代码编织梦想

package com.bjpowernode.jdbc;

import java.sql.*;
import java.util.HashMap;
import java.util.Map;
import java.util.Scanner;

/**
 * 怎么避免SQL注入现象的发生  (SQL注入的根本原因是:先进行了字符串的拼接,然后再进行编译。)
 *
 * java.sql.Statement接口(父接口)的特点:先进行了字符串的拼接,然后再进行sql语句的编译。
 *                         优点:可以进行sql语句的拼接。
 *                         缺点:因为拼接可能会给不法分子机会,发生SQL注入的情况。
 *
 * java.sql.PreparedStatement接口(子接口)特点:先进行sql语句的编译,然后再进行sql语句的传值。
 *                         优点:避免SQL注入的发生。
 *                         缺点:没有办法进行sql语句的拼接,只能给sql语句传值。
 *
 */
public class 解决SQL注入问题 {
    public static void main(String[] args) {
        //初始化一个界面,让用户输入用户名和密码
        Map<String,String> userLoginInfo = initUI();

        //连接数据库验证用户名和密码是否正确
        boolean ok = checkNameAndPwd(userLoginInfo.get("loginName"),userLoginInfo.get("loginPwd"));

        System.out.println(ok ? "登录成功" : "登录失败");
    }

    /**
     * 验证用户名和密码
     * @param loginName  登录名
     * @param loginPwd  登录密码
     * @return  true表示登录成功,false表示登录失败。
     */
    private static boolean checkNameAndPwd(String loginName, String loginPwd) {
        boolean ok = false;//这里准备一个boolean类型的变量,默认是false表示登录失败
        Connection conn = null;
        PreparedStatement ps = null;
        ResultSet rs = null;
        try {
            //1.注册驱动
            Class.forName("com.mysql.jdbc.Driver");
            //2.获取连接
            conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/test","root","******");
            //3.获取预编译的数据库操作对象
            //一个?是一个占位符,一个占位符只能接收一个“值/数据”   占位符 ? 两边不能有单引号''。
            String sql = "select * from t_user where login_name = ? and login_pwd = ?";
            ps = conn.prepareStatement(sql);//此时会发送sql给DBMS,进行SQL语句的编译。
            //给占位符?传值,JDBC中所有的下标都是从1开始。
            //是怎么解决sql注入的呢?即使用户输入的信息中有sql关键字,但是不参加编译就没事。
            ps.setString(1,loginName); //这里的1代表第一个?,也就是第一个占位符。
            ps.setString(2,loginPwd);  //这里的2代表第二个?,也就是第二个占位符。
            //4.执行SQL
            rs = ps.executeQuery();//这里已经不需要再传递sql语句了,也就是不能:rs = ps.executeQuery(sql);这样写了。
            //5.处理查询结果集
            if (rs.next()){
                ok = true;
            }
        } catch (ClassNotFoundException e) {
            e.printStackTrace();
        } catch (SQLException e) {
            e.printStackTrace();
        } finally {
            if (rs != null) {
                try {
                    rs.close();
                } catch (SQLException e) {
                    e.printStackTrace();
                }
            }
            if (ps != null) {
                try {
                    ps.close();
                } catch (SQLException e) {
                    e.printStackTrace();
                }
            }
            if (conn != null) {
                try {
                    conn.close();
                } catch (SQLException e) {
                    e.printStackTrace();
                }
            }
        }
        return ok;
    }

    /**
     * 初始化界面,并接受用户的输入
     * @return  返回存储登录名和登录密码的Map集合
     */
    private static Map<String, String> initUI() {
        System.out.println("欢迎使用本系统,请用户输入用户名和密码进行身份认证!");
        Scanner s = new Scanner(System.in);
        System.out.print("用户名:");
        String loginName = s.nextLine();
        System.out.print("密码:");
        String loginPwd = s.nextLine();

        //将上面输入的用户名和密码放到Map集合中
        Map<String,String> userLoginInfo = new HashMap<>();
        userLoginInfo.put("loginName",loginName);
        userLoginInfo.put("loginPwd",loginPwd);

