SQL注入攻击:

用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想知道的数据,这就是所谓的SQL注入攻击,

例如:判断username='a' or 'a'='a';  true从而为真,然后查询到信息

下面是一个登录查询数据库--返回结果为true

//用的查询是where 名字and密码都对的才返回true,说明数据库中有这个用户

        /*

     * 登录 使用username和password去查询数据 若查出结果集,说明正确!返回true 若查不出结果,说明用户名或密码错误,返回false

     */

    public boolean login(String username, String password)

            throws ClassNotFoundException, SQLException {

        /*

         * 1得到connection 2得到statement 3得到resultset 4rs.next()返回的是什么,我们就返回什么

         */

        String driverClassName = "com.mysql.jdbc.Driver";

        String url = "jdbc:mysql://localhost:3306/mydb3";

        String mysqlUsername = "root";

        String mysqlPassword = "123456";

        Class.forName(driverClassName);

        Connection con = DriverManager.getConnection(url, mysqlUsername,

                mysqlPassword);

        Statement stmt = con.createStatement();

        // 目的是拼接成select * from t_user where username='zhangsan' and

        // password='123';这样一句话

        String sql = "select * from t_user where username='" + username

                + "'and password='" + password + "'";

        ResultSet rs = stmt.executeQuery(sql);//返回一条记录

        /*rs.last();

        System.out.println("记录数:"+rs.getRow());*/

        System.out.println(sql);

        return rs.next();

    }

    /*sql攻击*/

    @Test

    public void fun1() throws ClassNotFoundException, SQLException {

//        select * from t_user where username='a' or 'a'='a'and password='a' or 'a'='a'//sql语句,,废话  where条件为真

        String username="a' or 'a'='a";

        String password="a' or 'a'='a";

        boolean bl= login(username, password);

//        System.out.println(username+password);

        System.out.println(bl);

    }

防SQL注入:

使用PreparedStatement

1.给出sql模板:所有的参数使用?来代替

2.调用Connection方法,得到PreparedStatement。

给模板中的?赋值pstmt.setString(int num,String "xx");

 ----boolean login2(String username,String password)方法

 String sql="select * from t_user where username=? and password=?";

         PreparedStatement pstmt=con.prepareStatement(sql);

         /*

          * 二、为参数赋值

          *

          * */

         pstmt.setString(1, username);//给第一个问号赋值,值为username

         pstmt.setString(2, password);//给第二个问号赋值,值为password

         ResultSet rs= pstmt.executeQuery();

         return rs.next();

 ============================

 @Test

     public void fun2() throws ClassNotFoundException, SQLException {

 //        select * from t_user where username='a' or 'a'='a'and password='a' or 'a'='a'//sql语句,,废话  where条件为真

         String username="lisi";

         String password="456";

         boolean bl= login2(username, password);

 //        System.out.println(username+password);

         System.out.println(bl);

     }

JDBC---Mysql(2)的更多相关文章

  1. JDBC设计理念浅析 JDBC简介(一)

    概念 JDBC是J2EE的标准规范之一,J2EE就是为了规范JAVA解决企业级应用开发制定的一系列规范,JDBC也不例外. JDBC是用于Java编程语言和数据库之间的数据库无关连接的标准Java A ...

  2. JDBC驱动程序注册 JDBC简介(二)

    使用JDBC进行数据库操作的第一步就是驱动注册(当然你得先导入JAR). 驱动注册有多种方式,第一步必然是获得正确的驱动名称与URL格式 驱动名称与URL格式 RDBMS 驱动程序名称        ...

  3. Connection 对象简介 方法解读 JDBC简介(四)

    通过驱动管理器DriverManager的getConnection方法,可以创建到指定URL的连接     Connection conn = DriverManager.getConnection ...

  4. 执行对象Statement、PreparedStatement和CallableStatement详解 JDBC简介(五)

    执行对象是SQL的执行者,SQL是“安排好的任务”,执行对象就是“实际工作的人”. 执行对象有三种: Statement.PreparedStatement和CallableStatement,他们都 ...

  5. JDBC 异常简介 jDBC简介(六)

    SQL 异常简介 对于数据库的操作访问,必然也很可能抛出异常. JDBC中定义了SQLException,用于描述数据库相关操作中可能出现的异常情况. java.sql.SQLException    ...

