回顾下之前jdbc的开发步骤:

  1:建项目,引入数据库驱动包

  2:加载驱动

    Class.forName(..);

  3:获取连接对象

  4:创建执行sql语句的stmt对象;  写sql

  5:执行sql

    a) 更新    delete/insert/update

      !:executeUpdate();

    b) 查询    select  

      !:executeQuery();

  6:关闭/异常

之前有说过,Statement接口和PreparedStatement接口的区别,其中的一个就是:

  PreparedStatement接口能够防止sql注入

那么,什么是sql注入呢?

  其实sql注入就是用户输入的恶意密码,能够绕过你的用户名和密码登陆。

例子:

  1:首先创建个数据库

 -- 创建数据库

 CREATE DATABASE jdbc_demo DEFAULT CHARACTER SET utf8;i

 -- 创建表

 USE jdbc_demo;

 CREATE TABLE admin(

     id INT PRIMARY KEY AUTO_INCREMENT,

     userName VARCHAR(20),

     pwd VARCHAR(20)

 )

  

  2:使用Statement接口,没有防止sql注入:

 /**

  * 模拟用户登陆数据库,演示注入

  *

  * @author LLZ

  */

 public class Two_StatementDemo {

     /**

      * 1:sql注入 Statement

      */

     private Connection conn;

     private Statement stsm;

     private ResultSet rs;

     private PreparedStatement pstsm;

     @Test

     public void Test1() {

         String user = "tom";

         // String password = "123";

         String password = " ' or 1=1 -- /**/ "; // sql注入,这个也可以登陆成功

         try {

             // 1.1:加载驱动

             conn = Jdbcutil.getConnection();

             // 1.3:创建Statement对象

             stsm = conn.createStatement();

             // 1.4:准备sql语句

             String sql = "select * from jdbc where user='" + user

                     + "'  and password='" + password + "' ";

             // 1.5:执行sql

             rs = stsm.executeQuery(sql);

             // 1.6:打印返回的结果

             if (rs.next()) {

                 System.out.println(rs.getInt("id"));

             }

         } catch (Exception e) {

             e.printStackTrace();

         } finally {

             // 1.7:关闭连接

             try {

                 rs.close();

                 stsm.close();

                 conn.close();

             } catch (Exception e) {

                 e.printStackTrace();

             }

         }

     }

  3:使用PreparedStatement接口,防止sql注入:

其原因就是由于该接口具有缓存区,需要先执行预编译远,等传入参数才正式执行sql语言

 /**

      * 二:用PreparedStatement防止sql注入

      */

     @Test

     public void Test2() {

         String user = "tom";

         String password = "123";

         // String password = " ' or 1=1 -- /**/ "; // sql注入,这个在这里就无法登陆

         // 准备sql预编译语句

         String sql = "select * from jdbc where user=? and password=?";

         try {

             // 2.1:创建连接

             conn = Jdbcutil.getConnection();

             // 2.2:创建PerparedStatement对象(执行预编译)

             pstsm = conn.prepareStatement(sql);

             // 2.3:准备参数

             pstsm.setString(1, user);

             pstsm.setString(2, password);

             // 2.4:发送参数,执行sql

             ResultSet rs = pstsm.executeQuery();

             if (rs.next()) {

                 System.out.println(rs.getInt("id"));

             }

         } catch (Exception e) {

             e.printStackTrace();

         } finally {

             // 2.5:关闭连接

             Jdbcutil.close(conn, pstsm, rs);

         }

     }

jdbc java数据库连接 8)防止sql注入的更多相关文章

  1. jdbc mysql crud dao模型 sql注入漏洞 jdbc 操作大文件

    day17总结 今日内容 l JDBC 1.1 上次课内容总结 SQL语句: 1.外键约束:foreign key * 维护多个表关系! * 用来保证数据完整性! 2.三种关系: * 一对多: * 一 ...

  2. Java学习之路- SQL注入

    用户名: __________ 密码:——————— 假如没有使用预处理的Statement 对象 拼接字符串查数据库的话,易收到sql注入攻击: 例如说 : mysql 中   #代表的是单行注释 ...

  3. JDBC中的PreparedStatement-防止SQL注入攻击

    在JDBC对数据库进行操作的时候,SQL注入是一种常见的针对数据库的注入攻击方式.如下面的代码所演示,在我们的提交字段中掺入了SQL语句,会使得程序的登录校验失效: package org.lyk.m ...

