数据库中的数据

sql代码

package com.zjw.jdbc2;

import java.sql.Connection;

import java.sql.DriverManager;

import java.sql.ResultSet;

import java.sql.SQLException;

import java.sql.Statement;

import java.util.Scanner;

/*

 * sql注入

 */

public class SqlInject

{

	public static void main(String[] args)

	{

		try

		{

			//加载驱动

			Class.forName("com.mysql.cj.jdbc.Driver");

			String url = "jdbc:mysql://localhost:3306/aaa?useSSL=false&serverTimezone=UTC";

			String user = "root" ;

			String password = "123456";

			//获取连接

			Connection con = DriverManager.getConnection(url, user, password);

			Statement stat = con.createStatement();

			//输入用户名和密码

			@SuppressWarnings("resource")

			Scanner sc = new Scanner(System.in);

			String inName = sc.nextLine();

			String inPass = sc.nextLine();

			//查询数据库

			String sql = "SELECT * FROM category WHERE sid = '"+inName+"' AND sname = '"+inPass+"';";

			System.out.println(sql);

			//结果处理

			ResultSet res = stat.executeQuery(sql);

			while(res.next())

			{

				String sid = res.getString("sid");

				String sname = res.getString("sname");

				System.out.println(sid+"  "+sname);

			}

			//释放资源

			res.close();

			stat.close();

			con.close();

		} catch (ClassNotFoundException | SQLException e)

		{

			e.printStackTrace();

		}

	}

}

结果:

防止sql注入代码:

package com.zjw.jdbc2;

import java.sql.Connection;

import java.sql.DriverManager;

import java.sql.PreparedStatement;

import java.sql.ResultSet;

import java.sql.SQLException;

import java.util.Scanner;

/*

 * 防止sql注入

 */

public class SqlInject2

{

	public static void main(String[] args)

	{

		try

		{

			//加载驱动

			Class.forName("com.mysql.cj.jdbc.Driver");

			String url = "jdbc:mysql://localhost:3306/aaa?useSSL=false&serverTimezone=UTC";

			String user = "root" ;

			String password = "123456";

			//获取连接

			Connection con = DriverManager.getConnection(url, user, password);

			//输入用户名和密码

			@SuppressWarnings("resource")

			Scanner sc = new Scanner(System.in);

			String inName = sc.nextLine();

			String inPass = sc.nextLine();

			//查询数据库

			String sql = "SELECT * FROM category WHERE sid = ? AND sname = ? ;";

			PreparedStatement pst = con.prepareStatement(sql);//PreparedStatement为Satetment的子接口

			pst.setString(1, inName);//设置参数

			pst.setString(2, inPass);

			//结果处理

			ResultSet res = pst.executeQuery();//调用方法不用加sql

			while(res.next())

			{

				String sid = res.getString("sid");

				String sname = res.getString("sname");

				System.out.println(sid+"  "+sname);

			}

			//释放资源

			res.close();

			pst.close();

			con.close();

		} catch (ClassNotFoundException | SQLException e)

		{

			e.printStackTrace();

		}

	}

}

结果:

正常输入数据

异常输入数据

sql注入与防止sql注入的更多相关文章

  1. SQL中批量删除被注入的恶意代码的方法

    下文将为您介绍SQL中批量删除被注入的恶意代码的方法,供您参考,如果您也遇到了这样的问题,不妨一看,相信对您会有所帮助. 1,如果你的数据表很少的话,那么写几条简单的sql就搞定了 对于表中的nvch ...

  2. [SQL SERVER系列]读书笔记之SQL注入漏洞和SQL调优

    最近读了程序员的SQL金典这本书,觉得里面的SQL注入漏洞和SQL调优总结得不错,下面简单讨论下SQL注入漏洞和SQL调优. 1. SQL注入漏洞 由于“'1'='1'”这个表达式永远返回 true, ...

  3. 使用sqlmap注入DVWA的SQL Injection菜单

    1 使用sqlmap注入DVWA的SQL Injection菜单 本教程中的登陆地址:http://192.168.0.112/dvwa/login.php 1.1 获取cookie信息 1) 使用a ...

  4. 『SQL注入』 User-Agent 手工注入的探测与利用分析

    原理很简单:后台在接收UA时没有对UA做过滤,也没有PDO进行数据交互(实际PDO是非常有必要的),导致UA中有恶意代码,最终在数据库中执行. Bug 代码: 本地顺手打了一个环境,Bug 代码部分: ...

  5. 读书笔记之SQL注入漏洞和SQL调优

    原文:读书笔记之SQL注入漏洞和SQL调优 最近读了程序员的SQL金典这本书,觉得里面的SQL注入漏洞和SQL调优总结得不错,下面简单讨论下SQL注入漏洞和SQL调优. 1. SQL注入漏洞 由于“' ...

