MySQL_(Java)使用JDBC向数据库发起查询请求  传送门

  MySQL_(Java)使用JDBC创建用户名和密码校验查询方法  传送门

  MySQL数据库中的数据,数据库名garysql,表名garytb,数据库中存在的用户表

  

  存在SQL注入问题

  使用preparestatement做查询语句时可解决SQL注入的问题

  pstmt.setString(1, username)将username作为一个结果传入到"where username = ?"的问号中

String sql = "select * from garytb where username = ? and password = ?";

            PreparedStatement pstmt = con.prepareStatement(sql);

            //添加参数

            pstmt.setString(1, username);

            pstmt.setString(2, password);

            //进行查询

            rs = pstmt.executeQuery();

            if(rs.next()) {

                return true;

            }else {

                return false;

            }

import java.sql.Connection;

import java.sql.DriverManager;

import java.sql.PreparedStatement;

import java.sql.ResultSet;

import java.sql.SQLException;

import java.sql.Statement;

public class JDBC01 {

    public static void main(String[] args) throws SQLException  {

        //selectAll();

        //存在sql注入

        System.out.println(selectByUernamePassword("Garyyyyar","nihao' or '1'='1"));

        //使用preparestatement解决SQL注入的问题

        System.out.println(selectByUP2("Garyyyyar","nihao' or '1'='1"));

    }

    public static void selectAll() throws SQLException {

        //注册驱动    使用驱动连接数据库

        Connection con = null;

        Statement stmt = null;

        ResultSet rs = null;

        try {

            Class.forName("com.mysql.jdbc.Driver");

            //String url ="jdbc:mysql://localhost:3306/garysql";

            //指定编码查询数据库

            String url ="jdbc:mysql://localhost:3306/garysql?useUnicode=true&characterEncoding=UTF8&useSSL=false";

            String user = "root";

            String password = "123456";

            //建立和数据库的连接

            con = DriverManager.getConnection(url,user,password);

            //数据库的增删改查

            stmt = con.createStatement();

            //返回一个结果集

            rs =stmt.executeQuery("select * from garytb");

            while(rs.next()) {

                //System.out.println(rs.getString(1)+","+rs.getString(2)+","+rs.getString(3));

                System.out.println(rs.getString("id")+","+rs.getString("username")+","+rs.getString("password"));

            }

        } catch (Exception e) {

            // TODO Auto-generated catch block

            e.printStackTrace();

        }finally {

            if(rs!=null)

                rs.close();

            if(stmt!=null)

                stmt.close();

            if(con!=null)

                con.close();

        }

    }

    public static boolean  selectByUernamePassword(String username,String password) throws SQLException {

        Connection con=null;

        Statement stmt = null;

        ResultSet rs = null;

        try {

            Class.forName("com.mysql.jdbc.Driver");

            String url ="jdbc:mysql://localhost:3306/garysql?useUnicode=true&characterEncoding=UTF8&useSSL=false";

            con = DriverManager.getConnection(url,"root","123456");

            stmt =con.createStatement();

            String sql = "select * from garytb where username = '"+username+"' and password = '"+password+"'";

            //System.out.println(sql);

            rs = stmt.executeQuery(sql);

            if(rs.next()) {

                return true;

            }else {

                return false;

            }

        } catch (Exception e) {

            // TODO Auto-generated catch block

            e.printStackTrace();

        }finally {

            if(rs!=null)

                rs.close();

            if(stmt!=null)

                stmt.close();

            if(con!=null)

                con.close();

        }

        return false;

    }

    public static boolean selectByUP2(String username,String password) throws SQLException{

        Connection con=null;

        Statement stmt = null;

        ResultSet rs = null;

        try {

            Class.forName("com.mysql.jdbc.Driver");

            String url ="jdbc:mysql://localhost:3306/garysql?useUnicode=true&characterEncoding=UTF8&useSSL=false";

            con = DriverManager.getConnection(url,"root","123456");

            String sql = "select * from garytb where username = ? and password = ?";

            PreparedStatement pstmt = con.prepareStatement(sql);

            //添加参数

            pstmt.setString(1, username);

            pstmt.setString(2, password);

            //进行查询

            rs = pstmt.executeQuery();

            if(rs.next()) {

                return true;

            }else {

                return false;

            }

        } catch (Exception e) {

            // TODO Auto-generated catch block

            e.printStackTrace();

        }finally {

            if(rs!=null)

                rs.close();

            if(stmt!=null)

                stmt.close();

            if(con!=null)

                con.close();

        }

        return false;

    }

}

JDBC01.java

public static boolean selectByUP2(String username,String password) throws SQLException{

        Connection con=null;

        Statement stmt = null;

        ResultSet rs = null;

        try {

            Class.forName("com.mysql.jdbc.Driver");

            String url ="jdbc:mysql://localhost:3306/garysql?useUnicode=true&characterEncoding=UTF8&useSSL=false";

            con = DriverManager.getConnection(url,"root","123456");

            String sql = "select * from garytb where username = ? and password = ?";

            PreparedStatement pstmt = con.prepareStatement(sql);

            //添加参数

            pstmt.setString(1, username);

            pstmt.setString(2, password);

            //进行查询

            rs = pstmt.executeQuery();

            if(rs.next()) {

                return true;

            }else {

                return false;

            }

        } catch (Exception e) {

            // TODO Auto-generated catch block

            e.printStackTrace();

        }finally {

            if(rs!=null)

                rs.close();

            if(stmt!=null)

                stmt.close();

            if(con!=null)

                con.close();

        }

        return false;

    }

MySQL_(Java)使用preparestatement解决SQL注入的问题的更多相关文章

  1. MyBatis是如何解决Sql注入的

    转:[转]mybatis如何防止sql注入 java中预处理PrepareStatement为什么能起到防止SQL注入的作用??!! 一.SQL注入 sql注入大家都不陌生,是一种常见的攻击方式,攻击 ...

