' or ' 1 ' = ' 1

原理:通过违规的字符串改变原来的SQL语句 ;【将敏感字符进行转义】

// 包名

package com.zhulx.JDBC;

// 导入实例类

import com.zhulx.pojo.Account;

import java.sql.*;

import java.util.ArrayList;

import java.util.List;

/**

 *  JDBC 快速入门

 * **/

public class JDBC03 {

    // throws Exception 说明此方法不会处理异常

    public static void main(String[] args) throws Exception {

        // TODO 用户登录逻辑判断

        // 用户登录

        // 2. 获取连接 【 就是关联数据库 】 访问  test 数据库

        String url = "jdbc:mysql://127.0.0.1:3306/tb_user";

        String username = "root";

        String password = "abc123";

        Connection conn =  DriverManager.getConnection(url, username, password);

        // 前端用户输入的用户名和密码

        // 单引号是字符 双引号是字符串

        String name = "zhulongxu";

        String pwd = "123456";

        name = "dasfjalhsdf";

        pwd = "' or ' 1 ' = ' 1 ";

        // 3. 定义 sql  DQL

        // String sql = "select * from user_table where username='"+name+"' and password = '"+pwd+"'";

        // 3. prepareStatment定义 SQL 语句的写法

        String sql = "select * from user_table where username = ? and password = ?";

        // 4. 获取执行 sql 对象 statement

        // Statement stmt = conn.createStatement() ;

        // 4. prepareStatment 获取 pstmt 对象

        PreparedStatement pstmt = conn.prepareStatement(sql);

        // 5. 设置 ? 的值  1 2 都是参数索引, 1 表示第一个 ?

        // 原来 ' or ' 1 ' = ' 1 的字符串通过 prepareStatement 把单引号转义了 ‘/’ 就不再是违法的字符串了【‘】

        pstmt.setString(1, name);

        pstmt.setString(2,pwd);

        // SQL 注入原理:就是通过字符串的拼接和关键字符串把原本的SQL语句给改变了

        // prepareStatement 的作用:避免SQL注入攻击

        // 5. 执行 sql  【返回值是受影响的行数】

        // ResultSet rs  = stmt.executeQuery(sql);

        // 5. preparestatement 执行 sql

        ResultSet rs = pstmt.executeQuery();

       // 6. 判断是否登录成功 如果在数据库找到了这个用户说明登录成功   rs.next() 是否获取到了数据

        // // System.out.println(rs.next());   // true

        if(rs.next()) {

            System.out.println(name);

            System.out.println(pwd);

            System.out.println(sql);

            System.out.println("登录成功");

        }else {

            System.out.println(name);

            System.out.println(pwd);

            System.out.println("登录失败");

        }

        // 7. 释放资源

        pstmt.close();

        conn.close();

        rs.close();

    }

}

什么是SQL注入并解决的更多相关文章

  1. SQL注入漏洞解决方法

    本文只指针编码层次的SQL注入漏洞解决方法,例子代码是以java为主. 1,参数化的预编译查询语句 不安全例子 String query = "SELECT account_balance ...

  2. sql 注入 与解决

    package cn.itcast.jdbc; import java.sql.Connection;import java.sql.ResultSet;import java.sql.SQLExce ...

  3. Java程序员从笨鸟到菜鸟之(一百零二)sql注入攻击详解(三)sql注入解决办法

    sql注入攻击详解(二)sql注入过程详解 sql注入攻击详解(一)sql注入原理详解 我们了解了sql注入原理和sql注入过程,今天我们就来了解一下sql注入的解决办法.怎么来解决和防范sql注入, ...

  4. Java学习笔记47(JDBC、SQL注入攻击原理以及解决)

    JDBC:java的数据库连接 JDBC本质是一套API,由开发公司定义的类和接口 这里使用mysql驱动,是一套类库,实现了接口 驱动程序类库,实现接口重写方法,由驱动程序操作数据库 JDBC操作步 ...

  5. JDBC的使用和SQL注入问题

    基本的JDBC使用: package demo; import java.sql.Connection; import java.sql.DriverManager; import java.sql. ...

  6. 【JDBC】学习路径3-密码登录&SQL注入攻击

    最后再提醒一句,每次在测试JDBC程序的时候,一定要确保MySQL正在运行. 打开控制台(终端),输入mysql 如果没启动,则出现以下提示: Mac端启动MySQL数据库,需要在系统便好设置中启动. ...

