jdbc-代码重用和登录防sql注入

最新推荐文章于 2022-08-24 14:59:06 发布
最新推荐文章于 2022-08-24 14:59:06 发布
阅读量370 收藏
点赞数
分类专栏: java大法 文章标签: java jdbc jsp sql注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zsc2014030403015/article/details/75085696
版权

在刚刚学习jsp的时候,总是会遇到一些比较简单的sql注入的语句,例如or ‘1’ = ‘1’这种代码。从mysql里面解释的话,就是mysql拥有where = true就全部数据返回的功能,不过不太清楚这个设计。所以新手是提交容易遇到注入的事情。而且新手最常见的一个现象就是代码的重复度太过于高了,所以一份好的代码,应该是将重复的部分都结构化让其调用,这样子代码更简洁,找错误也不会这里一块那里一块的。

这里面的代码优化其实就是使用Statement的继承对象prepareStatement,这个对象可以进行一些简单的sql注入过滤,这样子就不会有这么低级的漏洞出现了。

这里的公共代码如下:

未过滤前的代码:

package com.d.cn.test;

import java.sql.Connection;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;
import java.util.Scanner;

import com.d.cn.dao.entity.User;
import com.d.cn.dao.utils.JdbcUtil;

public class Login {
	/*
	 * 获取数据库信息函数
	 * 
	 * */
	public User getUserMsg(User user){
		User ResultUser = null;
		Connection conn = null;
		ResultSet rs = null;
		Statement state = null;
		try {
			
			conn = JdbcUtil.getConnection();
			String sqlAll = "SELECT id ,name , password FROM `user` WHERE name='"+user.getName()+"' AND password='"+user.getPassword()+"'";
			//用statement接口发送sql语句并执行,执行后的结果集放在ResultSet
			state = conn.createStatement();
			rs = state.executeQuery(sqlAll);
			//处理结果
			while (rs.next()) {
				ResultUser = new User();
				ResultUser.setId(rs.getInt("id"));
				ResultUser.setName(rs.getString("name"));
				ResultUser.setPassword(rs.getString("password"));
			}
		
		} catch (SQLException e) {
			// TODO Auto-generated catch block
			System.out.print("错误了");
			e.printStackTrace();
		}finally{
			
			JdbcUtil.closeAll(conn, state, rs);
			
		}
		return ResultUser;
	}
	//业务层
	public User loginService(User user){
		System.out.println("业务方法被调用!");
		System.out.println("接着调用数据库打交道的方法!");
		return this.getUserMsg(user);
	}
	//用户交互层
	public void loginView(){
		Scanner input = new Scanner(System.in);
		System.out.print("输入用户名:");
		String name = input.next();
		System.out.print("输入密码:");
		String password = input.next();
		User user = new User(0,name,password);
		User resultUser = this.loginService(user);
		if(resultUser != null){
			System.out.print("登录成功!!!");
		}else{
			System.out.print("登录失败!!!");
		}
	}
	
	public static void main(String[] args) {
		Login login = new Login();
		login.loginView();
	}
}

过滤后:

这个新函数是可以直接将sql的变量直接使用?来表示,之后再调用其的setObject函数来对问号的哪些变量赋值,这样子就能够将数据分离起来了,在setObject函数也可以写一些过滤sql注入的规则。

package com.d.cn.test;

import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;
import java.util.Scanner;

import com.d.cn.dao.entity.User;
import com.d.cn.dao.utils.JdbcUtil;

public class Login2 {
	/*
	 * 获取数据库信息函数
	 * 
	 * */
	public User getUserMsg(User user){
		User ResultUser = null;
		Connection conn = null;
		ResultSet rs = null;
		PreparedStatement ps = null;
		try {
			
			conn = JdbcUtil.getConnection();
			/*使用prepareStatement对数据进行处理
			 * 1.性能相对Statement有所提高
			 * 2.防止sql的简单注入 1=1
			 * 3.代码更加直观
			 */
			String sqlAll = "SELECT id ,name , password FROM `user` WHERE name=? AND password=?";
			//用statement接口发送sql语句并执行,执行后的结果集放在ResultSet
			ps = conn.prepareStatement(sqlAll);
			ps.setObject(1, user.getName());
			ps.setObject(2, user.getPassword());
			rs = ps.executeQuery();
			//处理结果
			while (rs.next()) {
				ResultUser = new User();
				ResultUser.setId(rs.getInt("id"));
				ResultUser.setName(rs.getString("name"));
				ResultUser.setPassword(rs.getString("password"));
			}
		
