模拟用户登录功能的实现以及演示SQL注入现象

最新推荐文章于 2024-04-27 09:13:51 发布
最新推荐文章于 2024-04-27 09:13:51 发布
阅读量418 收藏 1
点赞数
分类专栏: JDBC(老杜) 文章标签: java 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52385232/article/details/126797753
版权

模拟用户登录功能的实现以及演示SQL注入现象

/*
实现功能:
    1、需求:
        模拟用户登录功能的实现。
    2、业务描述:
        程序运行的时候,提供一个输入的入口,可以让用户输入用户名和密码
        用户输入用户名和密码之后,提交信息,java程序收集到用户信息
        Java程序连接数据库验证用户名和密码是否合法
        合法:显示登录成功
        不合法:显示登录失败
    3、数据的准备:
        在实际开发中,表的设计会使用专业的建模工具,我们这里安装一个建模工具:PowerDesigner
        使用PD工具来进行数据库表的设计。(参见user-login.sql脚本)
    4、当前程序存在的问题:
        用户名:fdsa
        密码:fdsa' or '1'='1
        登录成功
        这种现象被称为SQL注入(安全隐患)。(黑客经常使用)
    5、导致SQL注入的根本原因是什么?
        用户输入的信息中含有sql语句的关键字,并且这些关键字参与sql语句的编译过程,
        导致sql语句的原意被扭曲,进而达到sql注入。
 */
public class JDBCTest06 {
    public static void main(String[] args) {
        // 初始化一个界面
        Map<String, String> userLoginInfo = initUI();
        // 验证用户名和密码
        boolean loginSuccess = login(userLoginInfo);
        // 最后输出结果
        System.out.println(loginSuccess ? "登录成功" : "登录失败");
    }

    /**
     * 用户登录
     *
     * @param userLoginInfo 用户登录信息
     * @return false表示失败,true表示成功
     */
    private static boolean login(Map<String, String> userLoginInfo) {
        // 打标记的意识
        boolean loginSuccess = false;
        // 单独定义变量
        String loginName = userLoginInfo.get("loginName");
        String loginPwd = userLoginInfo.get("loginPwd");

        // JDBC代码
        Connection conn = null;
        Statement stmt = null;
        ResultSet rs = null;

        try {
            // 1、注册驱动
            Class.forName("com.mysql.jdbc.Driver");
            // 2、获取连接
            conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/bjpowernode", "root", "333");
            // 3、获取数据库操作对象
            stmt = conn.createStatement();
            // 4、执行sql
            String sql = "select * from t_user where loginName = '" + loginName + "' and loginPwd = '" + loginPwd + "'";
            // 以上正好完成了sql语句的拼接,以下代码的含义是,发送sql语句给DBMS,DBMS进行sql编译。
            // 正好将用户提供的“非法信息”编译进去。导致了原sql语句的含义被扭曲了。
            rs = stmt.executeQuery(sql);
            // 5、处理结果集
            if (rs.next()) {
                // 登录成功
                loginSuccess = true;
            }
        } catch (Exception e) {
            e.printStackTrace();
        } finally {
            // 6、释放资源
            if (rs != null) {
                try {
                    rs.close();
                } catch (SQLException e) {
                    e.printStackTrace();
                }
            }
            if (stmt != null) {
                try {
                    stmt.close();
                } catch (SQLException e) {
                    e.printStackTrace();
                }
            }
            if (conn != null) {
                try {
                    conn.close();
                } catch (SQLException e) {
                    e.printStackTrace();
                }
            }
        }
        return loginSuccess;
    }

    /**
     * 初始化用户界面
     *
     * @return 用户输入的用户名和密码等登录信息
     */
    private static Map<String, String> initUI() {
        Scanner s = new Scanner(System.in);

        System.out.print("用户名:");
        String loginName = s.nextLine();

        System.out.print("密码:");
        String loginPwd = s.nextLine();

