数据库中的数据

sql代码

package com.zjw.jdbc2;

import java.sql.Connection;

import java.sql.DriverManager;

import java.sql.ResultSet;

import java.sql.SQLException;

import java.sql.Statement;

import java.util.Scanner;

/*

 * sql注入

 */

public class SqlInject

{

	public static void main(String[] args)

	{

		try

		{

			//加载驱动

			Class.forName("com.mysql.cj.jdbc.Driver");

			String url = "jdbc:mysql://localhost:3306/aaa?useSSL=false&serverTimezone=UTC";

			String user = "root" ;

			String password = "123456";

			//获取连接

			Connection con = DriverManager.getConnection(url, user, password);

			Statement stat = con.createStatement();

			//输入用户名和密码

			@SuppressWarnings("resource")

			Scanner sc = new Scanner(System.in);

			String inName = sc.nextLine();

			String inPass = sc.nextLine();

			//查询数据库

			String sql = "SELECT * FROM category WHERE sid = '"+inName+"' AND sname = '"+inPass+"';";

			System.out.println(sql);

			//结果处理

			ResultSet res = stat.executeQuery(sql);

			while(res.next())

			{

				String sid = res.getString("sid");

				String sname = res.getString("sname");

				System.out.println(sid+"  "+sname);

			}

			//释放资源

			res.close();

			stat.close();

			con.close();

		} catch (ClassNotFoundException | SQLException e)

		{

			e.printStackTrace();

		}

	}

}

结果:

防止sql注入代码:

package com.zjw.jdbc2;

import java.sql.Connection;

import java.sql.DriverManager;

import java.sql.PreparedStatement;

import java.sql.ResultSet;

import java.sql.SQLException;

import java.util.Scanner;

/*

 * 防止sql注入

 */

public class SqlInject2

{

	public static void main(String[] args)

	{

		try

		{

			//加载驱动

			Class.forName("com.mysql.cj.jdbc.Driver");

			String url = "jdbc:mysql://localhost:3306/aaa?useSSL=false&serverTimezone=UTC";

			String user = "root" ;

			String password = "123456";

			//获取连接

			Connection con = DriverManager.getConnection(url, user, password);

			//输入用户名和密码

			@SuppressWarnings("resource")

			Scanner sc = new Scanner(System.in);

			String inName = sc.nextLine();

			String inPass = sc.nextLine();

			//查询数据库

			String sql = "SELECT * FROM category WHERE sid = ? AND sname = ? ;";

			PreparedStatement pst = con.prepareStatement(sql);//PreparedStatement为Satetment的子接口

			pst.setString(1, inName);//设置参数

			pst.setString(2, inPass);

			//结果处理

			ResultSet res = pst.executeQuery();//调用方法不用加sql

			while(res.next())

			{

				String sid = res.getString("sid");

				String sname = res.getString("sname");

				System.out.println(sid+"  "+sname);

			}

			//释放资源

			res.close();

			pst.close();

			con.close();

		} catch (ClassNotFoundException | SQLException e)

		{

			e.printStackTrace();

		}

	}

}

结果:

正常输入数据

异常输入数据

sql注入与防止sql注入的更多相关文章

  1. SQL中批量删除被注入的恶意代码的方法

    下文将为您介绍SQL中批量删除被注入的恶意代码的方法,供您参考,如果您也遇到了这样的问题,不妨一看,相信对您会有所帮助. 1,如果你的数据表很少的话,那么写几条简单的sql就搞定了 对于表中的nvch ...

  2. [SQL SERVER系列]读书笔记之SQL注入漏洞和SQL调优

    最近读了程序员的SQL金典这本书,觉得里面的SQL注入漏洞和SQL调优总结得不错,下面简单讨论下SQL注入漏洞和SQL调优. 1. SQL注入漏洞 由于“'1'='1'”这个表达式永远返回 true, ...

  3. 使用sqlmap注入DVWA的SQL Injection菜单

    1 使用sqlmap注入DVWA的SQL Injection菜单 本教程中的登陆地址:http://192.168.0.112/dvwa/login.php 1.1 获取cookie信息 1) 使用a ...

  4. 『SQL注入』 User-Agent 手工注入的探测与利用分析

    原理很简单:后台在接收UA时没有对UA做过滤,也没有PDO进行数据交互(实际PDO是非常有必要的),导致UA中有恶意代码,最终在数据库中执行. Bug 代码: 本地顺手打了一个环境,Bug 代码部分: ...

  5. 读书笔记之SQL注入漏洞和SQL调优

    原文:读书笔记之SQL注入漏洞和SQL调优 最近读了程序员的SQL金典这本书,觉得里面的SQL注入漏洞和SQL调优总结得不错,下面简单讨论下SQL注入漏洞和SQL调优. 1. SQL注入漏洞 由于“' ...

