JDBC练习_用户登陆案例&&SQL注入问题&&PreparedStatement接口

最新推荐文章于 2024-05-07 20:00:00 发布
最新推荐文章于 2024-05-07 20:00:00 发布
阅读量384 收藏
点赞数 1
分类专栏: JDBC 文章标签: jdbc mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44664432/article/details/109575812
版权

练习:

  • 需求:
    1. 通过键盘录入用户名和密码
    2. 判断用户是否登录成功
    * select * from user where username = “” and password = “”;
    * 如果这个sql有查询结果,则成功,反之,则失败

  • 步骤:

    • 1. 创建数据库表 user
CREATE TABLE USER(
	id INT PRIMARY KEY AUTO_INCREMENT,
	username VARCHAR(32),
	PASSWORD VARCHAR(32)
);

SELECT * FROM USER;
INSERT INTO USER VALUES(NULL,'zhangsan','111');
INSERT INTO USER VALUES(NULL,'lisi','222');

在这里插入图片描述

  • 2. 代码实现:
import ky.jdbc.util.JDBCUtils;

import java.sql.Connection;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;
import java.util.Scanner;

/*
需求:
    1. 通过键盘录入用户名和密码
    2. 判断用户是否登录成功
        * select * from user where username = "" and password = "";
        * 如果这个sql有查询结果,则成功,反之,则失败
 */
public class JDBCDemo07 {
    public static void main(String[] args) {

        //1.键盘录入,接收用户名和密码
        Scanner sc = new Scanner(System.in);
        System.out.println("请输入用户名: ");
        String username = sc.nextLine();
        System.out.println("请输入密码:");
        String password = sc.nextLine();

        //2.调用方法
        boolean flag = new JDBCDemo07().login(username, password);
        //3.判断结果,输出不同语句
        if(flag){
            //登录成功
            System.out.println("登录成功!");
        }else {
            System.out.println("用户名或密码错误!");
        }
    }

    public boolean login(String username,String password){
        if(username == null || password == null){
            return false;
        }

        //连接数据库判断是否登录成功

        Connection conn = null;
        Statement stmt = null;
        ResultSet rs = null;
        //1.获取连接
        try {
            conn = JDBCUtils.getConnection();
            //2.定义sql
            String sql = "select *from user where username = '"+username+"' and password = '"+password+"'";
            //3.获取执行sql的对象
            stmt = conn.createStatement();
            //4.执行查询
            rs = stmt.executeQuery(sql);
            //5.判断
           /* if(rs.next()){//如果有下一行,则返回true
                return true;
            }else{
                return false;
            }*/
            return rs.next(); //如果有下一行,则返回true
        } catch (SQLException e) {
            e.printStackTrace();
        }finally {
            JDBCUtils.close(rs,stmt,conn);
        }
        return false;
    }

}


url=jdbc:mysql:///db4?serverTimezone=UTC
user=root
password=123
driver=com.mysql.cj.jdbc.Driver

JDBC工具类不改变

import java.io.FileReader;
import java.io.IOException;
import java.net.URL;
import java.sql.*;
import java.util.Properties;

/**
 * JDBC工具类
 */
public class JDBCUtils {

    private static String url;
    private static String user;
    private static String password;
    private static String driver;

    /**
     * 文件的读取,只需要读取一次即可拿到这些值。使用静态代码块
     */
    static {
        try {
            //读取文件,获取值

            //1.创建Properties集合类
            Properties pro = new Properties();
            //获取src路径下的文件的方式 --->ClassLoader 类加载器
            ClassLoader classLoader = JDBCUtils.class.getClassLoader();
            URL res = classLoader.getResource("jdbc.properties");
            String path = res.getPath();
            //System.out.println(path);
            //2.加载文件
            // pro.load(new FileReader("D:\\Learn\\IdeaProjects\\itcast\\day04_jdbc\\src\\jdbc.properties"));
            pro.load(new FileReader(path));

            //3.获取数据,赋值
            url = pro.getProperty("url");
            user = pro.getProperty("user");
            password = pro.getProperty("password");
            driver = pro.getProperty("driver");

            //4.注册驱动
            try {
                Class.forName(driver);
            } catch (ClassNotFoundException e) {
                e.printStackTrace();
            }

        } catch (IOException e) {
            e.printStackTrace();
        }

    }


    /**
     * 获取连接
     *
     * @return 连接对象
     */
    public static Connection getConnection() throws SQLException {
        return DriverManager.getConnection(url, user, password);
    }