  6. JDBC事务与保存点 JDBC简介(七)

    事务简介 数据库事务(Database Transaction) ,是指作为单个逻辑工作单元执行的一系列操作,要么完全地执行,要么完全地不执行. 事务是必须满足4个条件(ACID) 事务的原子性( A ...

  7. Data Source与数据库连接池简介 JDBC简介(八)

    DataSource是作为DriverManager的替代品而推出的,DataSource 对象是获取连接的首选方法. 起源 为何放弃DriverManager DriverManager负责管理驱动 ...

  8. 转 JDBC连接数据库(二)——连接池

    https://www.cnblogs.com/xiaotiaosi/p/6398371.html 数据库保持长连接,不过一直都是idle,除非有用户激活连接,这样后果是无法删除用户,但是不影响数据库 ...

  9. MySQL(Linux)编码问题——网站刚刚上线就被光速打脸

    MySQL(Linux)编码问题--刚刚上线就被光速打脸 MySql默认编码问题 总结了一下,大致是这样的 修改数据库配置 在URL上加载参数 MySql默认编码问题 说到这里真的想哭,改了无数bug ...

  10. MySql(四)SQL注入

    MySql(四)SQL注入 一.SQL注入简介 1.1 SQL注入流程 1.2 SQL注入的产生过程 1.2.1 构造动态字符串 转义字符处理不当 类型处理不当 查询语句组装不当 错误处理不当 多个提 ...

随机推荐

  1. 从一道面试题来认识java类加载时机与过程【转】

    说明:本文的内容是看了<深入理解Java虚拟机:JVM高级特性与最佳实践>后为加印象和理解,便记录了重要的内容. 1  开门见山 以前曾经看到过一个java的面试题,当时觉得此题很简单,可 ...

  2. ②NuPlayer播放框架之ALooper-AHandler-AMessage底层机制分析

    [时间:2016-09] [状态:Open] [关键词:android,NuPlayer,开源播放器,播放框架,ALooper,AHandler,AMessage] 前文中提到过NuPlayer基于S ...

  3. C语言 · 2n皇后问题

    基础练习 2n皇后问题   时间限制:1.0s   内存限制:512.0MB        锦囊1 搜索算法. 锦囊2 先搜索n皇后的解,在拼凑成2n皇后的解. 问题描述 给定一个n*n的棋盘,棋盘中 ...

  4. HBuilder搭配逍遥Android模拟器进行开发

    1.逍遥模拟器安装 地址: 点我下载 2.连接注意事项 a. 复制adb等文件 HBuilder安装目录中tools文件夹下的三个文件adb.exe,AdbWinApi.dll,AdbWinUsbAp ...

  5. pca , nmds , pcoa 图添加分组的椭圆

    对于pca , nmds, pcoa 这些排序分析来说,我们可以从图中看出样本的排列规则,比如分成了几组. 为例样本分组更加的直观,我们可以根据实验设计时的样本分组情况,对属于同一个group的样本添 ...

  6. CXF总结

    CXF总结 如何来用cxf结合spring开发webservice接口.by@wangkun 下载cxf 下载地址:http://cxf.apache.org/download.html 我下载的版本 ...

  7. 如何查看tomcat启动异常日志详情

    我的电脑同时使用两个jdk版本,默认1.7,eclipse使用的是1.8,,由于项目启动时有加载类需要jdk1.8的包,1.7不支持.所以导致项目在eclipse直接能够跑,而在外面的tomcat跑是 ...

  8. [Hinton] Neural Networks for Machine Learning - Bayesian

    Link: Neural Networks for Machine Learning - 多伦多大学 Link: Hinton的CSC321课程笔记 Lecture 09 Lecture 10 提高泛 ...

  9. [Android Studio] Using Java to call OpenCV

    Environment: Android studio 2.2.3, OpenCV 2.4.9 For Android, Android 6 with api 23 for X86 一.File: b ...

  10. 12外观模式Facade

    一.什么是外观模式 Facade模式也叫外观模式,是由GoF提出的 23种设计模式中的一种.Facade模式为一组具 有类似功能的类群,比如类库,子系统等等,提供一个一致的简单的界面.这个一致的简单的 ...