  6. SQL注入漏洞和SQL调优SQL注入漏洞和SQL调优

    SQL注入漏洞和SQL调优 最近读了程序员的SQL金典这本书,觉得里面的SQL注入漏洞和SQL调优总结得不错,下面简单讨论下SQL注入漏洞和SQL调优. 1. SQL注入漏洞 由于“'1'='1'”这 ...

  7. 【sql注入教程】SQL注入是什么?我们如何去玩转它

    [sql注入教程]SQL注入是什么?我们如何去玩转它 本文转自:i春秋社区   SQL注入攻击是黑客攻击数据库最常见手段之一.简单讲,SQL注入攻击是黑客利用网站程序漏洞,通过提交精心构造的SQL语句 ...

  8. 【sql注入】浅谈sql注入中的Post注入

    [sql注入]浅谈sql注入中的Post注入 本文来源:i春秋学院 00x01在许多交流群中,我看见很多朋友对于post注入很是迷茫,曾几何,我也是这样,因为我们都被复杂化了,想的太辅助了所以导致现在 ...

  9. sql注入学习笔记,什么是sql注入,如何预防sql注入,如何寻找sql注入漏洞,如何注入sql攻击 (原)

    (整篇文章废话很多,但其实是为了新手能更好的了解这个sql注入是什么,需要学习的是文章最后关于如何预防sql注入) (整篇文章废话很多,但其实是为了新手能更好的了解这个sql注入是什么,需要学习的是文 ...

  10. 注入学习1:SQL注入语句大全

    学习背景 之前做了xss预防,以及些许的注入预防了,但是不够全面,如果还是搜集了下一些常用的注入手段,以此用来进行更好的预防. 什么是注入 一般来说,SQL注入一般存在于形如:HTTP://xxx.x ...

随机推荐

  1. shell脚本sed命令

    Sed 是一个脚本型的编译器,全称StreamEDitor,即流编辑器是非交互式的编辑器 sed 原理简析sed 以行为处理单位,每次从标准输入/文本获取一行信息,存储到其" 模式空间 &q ...

  2. Flink名词介绍

    一.常用名词 1.Slot:处理槽,一般为服务器核数*4,平分服务器内存 2.Window:时间窗口 滚动窗口(Tumbling Window)将事件拆分成固定长度,窗口之间不重叠,窗口长度固定 例: ...

  3. Luogu P7735 NOI2021 轻重边 题解 [ 紫 ] [ 树链剖分 ] [ 线段树 ]

    轻重边:小清新树剖题. 思路 我们可以给每一个赋重边的操作看做给这些点盖上一个时间戳,那么显然一条边是重边,当且仅当这条边两端的点的时间戳相等.因为一个点如果被后面的时间戳覆盖之后他相邻的边都会被波及 ...

  4. DeepSeek+PageAssist实现本地大模型联网

    技术背景 在前面的几篇博客中,我们分别介绍过在Ubuntu上部署DeepSeek.在Windows上部署DeepSeek.使用AnythingLLM构建本地知识库的方法,其中还包含了ChatBox的基 ...

  5. 动态编译 Java 的神器 Liquor v1.3.10 发布

    Liquor 是一个开源的轻量级 Java 动态编译器(零依赖,40KB),它可以在运行时编译 Java 字符串代码片段.类.方法等. 源码地址:https://gitee.com/noear/liq ...

  6. 并发编程 - 线程同步(九)之信号量Semaphore

    前面对自旋锁SpinLock进行了详细学习,今天我们将学习另一个种同步机制--信号量Semaphore. 01.信号量是什么? 在 C# 中,信号量(Semaphore)是一种用于线程同步的机制,能够 ...

  7. 安川MOTOMAN机器人NX100维修的注意事项

      安川MOTOMAN机器人NX100维修,操作人员安全注意事项 整个机器人的最大动作范围内均具有潜在的危险性. 为机器人工作的所有人员 (安全管理员.安装人员.操作人员和机器人维修人员) 必须时刻树 ...

  8. Arduino部分C语言含义之--“::”

    "::"在C++中表示作用域,和所属关系."::"是运算符中等级最高的.有三种作用. 1.作用域符号例如:A,B表示两个类,在A,B中都有成员member.那么 ...

  9. 洋葱学园:开启高效学习之旅的宝藏 APP 40天会员5元到手价

    洋葱学园是一款在在线教育领域表现出色的教学 APP ,下面为您详细介绍它的特点以及推荐理由. 丰富的学科覆盖: 洋葱学园涵盖了从小学到高中的全学科课程,包括数学.语文.英语.物理.化学等.无论您处于哪 ...

  10. Python - [01] 简介

    人生苦短,我用Python 一.Python 是什么 Python是一个高层次的结合了解释型.编译型.互动性和面向对象的脚本语言. Python的设计具有很强的可读性,相比其他语言经常使用英文关键字, ...