package com.bjpowernode.jdbc;
import java.sql.*;
import java.util.HashMap;
import java.util.Map;
import java.util.Scanner;
/**
* 怎么避免SQL注入现象的发生 (SQL注入的根本原因是:先进行了字符串的拼接,然后再进行编译。)
*
* java.sql.Statement接口(父接口)的特点:先进行了字符串的拼接,然后再进行sql语句的编译。
* 优点:可以进行sql语句的拼接。
* 缺点:因为拼接可能会给不法分子机会,发生SQL注入的情况。
*
* java.sql.PreparedStatement接口(子接口)特点:先进行sql语句的编译,然后再进行sql语句的传值。
* 优点:避免SQL注入的发生。
* 缺点:没有办法进行sql语句的拼接,只能给sql语句传值。
*
*/
public class 解决SQL注入问题 {
public static void main(String[] args) {
//初始化一个界面,让用户输入用户名和密码
Map<String,String> userLoginInfo = initUI();
//连接数据库验证用户名和密码是否正确
boolean ok = checkNameAndPwd(userLoginInfo.get("loginName"),userLoginInfo.get("loginPwd"));
System.out.println(ok ? "登录成功" : "登录失败");
}
/**
* 验证用户名和密码
* @param loginName 登录名
* @param loginPwd 登录密码
* @return true表示登录成功,false表示登录失败。
*/
private static boolean checkNameAndPwd(String loginName, String loginPwd) {
boolean ok = false;//这里准备一个boolean类型的变量,默认是false表示登录失败
Connection conn = null;
PreparedStatement ps = null;
ResultSet rs = null;
try {
//1.注册驱动
Class.forName("com.mysql.jdbc.Driver");
//2.获取连接
conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/test","root","******");
//3.获取预编译的数据库操作对象
//一个?是一个占位符,一个占位符只能接收一个“值/数据” 占位符 ? 两边不能有单引号''。
String sql = "select * from t_user where login_name = ? and login_pwd = ?";
ps = conn.prepareStatement(sql);//此时会发送sql给DBMS,进行SQL语句的编译。
//给占位符?传值,JDBC中所有的下标都是从1开始。
//是怎么解决sql注入的呢?即使用户输入的信息中有sql关键字,但是不参加编译就没事。
ps.setString(1,loginName); //这里的1代表第一个?,也就是第一个占位符。
ps.setString(2,loginPwd); //这里的2代表第二个?,也就是第二个占位符。
//4.执行SQL
rs = ps.executeQuery();//这里已经不需要再传递sql语句了,也就是不能:rs = ps.executeQuery(sql);这样写了。
//5.处理查询结果集
if (rs.next()){
ok = true;
}
} catch (ClassNotFoundException e) {
e.printStackTrace();
} catch (SQLException e) {
e.printStackTrace();
} finally {
if (rs != null) {
try {
rs.close();
} catch (SQLException e) {
e.printStackTrace();
}
}
if (ps != null) {
try {
ps.close();
} catch (SQLException e) {
e.printStackTrace();
}
}
if (conn != null) {
try {
conn.close();
} catch (SQLException e) {
e.printStackTrace();
}
}
}
return ok;
}
/**
* 初始化界面,并接受用户的输入
* @return 返回存储登录名和登录密码的Map集合
*/
private static Map<String, String> initUI() {
System.out.println("欢迎使用本系统,请用户输入用户名和密码进行身份认证!");
Scanner s = new Scanner(System.in);
System.out.print("用户名:");
String loginName = s.nextLine();
System.out.print("密码:");
String loginPwd = s.nextLine();
//将上面输入的用户名和密码放到Map集合中
Map<String,String> userLoginInfo = new HashMap<>();
userLoginInfo.put("loginName",loginName);
userLoginInfo.put("loginPwd",loginPwd);
//返回Map集合
return userLoginInfo;
}
}