		} catch (SQLException e) {
			// TODO Auto-generated catch block
			System.out.print("错误了");
			e.printStackTrace();
		}finally{
			
			JdbcUtil.closeAll(conn, ps, rs);
			
		}
		return ResultUser;
	}
	//业务层
	public User loginService(User user){
		System.out.println("业务方法被调用!");
		System.out.println("接着调用数据库打交道的方法!");
		return this.getUserMsg(user);
	}
	//用户交互层
	public void loginView(){
		Scanner input = new Scanner(System.in);
		System.out.print("输入用户名:");
		String name = input.next();
		System.out.print("输入密码:");
		String password = input.next();
		User user = new User(0,name,password);
		User resultUser = this.loginService(user);
		if(resultUser != null){
			System.out.print("登录成功!!!");
		}else{
			System.out.print("登录失败!!!");
		}
	}
	
	public static void main(String[] args) {
		Login2 login = new Login2();
		login.loginView();
	}
}

上面的代码中的JdbcUtil其实还没有做到最简的操作,所以代码上存在着许多重复代码,增加维护的难度。所以下面是对代码的优化(未优化的代码在我的上一篇文章可以找到): 

package com.d.cn.dao.utils;

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;

import com.d.cn.dao.entity.User;

public class JdbcUtil {
	public static Connection conn = null;
	static{
		try {
			Class.forName("com.mysql.jdbc.Driver");
		} catch (ClassNotFoundException e) {
			// TODO Auto-generated catch block
			e.printStackTrace();
		}
	}
	public static Connection getConnection(){
		try {
			conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/javatest","root","root");
		} catch (SQLException e) {
			// TODO Auto-generated catch block
			e.printStackTrace();
		}
		return conn;
	}
	
	public static void closeAll(Connection conn,Statement state,ResultSet rs){
		if(rs!=null){
			try {
				rs.close();
			} catch (Exception e) {
				// TODO Auto-generated catch block
				System.out.print("错误了");
				e.printStackTrace();
			}
		}
		
		if(state!=null){
			try {
				state.close();
			} catch (Exception e) {
				// TODO Auto-generated catch block
				System.out.print("错误了");
				e.printStackTrace();
			}
		}
		
		if(conn!=null){
			try {
				conn.close();
			} catch (Exception e) {
				// TODO Auto-generated catch block
				System.out.print("错误了");
				e.printStackTrace();
			}
		}
	}
	//重复代码提取出来,只是sql和sql的参数是不同的,所以可以提取这两个变量出来
	public static int commonExcue(String sql,Object[] object){
		int row = -1;
		
		Connection conn = null;
		PreparedStatement ps = null;
		
		try {
			
			conn = JdbcUtil.getConnection();
			ps = conn.prepareStatement(sql);
			
			for (int i = 0; i < object.length; i++) {
				ps.setObject(i+1, object[i]);
			}
			
			row = ps.executeUpdate();
			
		}catch (SQLException e) {
			// TODO Auto-generated catch block
			e.printStackTrace();
		}finally{
			JdbcUtil.closeAll(conn, ps, null);
		}
		
		return row;
	}
	
}

用来测试上面的代码: 

package com.d.cn.test;

import java.util.List;
import java.util.Scanner;

import com.d.cn.dao.entity.User;
import com.d.cn.test.jdbcCrud;

public class test {
	public static void main(String[] args) {
		
//		//查询
//		jdbcCrud jdbcCrud = new jdbcCrud();
//		List<User> users = jdbcCrud.listAll();
//		System.out.println("编号\t姓名\t密码\t");
//		for (User user : users) {
//			System.out.println(user.getId()+"\t"+user.getName()+"\t"+user.getPassword());
//		}
		
//		//添加数据
//		jdbcCrud jdbcCrud = new jdbcCrud();
//		int flag = jdbcCrud.insert(new User(3,"六六","123"));
//		if(flag==1){
//			System.out.println("添加数据成功!");
//		}else{
//			System.out.println("添加数据失败!");
//		}
		
		删除数据
//		jdbcCrud jdbcCrud = new jdbcCrud();
//		int flag = jdbcCrud.delete(new User(3,"",""));
//		if(flag==1){
//			System.out.println("删除数据成功!");
//		}else{
//			System.out.println("删除数据失败!");
//		}
		