  4. 【挖坑】2019年JAVA安全总结:SQL注入——新项目的开发与老项目的修复

    如何在项目中有效的防止SQL注入 写给需要的人,所有的问题源自我们的不重视. 本章略过"什么是SQL注入","如何去利用SQL注入"的讲解,仅讲如何去防御 PS ...

  5. MySQL_(Java)使用preparestatement解决SQL注入的问题

    MySQL_(Java)使用JDBC向数据库发起查询请求 传送门 MySQL_(Java)使用JDBC创建用户名和密码校验查询方法 传送门 MySQL数据库中的数据,数据库名garysql,表名gar ...

  6. Java代码审计连载之—SQL注入

    前言近日闲来无事,快两年都没怎么写代码了,打算写几行代码,做代码审计一年了,每天看代码都好几万行,突然发现自己都不会写代码了,真是很DT.想当初入门代码审计的时候真是非常难,网上几乎找不到什么java ...

  7. jdbc操作数据库以及防止sql注入

    public class pr { public static void main(String[] args) { Connection conn = null; Statement st = nu ...

  8. jdbc java数据库连接 11)中大文本类型的处理

    1. Jdbc中大文本类型的处理 Oracle中大文本数据类型, Clob    长文本类型   (MySQL中不支持,使用的是text) Blob    二进制类型 MySQL数据库, Text   ...

  9. jdbc java数据库连接 6)类路径读取——JdbcUtil的配置文件

    之前的代码中,以下代码很多时候并不是固定的: private static String url = "jdbc:mysql://localhost:3306/day1029?useUnic ...

随机推荐

  1. 一个技术汪的开源梦 —— 基于 .Net Core 的公共组件之目录结构

    一个技术汪的开源梦 —— 目录 这篇文章是开源公共组件的开篇那就先说说项目的 Github 目录结构和 .Net Core 的项目结构. 1. GitHub 目录结构和相关文件 - src 源码项目目 ...

  2. SQL Tuning 基础概述03 - 使用sql_trace和10046事件跟踪执行计划

    1.使用sql_trace跟踪执行计划 1.1 当前session跟踪: alter session set sql_trace = true; //开始sql_trace alter session ...

  3. 安卓Design包下的TextInputLayout和FloatingActionButton的简单使用

    终于介绍到Design包的最后的东西了. 也很简单,一个是TextInputLayout. TextInputLayout作为一个父容器,包含一个新的EditText,可以给EditText添加意想不 ...

  4. Django models对象的select_related方法(减少查询次数)

    表结构 先创建一个新的app python manage.py startapp test01 在settings.py注册一下app INSTALLED_APPS = ( 'django.contr ...

  5. c# socket

    好久没有写CS端代码,今天有空复习一下SOCKET. 功能说明: 1.服务端向客户端发送信息 2.客户端向服务端发送信息 效果如下图: 服务端代码: Socket serverSocket = new ...

  6. 基于STM32Cube的脉冲输出

    方法一:定时器定时I/O反转生成脉冲波形 1.建立STM32Cube选择STM32F429,我使用的STM32F429-discovery开发板,晶振是8MHz,时钟配置为180M,这样定时器内部时钟 ...

  7. C# - 多线程 之 信号系统

    基础概览 多线程之信号系统命名空间 using System.Threading; 线程同步类的继承层次关系图 终止状态和非终止状态 在终止状态下,被WaitOne()阻塞的线程会逐个得到释放.如果一 ...

  8. shiro的使用1 简单的认证

    最近在重构,有空学了一个简单的安全框架shiro,资料比较少,在百度和google上能搜到的中文我看过了,剩下的时间有空会研究下官网的文章和查看下源码, 简单的分享一些学习过程: 1,简单的一些概念上 ...

  9. Atitit.eclise的ide特性-------abt 编译

    Atitit.eclise的ide特性-------abt 编译 为什么要在Intellij IDEA中使用Eclipse编译器 如果你使用Intellij Idea,你应该考虑使用Eclipse编译 ...

  10. Windows消息机制

    Windows的消息系统是由3个部分组成的: · 消息队列.Windows能够为所有的应用程序维护一个消息队列.应用程序必须从消息队列中获取消息,然后分派给某个窗口.· 消息循环.通过这个循环机制应用 ...