ResultSet接口:类似于一个临时表,用来暂时存放数据库查询操作所获得的结果集。

getInt(), getFloat(), getDate(), getBoolean(), getString(), getObject(), next(),:将指针向下移一行。

例一:(输入用户名和密码验证是否登录成功):用Statement接口会导致,SQL注入!

下图是代码:

package com.inba.maya.chaxun;

import java.sql.*;

import java.util.*;

public class Text {

    public static void main(String[] args) throws Exception{

        Scanner sc=new Scanner(System.in);

        System.out.print("请输入用户名:");

        String yhm=sc.nextLine();

        System.out.print("请输入密码:");

        String mm=sc.nextLine();

        //第一种解决的方法:给用户名进行替换,把'换成".

        //yhm=yhm.replaceAll("\'", "\"");

        //一加载驱动

        Class.forName("com.mysql.jdbc.Driver");

        //二链接数据库

        Connection conn=DriverManager.getConnection("jdbc:mysql://localhost:3306/mydb?characterEncoding=GBK","root","");

        //创建SQL语句

        Statement stat=conn.createStatement();

        //采用字符串拼接的房方法会导致,SQL注入,从而导致错误发生,如控制台所示

        //原因是:当我输入: sl服务网16' or 1=1 #;在代码中显示的是:
    
//所以当我输入的里面有'时就会和前面的'相匹配,or 1=1永远成立 #在SQL语句中是注释,所以才会登陆成功

        String s="select * from user where username='"+yhm+"' and pasword='"+mm+"'";

        ResultSet rs=stat.executeQuery(s);

        if(rs.next()==true){

            System.out.println("登陆成功,欢迎"+rs.getString(3));

        }else{

            System.out.println("对不起,您输入的用户名或密码不正确!");PreparedStatement

        }

        conn.close();

    }

}

解决的方法1:

第一种解决的方法:给用户名进行替换,把'换成".

yhm=yhm.replaceAll("\'", "\"");

解决的第二种方法:

用PreparedStatement接口,该接口继承自Statement接口,但是用于执行动态的SQL语句。通过PreparedStatement实例来执行SQL语句,将被预编译并保存到PreparedStatement实例中,从而可以反复执行该语句。

代码如下:

package com.inba.maya.chaxun;

import java.sql.*;

import java.util.*;

public class Text {

    public static void main1(String[] args) throws Exception{

        Scanner sc=new Scanner(System.in);

        System.out.print("请输入用户名:");

        String yhm=sc.nextLine();

        System.out.print("请输入密码:");

        String mm=sc.nextLine();

        YanZheng(yhm, mm);

    }

    private static void YanZheng(String yhm, String mm) throws ClassNotFoundException, SQLException {

        Class.forName("com.mysql.jdbc.Driver");

        Connection conn=DriverManager.getConnection("jdbc:mysql://localhost:3306/mydb?characterEncoding=GBK","root","");

        String s="select * from user where username=? and pasword=?";
    

        PreparedStatement ps=conn.prepareStatement(s);

        ps.setString(1, yhm);

        ps.setString(2, mm);

        ResultSet rs=ps.executeQuery();

        if(rs.next()==true){

            System.out.println("登陆成功,欢迎"+rs.getString(3));

        }else{

            System.out.println("对不起,您输入的用户名或密码不正确!");

        }

        conn.close();

    }

}

JDBC的使用(二):PreparedStatement接口;ResultSet接口(获取结果集);例题:SQL注入的更多相关文章

  1. MySQL数据库学习笔记(九)----JDBC的ResultSet接口(查询操作)、PreparedStatement接口重构增删改查(含SQL注入的解释)

    [声明] 欢迎转载,但请保留文章原始出处→_→ 生命壹号:http://www.cnblogs.com/smyhvae/ 文章来源:http://www.cnblogs.com/smyhvae/p/4 ...

  2. JDBC基础学习(二)—PreparedStatement

    一.PreparedStatement介绍     在SQL中包含特殊字符或SQL的关键字(如: ' or 1 or ')时Statement将出现不可预料的结果(出现异常或查询的结果不正确),可用P ...