  6. SQL注入漏洞和SQL调优SQL注入漏洞和SQL调优

    SQL注入漏洞和SQL调优 最近读了程序员的SQL金典这本书,觉得里面的SQL注入漏洞和SQL调优总结得不错,下面简单讨论下SQL注入漏洞和SQL调优. 1. SQL注入漏洞 由于“'1'='1'”这 ...

  7. 【sql注入教程】SQL注入是什么?我们如何去玩转它

    [sql注入教程]SQL注入是什么?我们如何去玩转它 本文转自:i春秋社区   SQL注入攻击是黑客攻击数据库最常见手段之一.简单讲,SQL注入攻击是黑客利用网站程序漏洞,通过提交精心构造的SQL语句 ...

  8. 【sql注入】浅谈sql注入中的Post注入

    [sql注入]浅谈sql注入中的Post注入 本文来源:i春秋学院 00x01在许多交流群中,我看见很多朋友对于post注入很是迷茫,曾几何,我也是这样,因为我们都被复杂化了,想的太辅助了所以导致现在 ...

  9. sql注入学习笔记,什么是sql注入,如何预防sql注入,如何寻找sql注入漏洞,如何注入sql攻击 (原)

    (整篇文章废话很多,但其实是为了新手能更好的了解这个sql注入是什么,需要学习的是文章最后关于如何预防sql注入) (整篇文章废话很多,但其实是为了新手能更好的了解这个sql注入是什么,需要学习的是文 ...

  10. 注入学习1:SQL注入语句大全

    学习背景 之前做了xss预防,以及些许的注入预防了,但是不够全面,如果还是搜集了下一些常用的注入手段,以此用来进行更好的预防. 什么是注入 一般来说,SQL注入一般存在于形如:HTTP://xxx.x ...

随机推荐

  1. SnowFlake雪花算法

    简介 自然界不存在两片完全一样的雪花,每一片都是独一无二的,雪花算法的命名由此而来,所有雪花算法表示生成的ID唯一,且生成的ID是按照一定的结构组成. 组成结构 上图可以看到雪花算法的结构由四部分组成 ...

  2. 发那科FANUC机器人A06B-0652-B212电机维修基本流程

    发那科FANUC机器人以其卓越的性能和可靠性赢得了广泛的认可.然而,就像其他任何机械设备一样,长时间的运行和复杂的工作环境都可能使伺服电机面临维修的需求.为了确保您的发那科FANUC机器人A06B-0 ...

  3. 了解了这些你就是一位优秀的CTO

    spring cloud 分布式 Ngix协议层做阻断应射处理 SpringBoot 容器+MVC框架 SpringSecurity 认证和授权框架 MyBatis ORM框架 Swagger-UI ...

  4. 【.NET】调用本地 Deepseek 模型

    本篇咱们来聊一聊怎么在 .NET 代码中使用本地部署的 Deepseek 语言模型.大伙伴们不必要紧张,很简单的,你不需要学习新知识,只要你知道 .NET 如何访问 HTTP 和 JSON 的序列化相 ...

  5. AI回答:一个简洁的php中间件类

    <?php class MiddlewareStack { private $middlewares = []; private $request; private $response; /** ...

  6. JS用 URL 构造函数来解析 URL

    const url = new URL('http://username:password@hostname:9090/path?arg=value#anchor'); console.log(url ...

  7. 通过Kube-rbac-proxy保护 Kubernetes 工作负载中的应用容器

    1.概述 kube-rbac-proxy 是 Kubernetes 生态中一个专注于"基于角色的访问控制(RBAC)"的轻量级代理组件,通常以 Sidecar 容器的形式部署在 P ...

  8. Web前端入门第1问:英语是否很重要?有哪些前置条件?

    HELLO,这里是大熊学习前端开发的入门笔记. 本系列笔记基于 windows 系统. 在入门之前,是否有这样的疑问: 程序员的英语是否很牛?毕竟程序员的代码像天书一样,比如这样: 答案是否定的. 英 ...

  9. [Qt基础-06] QButtonGroup

    QButtonGroup 本文主要根据QT官方帮助文档以及日常使用,简单的介绍一下QButtonGroup的功能以及基本使用 文章目录 QButtonGroup 简介 信号和槽 简介 有的时候,我们会 ...

  10. python list 差集

    前言 有时候我们希望基于list得到一个集合C,该集合C的元素可以被描述为元素在集合A中而不在集合B中.即:差集. 基于set A = [1, 2, 3] B = [2, 3, 4] C = set( ...