语句中的参数的值。SQL注入(SQL injection)是因为应用程序在执行SQL语句的时候没有正确的处理用户输入字符串,将用户输入的恶意字符串拼接到了SQL语句中执行,从而导致了SQL注入。这个代码中1=1永远都是对的,#后面的成了注释,所以这条语句会将表中所有的数据查询出来,然后再做数据判断的时候,就会得到正确结果,从而说用户名和密码正确,登录成功。这是查询一条数据的运行结果。
PreparedStatement 语句 注入参数如果包含换行符号,不能执行
wushipan_simple的博客
07-26 307
遇见了一个很蛋疼的问题: 我的sql语句用 PreparedStatement 封装,从excel中读取要注入参数 参数中包含一个换行字符,蛋疼啊,sql语句执行不了了! 开始以为是语句的问题,我就讲注入参数改成一个常量,但没有换行字符,语句可以执行。 语句没有问题,那就是换行字符搞的鬼了。 不知道大家有没有遇见这个情况,如果sql语句中有换行字...
java PreparedStatement就不用担心sql注入了吗?
weixin_33757911的博客
09-15 1203
     先感慨下,好久没写博客了,一是工作太忙,二是身体不太给力,好在终于查清病因了,趁着今天闲下来,迫不及待与读者交流,最后忠告一句:身体是活着的本钱!      言归正传,对java有了解的同学基本上都体验过JDBC,基本都了解PreparedStatement,PreparedStatement相比Statement基本解决SQL注入问题,而且效率也有一定提升。      关于Pre...
JDBC要点总结、SQL注入示例(Statement和PreparedStatement
厚积而薄发,谋定而后动
03-23 8037
一、三个重要对象:    a.Connection   代表着Java程序与数据库建立的连接。    b.Statement   代表SQL发送器,用于发送和执行SQL语句。    c.ResultSet   代表封装的数据库返回的结果集,用于获取查询结果。 二、编程步骤:          1、加载驱动(需要事先将驱动程序对应的jar文件放到classpath对应的
JDBC】PreparedStatement实现批量插入数据
wbumingbai的博客
10-20 3263
2022/10/20
prepareStatement设置参数mysql数据出现中文‘?’的情景与解决方式
bangluoo351772的博客
05-08 730
在prepareStatement中传入中文的参数mysql数据库中出现“?”号 try { Class.forName("com.mysql.jdbc.Driver"); conn = DriverManager.getConnection("jdbc:mysql://localhost/hejh", "root", "root"); String sql = "...
7. 使用 preparedStatement 解决 SQL 注入问题
DevOps海洋的渔夫@专栏
06-02 2897
7. 使用 preparedStatement 解决 SQL 注入问题前言在上一章节中,我们使用 statement 执行 sql 完成了用户登录的小案例,但是在这个案例中也发现了 SQL...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

娃娃 哈哈

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值