  3. MySQL JDBC常用知识,封装工具类,时区问题配置,SQL注入问题

    JDBC JDBC介绍 Sun公司为了简化开发人员的(对数据库的统一)操作,提供了(Java操作数据库的)规范,俗称JDBC,这些规范的由具体由具体的厂商去做 对于开发人员来说,我们只需要掌握JDBC ...

  4. Java程序员从笨鸟到菜鸟之(一百零二)sql注入攻击详解(三)sql注入解决办法

    sql注入攻击详解(二)sql注入过程详解 sql注入攻击详解(一)sql注入原理详解 我们了解了sql注入原理和sql注入过程,今天我们就来了解一下sql注入的解决办法.怎么来解决和防范sql注入, ...

  5. JDBC数据库编程:PreparedStatement接口

    使用PreparedStatement进行数据库的更新及查询操作. PreparedStatement PreparedStatement是statement子接口.属于预处理. 使用statemen ...

  6. JDBC数据库编程:ResultSet接口

    掌握ResultSet接口 使用ResultSet接口进行查询 ResultSet接口 在JDBC操作中,数据库所有查询记录将使用ResultSet进行接收,并使用ResultSet显示内容. 常用方 ...

  7. Java基础(三十一)JDBC(1)常用类和接口

    1.Driver接口 每种数据库的驱动程序都应该提供一个实现java.sql.Driver接口的类.在加载某一驱动程序的Driver类时,它应该创建自己的实例并向java.sql.DriverMana ...

  8. JDBC之Statement 接口的测试(存在sql注入风险)

    实现简单的登录功能 import java.sql.Connection; import java.sql.DriverManager; import java.sql.ResultSet; impo ...

  9. SpringSecurity权限管理系统实战—二、日志、接口文档等实现

    系列目录 SpringSecurity权限管理系统实战-一.项目简介和开发环境准备 SpringSecurity权限管理系统实战-二.日志.接口文档等实现 SpringSecurity权限管理系统实战 ...

随机推荐

  1. 用 nssm 把 Nginx 安装成 Windows 服务方法

    总之:用 nssm 比 srvany.exe 简便多了.1. 下载nginx windows版本:http://nginx.org/ 2. 下载 nssm :http://nssm.cc/3. 安装N ...

  2. struts2 国际化

    国际化概述: 软件国际化:一个软件根据来访者地区不同,显示不同语言. 国际化: * 必须有一组资源包: * 一组属性文件命名: 基本名称_语言(小写)_国家(大写).properties * 如:me ...

  3. python tornado 入门

    #!/usr/bin/env python # coding:utf-8 import textwrap import tornado.httpserver import tornado.ioloop ...

  4. Pycharm 快捷键

    Ctrl + Alt + Space   快速导入任意类 Alt + enter键    快速导入模块.创建类 Ctrl + /  注释/取消行注释 Ctrl + Shift + /         ...

  5. JQuery中对option的添加、删除、取值

    jQuery获取Select选择的Text和Value: 1. $("#select_id").change(function(){//code...});    //为Selec ...

  6. Spring+SpringMvc+Mybatis框架集成搭建教程三(框架整合测试程序开发)

    框架整合测试程序开发 (1).在mysql数据库中创建t_user表,sql语句如下 CREATE TABLE `t_user` ( `id` bigint(20) NOT NULL AUTO_INC ...

  7. Runnable接口

    Runnable接口的说用是使线程不仅可以继承Thread类实现,还可以继承其他类(比如:JFrame). 此接口具有两个构造方法: (1)public Thread(Runnable r) (2)p ...

  8. 牛B的调试工具:OzCode

      官网:http://www.oz-code.com/ 视频:https://channel9.msdn.com/Shows/Visual-Studio-Toolbox/OzCode https:/ ...

  9. PhpStorm Git 配置(解决文件没有变色的问题)

    摘要: PhpStorm Git 配置 首先需要安装windows下的Git版本,网上有很多我下载的是msysgit反正都差不多,不会的自己百度. 其次打开PhpStorm,点击File ,Setti ...

  10. wordpress电子商务插件和主题的使用方法

    前提步骤:卸载wordpress干净,需要把相应的数据库删除:drop databade **: (1)先改wordpress中重要文件的权限:777 (2)用usradd -d www /html命 ...