SQL注入问题

  • 导致SQL注入的根本原因是什么?

    • 用户输入的信息中含有sql语句的关键字,并且用户所输入的信息参与了sql语句的编译过程,导致sql语句的原意被扭曲。

  • 模拟用户登陆注册,演示sql注入


    
    import java.sql.*;
    
    import java.util.HashMap;
    
    import java.util.Map;
    
    import java.util.Scanner;

    /**
    
     * 存在sql注入问题隐患          例如输入:  'fdsa'  fdsa' or'1'='1   就会登录成功,因为 or一边成立就成立,1恒等于1
    
     * 导致SQL注入的根本原因是什么?
    
     * 用户输入的信息中含有sql语句的关键字,并且用户所输入的信息参与了sql语句的编译过程,导致sql语句的原意被扭曲。
    
     */
    
    public class Main {
    
        public static void main(String[] args) throws SQLException {

            //掉用initUI()获取用户名密码
    
             Map<String,String> userLoginInfo=initUI();

            //调用register()方法。
    
            //boolean registerSuccess=register(userLoginInfo);

            //输出结果
    
            //System.out.println(registerSuccess?"注册成功":"注册失败");

            //调用logIn()方法。
    
            boolean loginSuccess=login(userLoginInfo);
    
            System.out.println(loginSuccess?"登陆成功":"密码错误");

        }

        /**
    
         * 用户注册
    
         * @param userLoginInfo  用户登录信息
    
         * @return true成功, false失败
    
         */

        private static boolean register(Map<String, String> userLoginInfo) {
    
            //创建连接对象
    
            Connection connection=null;
    
            Statement statement=null;
    
            int count=0;

            try {
    
                //注册驱动
    
                Class.forName("com.mysql.cj.jdbc.Driver");

                //获取连接
    
                connection= DriverManager.getConnection("jdbc:mysql://127.0.0.1:3306/mydb?useUnicode=true&characterEncoding=utf8&serverTimezone=Asia/Shanghai",
    
                        "root","123456");

                //获取数据库操作对象
    
                statement=connection.createStatement();

                //执行SQL语句
    
                count=statement.executeUpdate("insert into t_user(loginName,loginPwd,realName)values('"+userLoginInfo.get("loginName")+"','"+userLoginInfo.get("loginPwd")+"',' ') ");

            } catch (ClassNotFoundException | SQLException e) {
    
                e.printStackTrace();
    
            }finally {
    
                if(statement!=null){
    
                    try {
    
                        statement.close();
    
                    } catch (SQLException e) {
    
                        e.printStackTrace();
    
                    }
    
                }

                if(connection!=null){
    
                    try {
    
                        connection.close();
    
                    } catch (SQLException e) {
    
                        e.printStackTrace();
    
                    }
    
                }
    
            }
    
            if(count==1){
    
                return true;
    
            }
    
            return  false;
    
        }

        /**
    
         * 用户登录
    
         * @param userLoginInfo 用户信息
    
         * @return 成功true 失败fslse
    
         */

        private static boolean login(Map<String, String> userLoginInfo) throws SQLException {

            //标识
    
            boolean flag=false;

            //获取用户信息
    
            String loginName=userLoginInfo.get("loginName");
    
            String loginPwd=userLoginInfo.get("loginPwd");

            //创建连接对象
    
            Connection connection=null;
    
            Statement statement=null;
    
            ResultSet resultSet=null;

            try {
    
                //注册驱动
    
                Class.forName("com.mysql.cj.jdbc.Driver");

                //获取连接
    
                connection=DriverManager.getConnection("jdbc:mysql://127.0.0.1:3306/mydb?useUnicode=true&characterEncoding=utf8&serverTimezone=Asia/Shanghai",
    
                        "root","123456");

                //获取数据库连接对象
    
                statement=connection.createStatement();

                //执行SQL语句
    
                resultSet=statement.executeQuery("select * from t_user where loginName='"+loginName+"'and loginPwd='"+loginPwd+"'");

                //处理查询结果集
    
                if(resultSet.next()){
    
                    flag=true;
    
                }
    
            } catch (ClassNotFoundException | SQLException e) {
    
                e.printStackTrace();
    
            }finally {
    
                if(resultSet!=null){
    
                    resultSet.close();
    
                }
    
                if(statement!=null){
    
                    statement.close();
    
                }
    
                if (connection!=null){
    
                    connection.close();
    
                }
    
            }

            return  flag;
    
        }

        /**
    
         * 初始化用户界面
    
         * @return 返回用户登录信息
    
         */
    
        private static Map<String, String> initUI() {

            //创建用户信息接收对象
    
            Scanner scanner=new Scanner(System.in);

            //获取用户名
    
            System.out.println("请输入您的用户名:");
    
            String userName=scanner.nextLine();

            //获取密码
    
            System.out.println("请输入您的密码:");
    
            String pwd=scanner.nextLine();

            //创建一个Map集合用来存放用户输入得用户名和密码
    
            Map<String,String> userLoginInfo=new HashMap<String,String>();

           //存入Map集合
    
            userLoginInfo.put("loginName",userName);
    
            userLoginInfo.put("loginPwd",pwd);

           //返回该集合
    
            return userLoginInfo;
    
        }
    
    }

JDBC_07_SQL注入问题 (登录和注册)的更多相关文章

  1. JDBC_08_解决SQL注入问题 (登录和注册)

    解决SQL注入问题 只要用户提供的信息不参与sql语句的编译过程,那么尽管用户输入的信息中含有sql关键字那么也不会起作用了 要想使用户提供信息不参与sql语句的编译过程,那么必须使用 java.sq ...