    /**
     * 释放资源
     *
     * @param stmt
     * @param conn
     */
    public static void close(Statement stmt, Connection conn) {
        if (stmt != null) {
            try {
                stmt.close();
            } catch (SQLException e) {
                e.printStackTrace();
            }
        }

        if (conn != null) {
            try {
                conn.close();
            } catch (SQLException e) {
                e.printStackTrace();
            }
        }
    }

    public static void close(ResultSet rs, Statement stmt, Connection conn) {
        if (rs != null) {
            try {
                rs.close();
            } catch (SQLException e) {
                e.printStackTrace();
            }
        }

        if (stmt != null) {
            try {
                stmt.close();
            } catch (SQLException e) {
                e.printStackTrace();
            }
        }

        if (conn != null) {
            try {
                conn.close();
            } catch (SQLException e) {
                e.printStackTrace();
            }
        }
    }

}

程序运行结果:
在这里插入图片描述
在这里插入图片描述

SQL注入问题

  • 问题:当我们输入以下密码,我们发现我们账号和密码都不对竟然登录成功了
    在这里插入图片描述
  • 问题分析:
    我们让用户输入的密码和 SQL 语句进行字符串拼接。用户输入的内容作为了 SQL 语句语法的一部分,改变了原有 SQL 真正的意义,以上问题称为 SQL 注入。要解决 SQL 注入就不能让用户输入的密码和我们的 SQL 语句进行简单的字符串拼接。
select * from user where username='egrhtj' and password='a' or '1'='1'
name='egrhtj' and password='a' 为假
'1'='1' 真
相当于
select * from user where true; 查询了所有记录
  • 解决SQL注入问题:使用PreparedStatement对象来解决
  • 预编译的SQL:参数使用?作为占位符
  • 步骤:
    • 1.导入驱动jar包 mysql-connector-java-8.0.13.jar
    • 2.注入驱动
    • 3.获取数据路连接对象 Connection
    • 4.定义sql
    • 【注意】
      sql的参数使用?作为占位符。如:select * from user where username = ? and password = ?;
    • 5.获取执行sql语句的对象PreparedStatement Connection.preparStatement(String sql)
    • 6.给?赋值
      方法 : setXxx(参数1,参数2)
      参数1: ?的位置编号从1开始
      参数2: ?的值
    • 7.执行sql,接收返回结果,不需要传递sql语句
    • 8.处理结果
    • 9.释放资源
  • 注意
    后期都会使用PreparedStatement来完成增删改除

代码演示:

public class JDBCDemo07 {
    public static void main(String[] args) {

        //1.键盘录入,接收用户名和密码
        Scanner sc = new Scanner(System.in);
        System.out.println("请输入用户名: ");
        String username = sc.nextLine();
        System.out.println("请输入密码:");
        String password = sc.nextLine();

        //2.调用方法
        boolean flag = new JDBCDemo07().login(username, password);
        //3.判断结果,输出不同语句
        if(flag){
            //登录成功
            System.out.println("登录成功!");
        }else {
            System.out.println("用户名或密码错误!");
        }
    }

    public boolean login(String username,String password){
        if(username == null || password == null){
            return false;
        }

        //连接数据库判断是否登录成功

        Connection conn = null;
        PreparedStatement pstmt = null;
        ResultSet rs = null;
        //1.获取连接
        try {
            conn = JDBCUtils.getConnection();
            //2.定义sql
            String sql = "select *from user where username = ? and password = ?";
            //3.获取执行sql的对象
            pstmt = conn.prepareStatement(sql);
            //给?赋值
            pstmt.setString(1,username);
            pstmt.setString(2,password);
            //4.执行查询,不需要传递参数
            rs = pstmt.executeQuery();
            //5.判断
           /* if(rs.next()){//如果有下一行,则返回true
                return true;
            }else{
                return false;
            }*/
            return rs.next(); //如果有下一行,则返回true
        } catch (SQLException e) {
            e.printStackTrace();
        }finally {
            JDBCUtils.close(rs,pstmt,conn);
        }
        return false;
    }

}

在这里插入图片描述

PreparedStatement 接口

1.继承结构与作用:
在这里插入图片描述
PreparedStatement 是 Statement 接口的子接口,继承于父接口中所有的方法。它是一个预编译的 SQL 语句。
2.PreparedSatement 的执行原理
在这里插入图片描述
1) 因为有预先编译的功能,提高 SQL 的执行效率。
2) 可以有效的防止 SQL 注入的问题,安全性更高。
3 Connection 创建 PreparedStatement 对象
在这里插入图片描述
4 PreparedStatement 接口中的方法:
不需要传递sql语句
在这里插入图片描述
5 PreparedSatement 的好处

