sql注入漏洞 为什么有 怎么解决
来源:互联网 发布:数据库原理视频专辑 编辑:程序博客网 时间:2024/05/16 06:47
package com.qf.zzh;import java.sql.Connection;import java.sql.PreparedStatement;import java.sql.ResultSet;import java.sql.SQLException;import java.util.List;import java.util.Map;import java.util.Scanner;public class UserLogin {/**sql注入漏洞 为什么有 怎么解决 * @param args * @throws SQLException */public static void main(String[] args) throws SQLException {// TODO Auto-generated method stubScanner input = new Scanner(System.in);System.out.println("请输入用户名");String user = input.nextLine();System.out.println("请输入密码");String password = input.nextLine();// 如果sql语句没有经过 预编译 或者其他处理 那么 就会 有注解漏洞// 例如:这一句话 在sql中显示就是:// select * from user where username='zhangsan' and password='123' or// '1=1'// 这句话就恒真 所以 无论你是谁 都会 显示登录成功 所以有sql注入漏洞// String password = "123' or '1=1";// String sql = "select * from user where username='" + user// + "' and password='" + password + "'";// List<Map<Object, Object>> list = DatabaseTools.selectDataBases(sql);// if (list != null && list.size() > 0) {// System.out.println("登录成功");// } else {// System.out.println("用户名或者密码错误!");// }// 第一种改进方式 就是 用户名输入进去了 就 把对应的密码取出来 然后 用取出来的密码 和 输入的密码比较如果相同// 那么就表明是登陆成功 就避免了用sql的恒真性判断是否存在了// User use = new// DatabaseTools<User>(User.class).getBean("username='"+user+"'");// if(use!=null&&password!=null&&use.getPassword().equals(password)){// System.out.println("登录成功");// }else{// System.out.println("用户名/密码错误");// }// 第二种方式// 预编译的sql语句 就是把user和password分别看成一个整体 不可再分String sql="select * from user where username=? and password=?";Connection conn = DatabaseTools.getConnect();//这种方式 常见sql对象是 就需要 传入sql语句PreparedStatement ps =conn.prepareStatement(sql);//对sql语句进行预编译ps.setString(1,user);ps.setString(2,password);ResultSet rs = ps.executeQuery();if(rs.next()){System.out.println("登录成功");}else{System.out.println("用户名/密码错误");}}}
阅读全文
0 0
- sql注入漏洞 为什么有 怎么解决
- 参数化查询---解决sql漏洞注入
- sql注入漏洞与如何解决
- 解决登陆时sql注入漏洞
- 为什么占位符,可以防止sql注入漏洞?
- Sql 注入漏洞,注意
- SQL注入漏洞
- sql注入漏洞原理
- SQL 注入漏洞新动向
- SQL注入漏洞接触
- SQL注入漏洞
- 防范SQL注入漏洞
- Sql 注入漏洞
- 防止SQL注入漏洞
- SQL注入漏洞攻击
- Sql 注入漏洞攻击
- sql注入漏洞攻击
- SQL注入漏洞
- 原创:路由配置实践 两个局域网主机的互连 VM linu
- 快速排序(JAVA)
- Linux环境查看系统参数
- 最大熵模型
- POJ1979 /Openjudge1818 Red and Black解题报告(深度优先搜索,图的遍历)
- sql注入漏洞 为什么有 怎么解决
- 数据库内连接与外连接
- Macbook 命令行删除文件和目录
- 51Nod-1081-子段求和
- svn 常用命令
- LeetCode 28: Implement strStr()
- 浪潮之巅学习笔记
- CodeForces 317 D.Game with Powers(博弈论)
- Java 多线程