  7. IBatis.Net使用总结(一)-- IBatis解决SQL注入(#与$的区别)

    IBatis解决SQL注入(#与$的区别) 在IBatis中,我们使用SqlMap进行Sql查询时,需要引用参数,在参数引用中可以使用两种占位符#和$.这两种占位符有什么区别呢? (1):#***#, ...

  8. PreparedStatement解决sql注入问题

    总结 PreparedStatement解决sql注入问题 :sql中使用?做占位符 2.得到PreparedStatement对象 PreparedStatement pst=conn.prepar ...

  9. 使用过滤器解决SQL注入和跨站点脚本编制

    1 SQL注入.盲注 1.1 SQL注入.盲注概述 Web 应用程序通常在后端使用数据库,以与企业数据仓库交互.查询数据库事实上的标准语言是 SQL(各大数据库供应商都有自己的不同版本).Web 应用 ...

  10. PDO(PHP Data Object),Mysqli,以及对sql注入等问题的解决

    这篇是上一篇 http://www.cnblogs.com/charlesblc/p/5987951.html 的续集. 看有的文章提到mysqli和PDO都支持多重查询,所以下面的url会造成表数据 ...

随机推荐

  1. 1、SpringMVC简介

    1.1.MVC 概述 MVC:是一种软件架构的思想,将软件按照模型.视图.控制器来划分: M( Model ):模型层,指工程中的 JavaBean ,作用是处理数据: V( View ):视图层,指 ...

  2. 【MySQL】Windows-8.0.19 安装版 下载安装

    下载地址 https://dev.mysql.com/downloads/windows/installer/8.0.html 跳过登陆 只选择基本服务 安装依赖环境,如果已存在,圆圈显示绿点,下一步 ...

  3. 人机协同的半自动人形机器人 —— Covariant公司的RFM-1机器人

    Covariant公司的RFM-1机器人实现了一个极为有意思的功能,那就是在机器人执行任务的过程中如果遇到无法处理的情况下就会停止下来然后等待人类的语言指示,比如:夹具向上移动2cm,更换更大型号的夹 ...

  4. 使用lanczos算法进行的预处理共轭梯度算法(Preconditioned Conjugate Gradients Method)

    构造预处理矩阵M(对称正定) 下图来自:预处理共轭梯度法(1) 下图来自:预处理(Preconditioning) 根据上面的对于预处理共轭梯度法的介绍,我们可以得到使用lanczos算法进行的预处理 ...

  5. aarch64/arm_v8 环境下编译Arcade-Learning-Environment —— ale-py —— gym[atari]的安装

    aarch64架构下不支持gym[atari]安装,因此我们只能在该环境下安装gym,对于atari环境的支持则需要源码上重新编译,也就是本文给出的下面的方法: 源码下载: https://githu ...

  6. 最新版gym-0.26.2中Atari环境下各游戏在不同模式和困难度下的遍历

    相关内容参看前文: 最新版gym-0.26.2下Atari环境的安装以及环境版本v0,v4,v5的说明 =========================================== gym中 ...

  7. VSCode配置git

    1.背景 vscode中基础git; 前提:本地已经安装好了git 有这样的菜单,并且可以正常上传下载代码 2.步骤 步骤一:找的git的安装路径: D:\Program Files\Git 步骤二: ...

  8. vue之条件判断v-if与v-show

    1.背景 2.v-if简单使用 <!DOCTYPE html> <html lang="en"> <head> <meta charset ...

  9. stm32 F103C8T6 4x4矩阵键盘使用

    首先感谢 江科大 的stm32入门课程 受益匪浅.推荐有兴趣的朋友去看看. 先看看我用的矩阵键盘是啥样的(很常见的一种) 接线如图(其他型号根据自己需求接上GPIO口) 代码基于stm大善人的代码修改 ...

  10. PHP转Go系列 | ThinkPHP与Gin框架之打造基于WebSocket技术的消息推送中心

    大家好,我是码农先森. 在早些年前客户端想要实时获取到最新消息,都是使用定时长轮询的方式,不断的从服务器上获取数据,这种粗暴的骚操作实属不雅.不过现如今我也还见有人还在一些场景下使用,比如在 PC 端 ...