  1. prepareStatement()会先将 SQL 语句发送给数据库预编译。PreparedStatement 会引用着预编译后的结果。可以多次传入不同的参数给 PreparedStatement 对象并执行。减少 SQL 编译次数,提高效率。
  2. 安全性更高,没有 SQL 注入的隐患。
  3. 提高了程序的可读性

6 使用 PreparedStatement 的步骤:
1) 编写 SQL 语句,未知内容使用?占位:“SELECT * FROM user WHERE name=? AND password=?”;
2) 获得 PreparedStatement 对象
3) 设置实际参数:setXxx(占位符的位置, 真实的值)
4) 执行参数化 SQL 语句
5) 关闭资源

Only MI
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
MySQl登录实例的SQL的注入问题
weixin_51232559的博客
07-01 1204
SQL注入问题想必大家都会有所听闻,因为也许大家都听过某某学长通过攻击学校数据库修改自己成绩的事情,这些学长们一般用的就是SQL注入方法。SQL注入是一种非常常见的数据库攻击手段,SQL注入漏洞也是网络世界中最普遍的漏洞之一。...
JDBC复习-PreparedStatement
圈圈的博客
12-21 112
此博客仅为本人学习JDBC时所做记录。 JDBC复习 05-PreparedStatement替换Statement实现CRUD操作 5.1 PreparedStatement的理解: PreparedStatementStatement的子接口。 An object that represents a precompiled SQL statement。 可以解决Statementsql注入问题,拼串问题。 5.2 使用PreparedStatement实现通用的增、删、改的方法: //通用的.
利用SQL注入漏洞到登录后台
最新发布
白帽黑客鹏哥的博客
05-07 1331
日前,国内最大的程序员社区CSDN网站的用户数据库被黑客公开发布,600万用户的登录名及密码被公开泄露,随后又有多家网站的用户密码被流传于网络,连日来引发众多网民对自己账号、密码等互联网信息被盗取的普遍担忧。网络安全成为了现在互联网的焦点,这也恰恰触动了每一位用户的神经,由于设计的漏洞导致了不可收拾的恶果,验证了一句话“出来混的,迟早是要还的”,所以我想通过专题博文介绍一些常用的攻击技术和防范策略。
黑猴子的家:JDBC -> PreparedStatement 查询练习
黑猴子的博客
03-01 259
1、需求 在eclipse中建立java 程序,输入身份证号或准考证号可以查询到学生的基本信息 2、code package com.yinggu.demo3; import java.sql.Connection; import java.sql.PreparedStatement; import java.sql.ResultSet; import java.util.Scanner;...
JDBC(四)-PreparedStatement
ztt1985的专栏
11-29 233
1、使用Statement: 需要拼SQL很麻烦,而且容易出错 容易发生SQL注入 2、PreparedStatement: 是Statement的子接口 可以传入带占位符的SQL语句,并且提供了补充占位符变量的方法 3、PreparedStatement的使用 1)创建PreparedStatement: ...
12.SQL注入、PreparedStatement对象解决SQL注入
weixin_46048220的博客
01-04 765
1.代码:2.解决SQL注入:preparedStatement对象 SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。 1.代码: public class JdbcUtils { private static final String DRIVER="com.mysql.jdbc.
JDBC使用小案例&&MVC;例子
07-04
`PreparedStatement`更安全,可以防止SQL注入。 - 结果集处理:`ResultSet`对象用于存储查询结果,可以通过迭代器遍历获取数据。 2. **分页显示**: - 分页查询通常需要计算总记录数和每页显示的记录数。使用`...
传智播客JDBC_所有源码与ppt
11-29
2. 源码示例:涵盖了从数据库连接到数据操作的各种场景,例如使用DriverManager获取连接、Statement执行简单SQL、PreparedStatement防止SQL注入、ResultSet遍历结果、CallableStatement调用存储过程等。 3. 可能还有...
java_lab-master.zip
05-05
- **预编译的PreparedStatement**:防止SQL注入,提高性能。 - **事务处理**:ACID特性,事务的开始、提交和回滚。 10. **单元测试** - **JUnit**:编写和执行单元测试,断言和测试注解的使用。 以上只是部分...