        Map<String, String> userLoginInfo = new HashMap<>();
        userLoginInfo.put("loginName", loginName);
        userLoginInfo.put("loginPwd", loginPwd);

        return userLoginInfo;
    }
}

 

 

 演示SQL注入现象

我为杰伦代言
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot集成Mybatis实现简单的SQL注入(攻击)案例
12-14
一、项目演示 (1)主演示就是一张t_user表,利用常见的用户登录来模拟sql注入对后台数据的侵入 (2)数据库脚本 — postgresql DROP TABLE IF EXISTS "public"."t_user"; CREATE TABLE "public"."t_user" ( "id" int8 NOT NULL, "name" varchar(255) COLLATE "pg_catalog"."default", "password" varchar(255) COLLATE "pg_catalog"."default" ) ; DROP TABLE IF E
Python每日一练10、模拟用户登录系统
m0_73730228的博客
11-23 557
字典+函数的综合练习,继续加油!!!
python模拟用户登录注册定义函数user,Python小例-5-模拟用户登录信息
weixin_36418921的博客
03-26 853
实现要求:1. 支持新用户注册,新用户名密码注册到字典中 2.支持老用户登录,用户名密码提示登录成功 3. ...
模拟用户登录功能
qq_46244116的博客
02-15 2727
需求模拟用户登录功能,最多只给三次机会。 分析: 1、系统后台定义好正确的登录名称,密码。 2、使用循环控制三次,让用户输入正确的登录名和密码,判断是否登录成功,登录成功则不再进行登录;登录失败给出提示,并让用户继续登录。 代码 package com.xxf1.string; import java.util.Scanner; /* * 模拟用户登录 * */ public class StringDemo2 { public static void main(String[] args)
servlet技术--使用注解模拟用户登录实现页面跳转
做笔记\记录遇到的程序bug
12-19 2411
1、servlet体系结构 servlet实质就是按servlet规范编写的Java类,可以处理web应用中的相关请求。
JavaWeb开发~模拟简单的用户登录验证功能(实现一个请求路径,跳转或返回其他页面的内容)
qq_58284486的博客
06-18 3545
前后端分离开发模式,分别以前端跳转与后端跳转的方式实现模拟简单的用户登录验证功能(实现一个请求路径,跳转或返回其他页面的内容),验证成功跳转到指定页面,验证失败则分为两种情况,前端跳转时提示账号密码错误;后端跳转时刷新当前页面......
实现用户的登录,并且登录后显示用户名
热门推荐
weixin_47098642的博客
04-15 1万+
利用servlet,jsp实现用户的登录,并且登录后显示用户名(连接数据库) 显示用户名这里是通过session传递数据,登陆成功后点击退出时要清除页面session。 使用软件:tomcat-8.5.34,mysql,java 我们一共需要写: 位于src下的服务器端用于登录的LoginServlet,登陆成功后用于退出的SuccessServlet 位于web下的前端登录页面login.html,登陆成功后的页面success.jsp,登录失败的页面error.html; 首先我们来写登录的服务器端
JavaEE-Servlet(Cookie&&Session)
摸鱼胖嘟嘟的博客
06-04 556
在Cookie保存用户身份标识,这样的应用场景中,此时身份标识如何分配,以及身份信息如何存储,都需要服务器的支持的。以session为key,Session对象为value,把这个键值对存储到服务器里的一个hash表中。服务器在响应会带有Set-Cookie字段,通过这个字段就可以把要保存在浏览器本地的数据给返回回去。后续浏览器访问服务器的时候,就会把当前本地的所有Cookie都通过http请求,给带过去。给当前的用户分配一个sessionId,同时记录下当前用户的一些身份信息(可以自定义)