		修改数据
//		jdbcCrud jdbcCrud = new jdbcCrud();
//		int flag = jdbcCrud.update(new User(3,"六六1","3333"));
//		if(flag==1){
//			System.out.println("修改数据成功!");
//		}else{
//			System.out.println("修改数据失败!");
//		}

		
//		//	修改数据
//	jdbcCrud jdbcCrud = new jdbcCrud();
//	Scanner Input = new Scanner(System.in);
//	System.out.print("请输入登录用户名:");
//	String name = Input.next();
//	System.out.print("请输入登录密码:");
//	String password = Input.next();
//	User ResultUser = jdbcCrud.getUserMsg(new User(0,name,password));
//	if(ResultUser!=null){
//		System.out.println("登录成功!");
//	}else{
//		System.out.println("登录失败!");
//	}
		
	}
}

因为上面修改的只是一个封装的函数,所以这个测试类基本和上一篇的代码是一样的,毕竟只是对代码内部上添加了一个静态方法来去除重复代码。



梧桐下的四叶草
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JDBC代码复用
Ravi Li 成长中。。。
06-09 721
在使用JDBC连接数据库的时,我们会采用executeQuery(String sql)获得一个结果集。当数据库结构变化或者获得其他数据库表结果集的时候我们需要将ResultSet结果集根据不同的数据结构重新遍历。 如何才能建立一个与数据库结构无关的JDBC连接呢?我们可以通过使用ResultSetMetaData()方法获得表结构。然后使用Object[]数组遍历结果集。当我们要取得相应的结果时
JDBC:提取重复代码进行重构
ZincPol
11-15 1047
当我们在写 JDBC 代码连接数据库进行交互的时候,因为要写很多个增删改查的方法,有很多代码是重复的,而且这些代码必须但又不是主要业务,所以会造成代码的冗余,不利于后期的维护。所以我们必须把相同的代码抽取出来形成一个方法,在需要的时候直接调用这个方法就行了。那么在这中我们可以抽取四份不同的重复代码形成四个方法:1. 数据库的连接 每次进行对数据库的增删改查,都需要先连接数据库,所以我们可以把连接
利用SQL注入漏洞登录后台
03-27
通过介绍SQL Injection的基本原理,讲解如何范SQL Injection。通过一些程序源码对SQL的攻击进行了细致分析,使我们对SQL Injection机理有了一个深入认识,作为一名Web应用开发人员,一定不要盲目相信用户的输入,而要对用户输入的数据进行严格的校验处理,否则的话,SQL Injection将会不期而至。
JDBC连接如何SQL注入
lucyLee的博客
10-07 4948
1. 绪言 想要学习mybatis的相关知识,学习之前复习了下JDBC的相关知识 发现自己竟然连如何实现JDBC连接都不知道了,真的是少壮用CV(粘贴复制),老大徒伤悲???? 总结一下,JDBC连接分为三步: 加载JDBC驱动 创建数据库连接 操作数据库实现增删改查:获取statement,执行SQL语句,处理执行结果 简单的连接和查询示例如下: import java.sql.*; public class Test { private static final String DR
JDBC如何有效SQL注入
rentian1的博客
09-01 1191
转载请注明出处:http://blog.csdn.net/linglongxin24/article/details/53769810 本文出自【DylanAndroid的博客】 JDBC如何有效SQL注入 在我们平时的开发中,作为新手写JDBC很有可能忽略了一点,那就是根本没有考虑SQL注入的问题, 那么,什么是SQL注入,以及如何SQL注入的问题。 一什
01.JavaWeb之JDBC详解、SQL注入问题、SQL预编译和Druid数据库连接池
Cser_zhu的博客
08-24 679
JDBC和DataSource都是官方定义的接口,我们使用的时候需要第三方实现的接口类(即驱动)JDBC的执行流程是:获取Connection,获取Statement,执行SQL语句如果开启了预编译,需要在数据库连接的url中添加参数,并且使用预编译对象来执行sql语句预编译相当于sql语句是模板,执行之前给定参数,能够提高性能+SQL注入问题后面可以用maven来管理项目,就不用手动添加这些第三方包了。
JDBC】预处理查询,SQL注入的利器
大河之犬的博客
08-20 1411
在实际使用的时候会引发sql注入的问题,因此我们在开发时常用。预处理sql语句以预sql注入行为。
