回顾JDBC快速入门(四)中写的登录案例
会有一个sql注入的问题,如果我的用户名是随便输入的,密码这么输入a' or 'a' == 'a
也会登陆成功:
通过打印出sql我们可以发现username = ‘abcdefg’ and password = 'a’是错误的,但是or 后边的‘a’ = 'a’是正确的,所以后边的逻辑就是永真,这样一来,就会查询所有的数据,然后自然会登录成功
用PreparedStatement解决问题
Statement所执行的sql是静态的sql,表示所有的sql语句,在执行之前,都是静态的,都是固定的拼接好的sql语句,不会再有变化,静态sql容易产生sql注入问题,而预编译的PreparedStatement则不会产生此类问题,他的参数都用?占位
其中在定义sql的时候就要这么定义select * from user where username = ? and password = ?
,在执行sql对象的时候,用PreparedStatement来写pst = conn.prepareStatement(sql)
,这是预编译的过程,下面给sql赋值
如下pst.setString(1, username); pst.setString(2, password);
我们把?的个数从1开始编号,然后分别按照1,2,3,4……的顺序去赋值,完成后就可以去执行他pst.executeQuery();
里边不用传值,完整代码如下
package com.byzhang.jdbc;
import com.byzhang.utils.JdbcUtils;
import java.sql.Connection;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.PreparedStatement;
import java.util.Scanner;
public class JdbcDemo6 {
public static void main(String[] args) {
Scanner sc = new Scanner(System.in);
System.out.println("请输入用户名:");
String username = sc.nextLine();
System.out.println("请输入密码:");
String password = sc.nextLine();
boolean flag = new JdbcDemo6().login(username, password);
if(flag){
System.out.println("登录成功!");
}else{
System.out.println("登录失败!");
}
}
//登陆方法
public boolean login(String userName, String password) {
if(userName == null || password == null){
return false;
}
Connection conn = null;
PreparedStatement pst = null;
ResultSet res = null;
try{
conn = JdbcUtils.getConnection();
String sql = "select * from user where username = ? and password = ?";
System.out.println(sql);
pst = conn.prepareStatement(sql);
pst.setString(1, userName);
pst.setString(2, password);
pst.executeQuery();
return res.next();
}catch (SQLException e){
e.printStackTrace();
}finally {
JdbcUtils.close(res, pst, conn);
}
return false;
}
}
以后的代码中,尽量用PreparedStatement。