Java开发Android入门学习——AndroidStudio在Activity实现简单登录功能,跳转页面显示登录用户名
qq_45280324的博客
09-18 6529
Java开发Android入门学习——AndroidStudio在Activity实现简单登录功能,跳转页面显示登录用户名 安装AS: AndroidStudio安装,在安装好AS之后,配置好相对应的SDK,AVD,成功后进行下一步。 创建项目: 这次我们选择空项目来进行创建:Empty–>Next 选择项目名称、存储位置(建议建立单独的文件夹来存放AS项目文件,以便以后查找)、SDK版本(注意:SDK版本需要跟AVD一致) 创建Activity空项目: 依次创建LoginActivi
用户登录功能实现案例
m0_61961937的博客
05-19 2138
用户登录简单案例
SQL注入漏洞演示源代码
07-15
SQL注入漏洞演示源代码 更多免费资源请查看:http://download.csdn.net/user/php_fly
Sql.rar_sql注入
09-21
C#版的模拟sql注入的程序,程序很好的演示sql注入的整个过程
一篇搞定JDBC【Mysql基础】
12-14
解决SQL注入的问题用户登录改进后6.对比Statement和PreparedStatement7.演示只能使用Statement对象不能使用PreparedStatement的业务需求用户输入sql语句8.JDBC事务控制三段重要代码应用于数据库用户之间的转账9.悲观...
JAVA上百实例源码以及开源项目
01-03
5个目标文件,演示Address EJB的实现,创建一个EJB测试客户端,得到名字上下文,查询jndi名,通过强制转型得到Home接口,getInitialContext()函数返回一个经过初始化的上下文,用client的getHome()函数调用Home接口...
mybatisPlus使用MetaObjectHandler对字段进行更新
m0_56356631的博客
04-23 767
都是符合我们的预期的。
java方法重写(重点讲),方法重载
最新发布
weixin_46281068的博客
04-27 843
一、方法重载定义:一个类中,出现多个方法的名称相同,但是它们的形参列表是不同的,那么这些方法就称为方法重载了。注意:一个类中,只要一些方法的名称相同、形参列表不同,那么它们就是方法重载了,其它的都不管(如:修饰符,返回值类型是否一样都无所谓)。形参列表不同指的是:形参的个数、类型、顺序不同,不关心形参的名称。应用场景:开发中我们经常需要为处理一类业务,提供多种解决方案,此时用方法重载来设计是很专业的。
string模拟实现
m0_73969414的博客
04-23 1769
c++中string的模拟实现,面试必会知识点
实现自定义注解、实现自定义幂等性注解
qq_44721738的博客
04-23 1038
添加 Spring AOP 依赖。创建自定义注解。创建一个新的 Java 注解类,通过@interface关键字来定义,并可以添加元注解以及属性。@Target(ElementType.METHOD) //表示作用于方法上@Retention(RetentionPolicy.RUNTIME) // 表示这个注解在运行时是可见的,这样 AOP 代理才能在运行时读取到这个注解编写 AOP 拦截(自定义注解)的逻辑代码。@Aspect@Component// 方法执行前的处理。
PageHelper实现分页查询
m0_63849044的博客
04-24 1086
这行代码是在使用 MyBatis Generator (MBG) 或类似的 MyBatis 工具生成的代码来构建查询条件。(可能是MyBatis的Mapper接口)来执行基于前面定义的查询条件的查询,并获取结果列表。实例之后会被用来设置各种查询条件,如字段的等于、不等于、大于、小于、模糊查询等。实体类生成的辅助类,它通常包含了一些静态内部类和方法,用于构建查询条件。在MyBatis中,这样的对象通常用于构建查询条件。对象,可能用于作为查询条件)。的一个内部类,用于定义查询的具体条件。
用iris框架实现 用户登录页面 ,防止sql注入和xxs攻击
03-08
可以使用iris框架提供的安全特性来防止SQL注入和XSS攻击。例如,可以使用iris的自带的模板引擎来对用户输入进行过滤和转义,以防止XSS攻击。同时,可以使用iris提供的ORM框架来执行SQL查询,以防止SQL注入攻击。此外...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值