MS-SQL jdbc 2.0
08-24
5. **Statement和PreparedStatement**: `Statement`用于执行静态SQL语句,而`PreparedStatement`则用于预编译SQL语句,提高性能,SQL注入攻击。 6. **批处理**: MS-SQL JDBC 2.0 支持批处理操作,允许一次性...
JDBC-DT-DB-SQL】mysql-connector-java-5.1.7
08-20
或者使用PreparedStatement预编译SQL,提高性能并SQL注入: ```java PreparedStatement pstmt = conn.prepareStatement("INSERT INTO mytable VALUES (?, ?)"); pstmt.setString(1, "value1"); pstmt.set...
sqljdbc4,SQLserver架包
07-26
4. **预编译SQL语句**:预编译语句(PreparedStatement)能SQL注入攻击,并且在多次执行相同SQL时有更优的性能,因为服务器端只需解析一次SQL模板。 5. **事务管理**:sqljdbc4支持JDBC的事务控制,可以进行...
jdbc-2024.zip
最新发布
06-12
3. **数据操作**:`Statement`用于执行SQL语句,而`PreparedStatement`则预编译SQL,提高性能并SQL注入。 4. **结果集处理**:`ResultSet`对象保存了查询结果,通过迭代器模式遍历数据,可以获取每一行记录。 ...
Struts2_JDBC--master.zip
05-29
- **Statement/PreparedStatement**:执行SQL语句的对象,PreparedStatement能SQL注入,性能更优。 - **结果集(ResultSet)**:执行查询语句后,存储查询结果的对象,提供了遍历查询结果的方法。 - **事务...
JDBC的学习(一)——概念和基本操作、SQL注入破解登录密码
有问题请发邮箱dengyifanlittle@163.com进行讨论
09-12 1340
一、概念 JDBCjava数据库连接技术的字母缩写(Java DataBase Connectivity)。 JDBC就是使用JAVA程序连接数据库,操作数据库中的数据库,使用数据库存储程序中运行的各种数据。 可以这样理解:JDBC就是一座桥梁,用来连接数据库和Java程序的。 二、工作原理 JDBC有一系列的接口和类,都集成在java.sql和javax.sql中。 其中有一个类D...
JDBC 重复使用的 数据库链接代码
白墨的小白博客
10-23 920
//存放 JDBC 中 重复使用的 代码,封装为方法放在这个另类中 //使用方法的调用,代替代码的复制粘贴 //方便使用和维护 public class DBUtils { //封装为static方法,可以雷鸣直接调用,方便实用 //这里不再处理代码产生的异常,抛出给方法调用者进行处理 //把链接数据库的5行代码,封装成为一个getConnection() 方法 public stati...
JDBC的基础以及利用注解和配置文件实现代码的复用
c3476741954的博客
04-01 233
实现JDBC的基本操作,以及用一个类创建对象来存储数据库中的内容
jsp+servlet的增删改查页面
热门推荐
梧桐下的四叶草
07-20 1万+
今天终于是把java网页开发的基本东西都学完了,了解了java的基本操作。感觉java的环境还是很好的,有许多jar包可以使用,这样子就可以快速开发一个模块功能出来了。 这次我是自己写了一个从后台提取数据然后进行增删改查的操作。还有分页等功能。如下图: 这些数据都是直接从数据库直接提取出来的。这里的话,使用了三层架构的模式,将功能不同的层划分出来,这里用dao,service,
jdbc---增删改查
梧桐下的四叶草
07-13 493
在与数据库交互的过程中,难以避免的就是程序要对数据库进行增删改查的操作。在这里面都是重复使用java所提供的方法函数进行调用而已,所以学习入门的话还是挺简单的。 这里面对一些公共模块进行了封装处理,因为一些经常使用的东西不用每次需要都写入,这样子的话对效率,美观的有一定的提升。 基本的代码结构图: 公共类: package com.d.cn.dao.utils; import jav
jdbc--数据库操作
梧桐下的四叶草
07-12 410
首先我们要玩java的数据库方面的东西,就要有一个数据库连接的配置。这里使用eclipse的IDE,所以要配置这个IDE的环境,不然就不能使用sql了。所以数据库配置如下: 进入下面界面:
JDBC入门指南:连接数据库与SQL操作详解
- **PreparedStatement接口**:`PreparedStatement`提供了预编译功能,可以在多次执行时重用,提高了性能和安全性,因为它能够SQL注入攻击。 4. **处理结果集** 在执行查询后,`executeQuery()`返回的结果集...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值