防止SQL注入

最新推荐文章于 2024-07-19 08:58:48 发布

阿尔的阳光y

最新推荐文章于 2024-07-19 08:58:48 发布

阅读量70

点赞数

分类专栏： JDBC 文章标签： sql 数据库 java

本文链接：https://blog.csdn.net/xuebiaojun/article/details/129865762

版权

JDBC 专栏收录该内容

13 篇文章 0 订阅

订阅专栏

该代码示例展示了如何在Java中使用PreparedStatement来防止SQL注入攻击。用户输入的账号和密码被安全地设置为SQL查询的参数，避免了直接拼接字符串可能导致的安全风险。当尝试用恶意输入如or1=1时，程序能正确识别为无效的用户名或密码，确保了登录的安全性。

摘要由CSDN通过智能技术生成

防止SQL注入

/**
 * 防止SQL注入的方法
 */
public class PreparedStatementUserLoginPart {
	public static void main(String[] args) throws SQLException, ClassNotFoundException {
		Scanner scanner = new Scanner(System.in);
		System.out.println("请输入账号");
		String account = scanner.nextLine();
		System.out.println("请输入密码");
		String password = scanner.nextLine();

		Class.forName("com.mysql.cj.jdbc.Driver");

		//Connection connection = DriverManager.getConnection("jdbc:mysql://127.0.0.1:3306/test", "root", "123456");
		Properties info = new Properties();
		info.put("user", "root");
		info.put("password", "123456");

		Connection connection = DriverManager.getConnection("jdbc:mysql://127.0.0.1:3306/test", info);

		/*
		preparStatement:
		1.编写sql语句 其中动态值部分使用占位符‘？’替代 注意：？只能替代值
		2.创建preparStatement 并且传入动态值
		3.执行sql语句
		 */

		String sql = "select * from test.t_user where account = ? and password = ?";
		PreparedStatement prepareStatement = connection.prepareStatement(sql);
		prepareStatement.setObject(1, account);
		prepareStatement.setObject(2, password);

		ResultSet resultSet = prepareStatement.executeQuery();

		if (resultSet.next()){
			System.out.println("登录成功！");
		}else {
			System.out.println("用户名或密码错误！");
		}

		resultSet.close();
		prepareStatement.close();
		connection.close();

	}
}

运行结果

请输入账号
root
请输入密码
' or '1' = '1
用户名或密码错误！

Process finished with exit code 0

阿尔的阳光y

关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

专栏目录