  2. IO流的登录与注册

    import java.io.BufferedReader;import java.io.BufferedWriter;import java.io.File;import java.io.FileR ...

  3. XMPP iOS客户端实现三:登录、注册

    1.创建一个单例模式来管理xmpp的连接和操作 +(XMPPManager *)share { static XMPPManager *_share=nil; static dispatch_once ...

  4. 利用SQL注入漏洞登录后台的实现方法

    利用SQL注入漏洞登录后台的实现方法 作者: 字体:[增加 减小] 类型:转载 时间:2012-01-12我要评论 工作需要,得好好补习下关于WEB安全方面的相关知识,故撰此文,权当总结,别无它意.读 ...

  5. 今天发现之前瑞乐做的登录和注册居然都是用的get请求,瞬间出了一身冷汗.

    今天发现之前瑞乐做的登录和注册居然都是用的get请求,瞬间出了一身冷汗. 然后迅速的让晓勇改成post请求了. 不然我觉得凡是有点抓包能力的人抓到我们登录和注册这么涉及安全的东西居然用的是get请求, ...

  6. 免费 PSD 下载: 20个精美的登录和注册表单

    注册表单有许多不同的形状和尺寸,有的只是单个的输入框,有的则需要多个步骤.登录表单的设计将定义网站的性质,因此它应进行针对性的设计.下面的列表提供了20个醒目的登录和注册表单设计为您提供灵感. 您可能 ...

  7. IOS Storyboard使用-模拟登录、注册、混合使用

    最近分析IOS的占有率,发现5.0以下的少之又少了,故而决定新的App用 Storyboard开发,找了很多资料都是点上的,这个简单的demo是测试代码,发上来,供新手参考. 模拟登录.注册.和显示主 ...

  8. 利用开源项目使discus论坛与java应用同步登录和注册

    最近做了一个资源库系统的项目,老师说可以搭建开源论坛替代自己开发社交模块(评论啊,反馈啊)来减轻负担,甚至提到了要给每个资源开一帖的功能..使我十分怀疑到底是减轻负担还是增加负担...不过怀疑归怀疑, ...

  9. PHP实现登录,注册,密码修改

    注册,登录,修改密码 1.登录 2.忘记密码 3.免费注册 页面布局 <div id="views" class="views"> <div ...

随机推荐

  1. IntelliJ IDEA 还能画思维导图,果然最强 IDE!

    最近栈长发现 IntelliJ IDEA 居然还能画思维导图,太牛逼了! 当然这得借助 IDEA 的 UML 插件,因为它本身也是一个 UML 图,所以这篇就从 UML 图开撕,看 IDEA 怎么画思 ...

  2. HashMap是如何进行扩容的?

    HashMap通过resize()方法进行扩容. 源码解析: resize()函数有两种使用情况: 一.当table数组为null时初始化hash表. 二.当table数组不为null时进行扩容. 1 ...

  3. 优化程序性能(CSAPP)

    [前言]虽然现在没有接触过大型项目,但是工作了会注重性能.学习一下,应该能更好更快的理解别人写的经典优化的代码.结合CSAPP和自己的理解,总结一下. 一.程序优化综述 1.高效程序的特点 (1)适当 ...

  4. Flask:处理Web表单

    尽管 Flask 的请求对象提供的信息足以处理 Web 表单,但有些任务很单调,而且要重复操作.比如,生成表单的 HTML 代码和验证提交的表单数据.Flask-WTF 扩展可以把处理 Web 表单的 ...

  5. FFT HDL Optimized模块HDL综合代码生成及与Xilinx xfft IP MEX接口精度详细比较

    前面一篇随笔叙述了关于MATLAB中FFT_HDL_Optimzed模块定点(IEEE754单精度float格式)二进制与十进制转换实现,有需要的往前翻一下即可.这一篇随笔将叙述 FFT HDL Op ...

  6. Flask-SQLAlchemy使用

    Flask-SQLAlchemy 使用起来非常有趣,对于基本应用十分容易使用,并且对于大型项目易于扩展. 官方文档:https://flask-sqlalchemy.palletsprojects.c ...

  7. Windows-Redis占用C盘系统空间

    发现redis在电脑死机蓝屏的情况下,就是非正常退出redis会导致redis的缓存文件不会回收,占用系统空间, 下次在启动的时候,会再次创建一个10G多的缓存文件,极度占用磁盘空间. 现说明解决办法 ...

  8. Win 10 下Pipenv源码安装 odoo12

    因为,本身电脑已经安装odoo8,9,10等odoo的版本,当时,没有考虑是直接是统一的环境很配置. 现在,在odoo11的环境下,需要Python 3的语言环境可以很好地支持odoo11的功能,所以 ...

  9. Mybatis中由于${}直接注入引发的问题

    一.问题引入 我们先来看这段代码,我想从取值为${category}的表中查询全部信息. @Mapper public interface CategoryMapper { @Select(" ...

  10. Linux入门视频笔记四(vim入门)

    一.vim的基本介绍(纯命令模式编辑器) 1.vim的两种模式:命令模式(不能输入任何东西).编辑模式(按i进入编辑模式) 2.ESC:从编辑模式退出到命令模式 3.保存: ①:wq code.c(如 ...