JDBC---Mysql(2)
SQL注入攻击:
用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想知道的数据,这就是所谓的SQL注入攻击,
例如:判断username='a' or 'a'='a'; true从而为真,然后查询到信息
下面是一个登录查询数据库--返回结果为true
//用的查询是where 名字and密码都对的才返回true,说明数据库中有这个用户
/*
* 登录 使用username和password去查询数据 若查出结果集,说明正确!返回true 若查不出结果,说明用户名或密码错误,返回false
*/ public boolean login(String username, String password)
throws ClassNotFoundException, SQLException { /*
* 1得到connection 2得到statement 3得到resultset 4rs.next()返回的是什么,我们就返回什么
*/ String driverClassName = "com.mysql.jdbc.Driver";
String url = "jdbc:mysql://localhost:3306/mydb3";
String mysqlUsername = "root";
String mysqlPassword = "123456"; Class.forName(driverClassName);
Connection con = DriverManager.getConnection(url, mysqlUsername,
mysqlPassword);
Statement stmt = con.createStatement();
// 目的是拼接成select * from t_user where username='zhangsan' and
// password='123';这样一句话
String sql = "select * from t_user where username='" + username
+ "'and password='" + password + "'"; ResultSet rs = stmt.executeQuery(sql);//返回一条记录 /*rs.last();
System.out.println("记录数:"+rs.getRow());*/ System.out.println(sql);
return rs.next();
} /*sql攻击*/
@Test
public void fun1() throws ClassNotFoundException, SQLException { // select * from t_user where username='a' or 'a'='a'and password='a' or 'a'='a'//sql语句,,废话 where条件为真
String username="a' or 'a'='a";
String password="a' or 'a'='a";
boolean bl= login(username, password);
// System.out.println(username+password);
System.out.println(bl);
}
防SQL注入:
使用PreparedStatement
1.给出sql模板:所有的参数使用?来代替
2.调用Connection方法,得到PreparedStatement。
给模板中的?赋值pstmt.setString(int num,String "xx");
----boolean login2(String username,String password)方法
String sql="select * from t_user where username=? and password=?";
PreparedStatement pstmt=con.prepareStatement(sql);
/*
* 二、为参数赋值
*
* */
pstmt.setString(1, username);//给第一个问号赋值,值为username
pstmt.setString(2, password);//给第二个问号赋值,值为password ResultSet rs= pstmt.executeQuery(); return rs.next();
============================
@Test
public void fun2() throws ClassNotFoundException, SQLException { // select * from t_user where username='a' or 'a'='a'and password='a' or 'a'='a'//sql语句,,废话 where条件为真
String username="lisi";
String password="456";
boolean bl= login2(username, password);
// System.out.println(username+password);
System.out.println(bl);
}
JDBC---Mysql(2)的更多相关文章
- JDBC设计理念浅析 JDBC简介(一)
概念 JDBC是J2EE的标准规范之一,J2EE就是为了规范JAVA解决企业级应用开发制定的一系列规范,JDBC也不例外. JDBC是用于Java编程语言和数据库之间的数据库无关连接的标准Java A ...
- JDBC驱动程序注册 JDBC简介(二)
使用JDBC进行数据库操作的第一步就是驱动注册(当然你得先导入JAR). 驱动注册有多种方式,第一步必然是获得正确的驱动名称与URL格式 驱动名称与URL格式 RDBMS 驱动程序名称 ...
- Connection 对象简介 方法解读 JDBC简介(四)
通过驱动管理器DriverManager的getConnection方法,可以创建到指定URL的连接 Connection conn = DriverManager.getConnection ...
- 执行对象Statement、PreparedStatement和CallableStatement详解 JDBC简介(五)
执行对象是SQL的执行者,SQL是“安排好的任务”,执行对象就是“实际工作的人”. 执行对象有三种: Statement.PreparedStatement和CallableStatement,他们都 ...