Workshop-javafx-jdbc
02-15
7. **最佳实践**:探讨如何优化数据库访问性能,比如使用PreparedStatement避免SQL注入,以及批处理操作提高效率。 8. **实战演练**:通过实际案例,比如创建一个简单的数据库管理系统,练习上述知识点,实现添加、...
JavaWeb程序设计入门课件JDBC理论共12页.pdf
11-21
3. **Statement与PreparedStatement**:对比两种SQL执行方式,理解Statement用于执行静态SQL,而PreparedStatement支持预编译,更安全,能防止SQL注入。 4. **执行SQL语句**:学习如何使用Statement或...
JDBC的复习(三):Sql注入问题和解决
BKSW.的博客
03-01 368
JDBC的复习(三):Sql注入问题和解决 Sql注入问题 用户名: dasa 密码: dasa' or '1' = '1 登陆成功! 根本原因: 用户输入的信息中含有sql语句的关键字,并且这些关键字参与了sql语句的编译过程,导致原来的sql语句意思被扭曲,进而达到sql注入。 解决Sql注入 只要用户提供的信息不参与SQl的编译过程,就可以解决该问题 即使用户输入的语句中含有SQL语句的关键字,到那时没有参与编译,不起作用。 使用PrePareStatement进行sql语句框架的预编译。
SQL注入
qq_45953122的博客
09-27 872
SQL 注入(SQL Injection)是一种常见的Web 安全漏洞。攻击者利用这个漏洞,可以增删改查数据库中数据,或者利用潜在的数据库漏洞进行攻击。
SQL注入方法登录成功
h0ck1r的博客
03-18 903
认识SQL注入以及一个简单的示例
SQL注入原理讲解
热门推荐
幻染雨停轻的博客
09-16 2万+
本文转自http://www.cnblogs.com/rush/archive/2011/12/31/2309203.html 1.1.1 摘要 日前,国内最大的程序员社区CSDN网站的用户数据库被黑客公开发布,600万用户的登录名及密码被公开泄露,随后又有多家网站的用户密码被流传于网络,连日来引发众多网民对自己账号、密码等互联网信息被盗取的普遍担忧。      网络安全成为了现在互联网的焦...
jdbc mysql语法_JDBC PreparedStatement导致MySQL语法错误
weixin_26741799的博客
01-27 340
我收到错误消息 “您的SQL语法有错误;请检查与您的MySQL服务器版本相对应的手册,以找到在第1行的“ orderr”附近使用的正确语法”-因此,我认为错误是用了两个 ‘, 但是在我的代码中我没有用 ‘ 。注意,该表实际上被命名为订购者。public void insertIntoDatabase(String table, Object... entries) { // take ...
Spring5使用JDBCTemplate批处理添加数据时提示SQL语法有错
weixin_46666263的博客
08-31 935
Spring5使用JDBCTemplate批处理添加数据时提示SQL语法有错 org.springframework.jdbc.BadSqlGrammarException: PreparedStatementCallback; bad SQL grammar ...
JDBC编程的运行时错误及其解决大全
徐刘根的博客
09-04 7480
JDBC编程的运行时错误及其解决 用JDBC编程的运行时错误及其解决  源代码:  1、java.lang.ClassNotFoundException: com.microsoft.jdbc.sqlserver.SQLServerDriver  1.1 错误信息:  1.2 错误描述  1.3 错误解决方法  2、用户 'sa' 登录失败  2.1 错误信息:  2.2 错误
JAVAEE第二篇依赖注入
yan66666699999的博客
06-11 391
把有依赖关系的类放到容器中,解析出这些类的实例,就是依赖注入。目的是实现类的解耦。 实例:Class A中用到了Class B的对象b,一般情况下,需要在A的代码中显式的new一个B的对象。采用依赖注入技术之后,A的代码只需要定义一个私有的B对象,不需要直接new来获得这个对象,而是通过相关的容器控制程序来将B对象在外部new出来并注入到A类里的引用中。这样做有什么好处呢? 解释:假如现在有N多个类,需要用到Class B,那就需要在类里面实例化N多次,这样对于后期的维护和管理都是不方便的,如果后期需求发生
mysql preparedstatement insert_mysql数据库__Jdbc直接操作__PreparedStatement__insert
06-09
好的,您的问题是关于使用 JDBC 直接操作 MySQL 数据库进行 PreparedStatement 的插入操作。下面是示例代码: ```java import java.sql.Connection; import java.sql.DriverManager; import java.sql....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值