  2. JDBC_08_解决SQL注入问题 (登录和注册)

    解决SQL注入问题 只要用户提供的信息不参与sql语句的编译过程,那么尽管用户输入的信息中含有sql关键字那么也不会起作用了 要想使用户提供信息不参与sql语句的编译过程,那么必须使用 java.sq ...

  3. jdbc 07: 解决sql注入

    jdbc连接mysql,解决sql注入问题 package com.examples.jdbc.o7_解决sql注入; import java.sql.*; import java.util.Hash ...

  4. PreparedStatement解决sql注入问题

    总结 PreparedStatement解决sql注入问题 :sql中使用?做占位符 2.得到PreparedStatement对象 PreparedStatement pst=conn.prepar ...

  5. 使用过滤器解决SQL注入和跨站点脚本编制

    1 SQL注入.盲注 1.1 SQL注入.盲注概述 Web 应用程序通常在后端使用数据库,以与企业数据仓库交互.查询数据库事实上的标准语言是 SQL(各大数据库供应商都有自己的不同版本).Web 应用 ...

  6. IBatis.Net使用总结(一)-- IBatis解决SQL注入(#与$的区别)

    IBatis解决SQL注入(#与$的区别) 在IBatis中,我们使用SqlMap进行Sql查询时,需要引用参数,在参数引用中可以使用两种占位符#和$.这两种占位符有什么区别呢? (1):#***#, ...

  7. 解决 SQL 注入的另类方法

    本文是翻译,版权归原作者所有 原文地址(original source):https://bitcoinrevolt.wordpress.com/2016/03/08/solving-the-prob ...

  8. Java学习之路- SQL注入

    用户名: __________ 密码:——————— 假如没有使用预处理的Statement 对象 拼接字符串查数据库的话,易收到sql注入攻击: 例如说 : mysql 中   #代表的是单行注释 ...

  9. [转]开发中如何解决SQL注入的问题

    Java防止SQL注入 SQL 注入简介:        SQL注入是最常见的攻击方式之一,它不是利用操作系统或其它系统的漏洞来实现攻击的,而是程序员因为没有做好判断,被不法用户钻了SQL的空子,下面 ...

随机推荐

  1. 作业8:常用java命令(二)

    一.jinfo(Configuration Info for Java) 1.功能:jinfo可以实时地查看和调整虚拟机的各项参数. 2.参数: 选项 作用 -flag name 打印改名字的VM设置 ...

  2. 进阶Java编程(8)反射应用案例

    1,反射实例化对象 经过一系列分析之后可以发现虽然获得了Class类的实例化对象但是依然觉得这个对象获取的意义不是很大,所以为了进一步的帮助大家理解反射的核心意义所在,下面将通过几个案例进行说明(都是 ...

  3. python爬取妹子图全站全部图片-可自行添加-线程-进程爬取,图片去重

    from bs4 import BeautifulSoupimport sys,os,requests,pymongo,timefrom lxml import etreedef get_fenlei ...

  4. 7 java 笔记

    1 方法是类或者对象行为特征的抽象,方法是类或对象最重要的组成部分 2 java里面方法的参数传递方式只有一种:值传递 值传递:就是将实际参数值的复制品传入方法内,而参数本身不会受到任何影响.(这是j ...

  5. 链接进入react二级路由,引发的子组件二次挂载

    这个问题很怪,我两个二级路由从链接进入的时候,会挂载两次子组件. 从链接进入,是因为新页面在新标签页打开的. 有子组件是因为公共组件提取 同样的操作,有一些简单的二级路由页面,就不会挂载两次. 讲道理 ...

  6. 性能测试分析工具nmon文件分析时报错解决办法

    1.使用nmon analyzer V334.xml分析数据时,如果文件过大,可以修改Analyser页签中的INTERVALS的最大值: 2.查找生成的nmon文件中包含的nan,删掉这些数据(需要 ...

  7. MySQL添加唯一索引

    1 语法如下 ALTER TABLE `t_user` ADD unique(`username`);

  8. 最终章·MySQL从入门到高可用架构报错解决

    1. 报错原因:MySQL的socket文件目录不存在. 解决方法:创建MySQL的socket文件目录 mkdir /application/mysql-5.6.38/tmp 2. 报错原因:soc ...

  9. python文件操作:文件处理与操作模式

    一,文件处理的模式基本概念 #coding:utf-8 # 一: 文件处理的三个步骤 # 1. 打开文件拿到文件对象(文件对象====>操作系统打开文件====>硬盘) # f=open( ...

  10. Linux终端命令行的快捷键

    涉及在Linux命令行下进行快速移动光标.命令编辑.编辑后执行历史命令.Bang(!)命令.控制命令等.让basher更有效率. • 常用 1.ctrl+左右键:在单词之间跳转 2.ctrl+a:跳到 ...