- JDBC 异常简介 jDBC简介(六)
SQL 异常简介 对于数据库的操作访问,必然也很可能抛出异常. JDBC中定义了SQLException,用于描述数据库相关操作中可能出现的异常情况. java.sql.SQLException ...
- JDBC事务与保存点 JDBC简介(七)
事务简介 数据库事务(Database Transaction) ,是指作为单个逻辑工作单元执行的一系列操作,要么完全地执行,要么完全地不执行. 事务是必须满足4个条件(ACID) 事务的原子性( A ...
- Data Source与数据库连接池简介 JDBC简介(八)
DataSource是作为DriverManager的替代品而推出的,DataSource 对象是获取连接的首选方法. 起源 为何放弃DriverManager DriverManager负责管理驱动 ...
- 转 JDBC连接数据库(二)——连接池
https://www.cnblogs.com/xiaotiaosi/p/6398371.html 数据库保持长连接,不过一直都是idle,除非有用户激活连接,这样后果是无法删除用户,但是不影响数据库 ...
- MySQL(Linux)编码问题——网站刚刚上线就被光速打脸
MySQL(Linux)编码问题--刚刚上线就被光速打脸 MySql默认编码问题 总结了一下,大致是这样的 修改数据库配置 在URL上加载参数 MySql默认编码问题 说到这里真的想哭,改了无数bug ...
- MySql(四)SQL注入
MySql(四)SQL注入 一.SQL注入简介 1.1 SQL注入流程 1.2 SQL注入的产生过程 1.2.1 构造动态字符串 转义字符处理不当 类型处理不当 查询语句组装不当 错误处理不当 多个提 ...
随机推荐
- DIOCP-V5发布
DIOCP-v5开源项目 https://github.com/ymofen/diocp-v5 DIOCP-v5 0.0.1 2015-02-22 08:40:40 1.规范单元文件的命名,和 ...
- 9最好的JavaScript压缩工具
削减是一个从源代码中删除不必要的字符的技术使它看起来简单而整洁.这种技术也被称为代码压缩和最小化.在这里,我们为你收集了10个最好的JavaScript压缩工具将帮助您删除不必要的空格,换行符,评论, ...
- 【iCore1S 双核心板_ARM】例程十四:FATFS实验——读写文件
实验现象: 核心代码: int main(void) { /* USER CODE BEGIN 1 */ int i; int j; FIL file; FATFS fatfs; //Âß¼Çý¶¯ ...
- OpenGL教程一
引自:https://blog.csdn.net/u013654125/article/details/73613644 GLEW, GLFW和GLM介绍 现在你有了工程,就让我们开始介绍下工程所用到 ...
- 浅谈JavaScript对象数组根据某属性sort升降序排序
1.自定义一个比较器,其参数为待排序的属性. 2.将带参数的比较器传入sort(). var data = [ {name: "Bruce", age: 23, id: 16, s ...
- android基础---->SQLite数据库的使用
SQLite 一个非常流行的嵌入式数据库,它支持 SQL 语言,并且只利用很少的内存就有很好的性能.此外它还是开源的,任何人都可以使用它.许多开源项目((Mozilla, PHP, Python)都使 ...
- JS正则校验
/** 用途:检查输入字符串是否为空或者全部都是空格 输入:str:字符串 返回: 如果全是空返回true,否则返回false */ function isNull(str) { if (str == ...
- 使用SpringContextHolder获取bean实例
public static IConstantFactory me(){ return SpringContextHolder.getBean(beanName:"constantFacto ...
- 试着理解cookie和session
web服务一个特点是提供个性化服务,为很多客户端提供服务,那么每个用户不同,服务自然不同,所以要记住用户及其状态,这也很多应用软件的通用功能. 由于http是无状态的,Session和Cookie是两 ...
- D - Area of Mushroom
Teacher Mai has a kingdom with the infinite area. He has n students guarding the kingdom. The i-th s ...