SQL注入攻击:

用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想知道的数据,这就是所谓的SQL注入攻击,

例如:判断username='a' or 'a'='a';  true从而为真,然后查询到信息

下面是一个登录查询数据库--返回结果为true

//用的查询是where 名字and密码都对的才返回true,说明数据库中有这个用户

        /*

     * 登录 使用username和password去查询数据 若查出结果集,说明正确!返回true 若查不出结果,说明用户名或密码错误,返回false

     */

    public boolean login(String username, String password)

            throws ClassNotFoundException, SQLException {

        /*

         * 1得到connection 2得到statement 3得到resultset 4rs.next()返回的是什么,我们就返回什么

         */

        String driverClassName = "com.mysql.jdbc.Driver";

        String url = "jdbc:mysql://localhost:3306/mydb3";

        String mysqlUsername = "root";

        String mysqlPassword = "123456";

        Class.forName(driverClassName);

        Connection con = DriverManager.getConnection(url, mysqlUsername,

                mysqlPassword);

        Statement stmt = con.createStatement();

        // 目的是拼接成select * from t_user where username='zhangsan' and

        // password='123';这样一句话

        String sql = "select * from t_user where username='" + username

                + "'and password='" + password + "'";

        ResultSet rs = stmt.executeQuery(sql);//返回一条记录

        /*rs.last();

        System.out.println("记录数:"+rs.getRow());*/

        System.out.println(sql);

        return rs.next();

    }

    /*sql攻击*/

    @Test

    public void fun1() throws ClassNotFoundException, SQLException {

//        select * from t_user where username='a' or 'a'='a'and password='a' or 'a'='a'//sql语句,,废话  where条件为真

        String username="a' or 'a'='a";

        String password="a' or 'a'='a";

        boolean bl= login(username, password);

//        System.out.println(username+password);

        System.out.println(bl);

    }

防SQL注入:

使用PreparedStatement

1.给出sql模板:所有的参数使用?来代替

2.调用Connection方法,得到PreparedStatement。

给模板中的?赋值pstmt.setString(int num,String "xx");

 ----boolean login2(String username,String password)方法

 String sql="select * from t_user where username=? and password=?";

         PreparedStatement pstmt=con.prepareStatement(sql);

         /*

          * 二、为参数赋值

          *

          * */

         pstmt.setString(1, username);//给第一个问号赋值,值为username

         pstmt.setString(2, password);//给第二个问号赋值,值为password

         ResultSet rs= pstmt.executeQuery();

         return rs.next();

 ============================

 @Test

     public void fun2() throws ClassNotFoundException, SQLException {

 //        select * from t_user where username='a' or 'a'='a'and password='a' or 'a'='a'//sql语句,,废话  where条件为真

         String username="lisi";

         String password="456";

         boolean bl= login2(username, password);

 //        System.out.println(username+password);

         System.out.println(bl);

     }

JDBC---Mysql(2)的更多相关文章

  1. JDBC设计理念浅析 JDBC简介(一)

    概念 JDBC是J2EE的标准规范之一,J2EE就是为了规范JAVA解决企业级应用开发制定的一系列规范,JDBC也不例外. JDBC是用于Java编程语言和数据库之间的数据库无关连接的标准Java A ...

  2. JDBC驱动程序注册 JDBC简介(二)

    使用JDBC进行数据库操作的第一步就是驱动注册(当然你得先导入JAR). 驱动注册有多种方式,第一步必然是获得正确的驱动名称与URL格式 驱动名称与URL格式 RDBMS 驱动程序名称        ...

  3. Connection 对象简介 方法解读 JDBC简介(四)

    通过驱动管理器DriverManager的getConnection方法,可以创建到指定URL的连接     Connection conn = DriverManager.getConnection ...

  4. 执行对象Statement、PreparedStatement和CallableStatement详解 JDBC简介(五)

    执行对象是SQL的执行者,SQL是“安排好的任务”,执行对象就是“实际工作的人”. 执行对象有三种: Statement.PreparedStatement和CallableStatement,他们都 ...

  5. JDBC 异常简介 jDBC简介(六)

    SQL 异常简介 对于数据库的操作访问,必然也很可能抛出异常. JDBC中定义了SQLException,用于描述数据库相关操作中可能出现的异常情况. java.sql.SQLException    ...