        //返回Map集合
        return userLoginInfo;
    }
}
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/heliuerya/article/details/128751389

python 是如何解决sql 注入问题的(转)_yournevermore的博客-爱代码爱编程

转自: http://blog.neargle.com/2016/07/22/pythonweb-framework-dev-vulnerable/         SQL注入所产生的条件是用户输入可构造sql语句并带入数据库执行。在Web应用中,容易产生SQL注入的输入一般是GET或POST请求参数。在PythonWeb开发中,以Flask框架为例,F

使用sqlparameter解决sql注入问题_futzy的博客-爱代码爱编程_sqlparameter

SQL注入 我们在编写sql语句的时候,常会这样来验证账号密码 string sql=$"select *from UserLogin where LoginId={User.LoginId} and LoginPwd='{User.LoginPwd}'"; sql注入可以利用传递特定参数来完成登录 例如,此时账号User.Login=1001,密

node中解决sql注入问题-爱代码爱编程

什么是sql注入? 用户通过注入sql语句到最终查询中,导致了整个sql与预期行为不符,本来是查询行为,却做了其他事情,比如添加/更改了数据 解决sql注入 关键点:sql变量的内容不作为任何sql关键字 使用:.execute()执行sql语句 代码实现 驱动程序使用的是mysql2 npm install mysql2引入依赖创建连接池定义

如何解决SQL注入问题-爱代码爱编程

一.什么是SQL注入问题? 在刚开始学习JDBC的六大步骤中其中我们在第三步(获取数据库操作对象)我们通常会执行以下操作: 要执行SQL语句,首先需要获得java.sql.Statement实例 执行静态SQL语句。通常通过Statement实例实现。 Statement stmt = conn.createStatement() ; 但是这样会出

SQL注入问题及解决方案及连接池-爱代码爱编程

目录 SQL注入问题及解决方案 SQL注入问题 SQL注入问题解决方案 连接池 连接池的工作原理 连接池的作用 连接池的优势 连接池的使用 以c3p0为例讲解连接池的使用 SQL注入问题及解决方案 SQL注入问题 SQL注入问题:利用非法的SQL拼接来达到入侵数据库的目的 示例: 登录查询操作 public class User

JDBC解决sql注入问题-爱代码爱编程

本程序是模拟用户登录 并且解决SQL注入问题 sql注入的根本原因是:先进行字符串的拼接,再进行编译 程序说明:本程序的输入采取了scanner.nextline()方法 即意味着可以接收一行的密码 而密码是sql语言的一部分,因此可以创建 or 关键字破坏sql的where条件 例如:   此时人为地破坏了sql正常的语句。 原本的代码:

JDBC SQL注入问题-爱代码爱编程

1、SQL注入问题: 在拼接sql语句时,有一些sql的特殊关键字与字符串的拼接,会造成安全性的问题 输入用户名随便 密码输入:a’ or ‘a’ = 'a sql : select * from user where username=‘asdfg’ and password =‘a’ or ‘a’ = ‘a’; 2、解决SQL注入问题: 使用Prep

SQL注入问题与解决-爱代码爱编程

1,sqL注入安全问题; 由于传入的参数在拼接sqL语句时,其中注入了sqL能执行的指令作为参数导致执行的结果数据不正确,这种状况称为sqL注入安全问题 ;  数据表: import java.sql.Connection; import java.sql.ResultSet; import java.sql.SQLException; import

解决sql注入问题-爱代码爱编程

sql注入是黑客常用的方法,如果不解决会在某种程度上造成利益损失,以下为解决方法: 只要用户提供的信息不参与SQL语句的编译过程,问题就解决了.  即使用户提供的信息中含有SQL语句的关键字,但是没有参与编译,不起作用  要想用户信息不参与SQL语句的编译,那么必须使用java.sql.PreparedStatement  PreparedStatem

springamqp-消息转换器(解决sql注入安全问题,提高性能)_c_xl0102的博客-爱代码爱编程

问题描述 /** * 我们尝试往消息队列(objectQueue)里面传递map对象 */ @Test void testSendObjectQueue() { Map<String,Object> m

sql注入原理及解决方案_hancy-49的博客-爱代码爱编程

sql注入原理就是用户输入动态的构造了意外sql语句,造成了意外结果,是攻击者有机可乘 SQL注入 SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容易受到SQL注入式攻击。 基础