  6. JDBC事务与保存点 JDBC简介(七)

    事务简介 数据库事务(Database Transaction) ,是指作为单个逻辑工作单元执行的一系列操作,要么完全地执行,要么完全地不执行. 事务是必须满足4个条件(ACID) 事务的原子性( A ...

  7. Data Source与数据库连接池简介 JDBC简介(八)

    DataSource是作为DriverManager的替代品而推出的,DataSource 对象是获取连接的首选方法. 起源 为何放弃DriverManager DriverManager负责管理驱动 ...

  8. 转 JDBC连接数据库(二)——连接池

    https://www.cnblogs.com/xiaotiaosi/p/6398371.html 数据库保持长连接,不过一直都是idle,除非有用户激活连接,这样后果是无法删除用户,但是不影响数据库 ...

  9. MySQL(Linux)编码问题——网站刚刚上线就被光速打脸

    MySQL(Linux)编码问题--刚刚上线就被光速打脸 MySql默认编码问题 总结了一下,大致是这样的 修改数据库配置 在URL上加载参数 MySql默认编码问题 说到这里真的想哭,改了无数bug ...

  10. MySql(四)SQL注入

    MySql(四)SQL注入 一.SQL注入简介 1.1 SQL注入流程 1.2 SQL注入的产生过程 1.2.1 构造动态字符串 转义字符处理不当 类型处理不当 查询语句组装不当 错误处理不当 多个提 ...

随机推荐

  1. centos 扩容

    1. 查看挂载点信息: [root@localhost]# df -h 文件系统 容量 已用 可用 已用% 挂载点 /dev/mapper/centos-root 18G 15G 2.9G 84% / ...

  2. win7(64bit)+python3.5+pyinstaller3.2安装和测试

    最近因为做项目需要,需要在win7中安装pyinstaller用于将.py文件生成脱离python平台的可执行程序*.exe文件. 安装步骤 第一步:安装python3.5 [下载python3.5的 ...

  3. Spring MVC异常统一处理的三种方式

    Spring 统一异常处理有 3 种方式,分别为: 使用 @ ExceptionHandler 注解 实现 HandlerExceptionResolver 接口 使用 @controlleradvi ...

  4. 关于枚举,enum、Enum、EnumSet、RegularEnumSet、JumboEnumSet

    Apache Commons Lang. 在版本3中,enum相关的工具就留下EnumUtils. 首先, 所有enum,都默认实现了抽象类 java.lang.Enum .所以,所有enum都具备E ...

  5. Virtualbox的centos7 nat和桥接网络配置

    在实际配置虚拟机的过程中,网络配置时候一个很繁琐的过程,经常一个点没注意到,就访问不了了.在此,做一个简单的教程以供后续使用时可以参考! 方法一: 使用NAT网络 1. 选择网卡 安装centos7的 ...

  6. 阿里云中ssl配置(nginx安装https服务)

    1.配置 a.阿里云服务器 b.安装了nginx,php等 2.申请免费ssl证数 a. b. c.产看ssl证数 d.下载证数 e,这里我下载的是nginx(crt与key文件) f.服务器上配置 ...

  7. Dapper Extensions Change Schema

    Dapper Extensions Change Schema You can use the AutoClassMapper to assign a new schema to your model ...

  8. Maven传递依赖的坑:父pom中dependencyManagement版本优先级高于传递依赖版本

    一.由来 之前同事问了个问题,就是当前工程为spring boot项目,假设版本号为2.0.3 这个项目中依赖了一个spring boot项目依赖(先别管为啥有这么奇葩的依赖,这个版本是1.5.9). ...

  9. 【CF717G】Underfail 费用流

    [CF717G]Underfail 题意:赌城拉斯维起司的赌场最近推出了一种新式赌法.它的玩法是由庄家(Joker)设局,赌徒只需要交付一定数额的赌资即可入局.具体地,Joker将给出一个长度为 $n ...

  10. 【译】python configparser中默认值的设定

    在做某一个项目时,在读配置文件中,当出现配置文件中没有对应项目时,如果要设置默认值,以前的做法是如下的: try: apple = config.get(section, 'apple') excep ...