mysql学习笔记(八):防止sql注入
来源:互联网 发布:企查查数据接口 编辑:程序博客网 时间:2024/05/22 13:39
一、什么是sql注入?
看下面的两种情况:
第一种情况
第一种情况变成的代码:
这上面即使是没有密码也是可以登录上去的。
这些情况就是sql注入
总结:由于dao中执行的SQL语句是拼接出来的,其中有一部分内容是由用户从客户端传入,所以当用户传入的数据中包含sql关键字时,就有可能通过这些关键字改变sql语句的语义,从而执行一些特殊的操作,这样的攻击方式就叫做sql注入攻击
二、如何解决?
为了解决这个问题,我们先来了解一个类
这个preparedstatement是statement类的子类,它有一个功能就是可以预编译
下面建一个JDBCDemo3.java
package com.javaweb.dao;import com.javaweb.util.JDBCUtils;import java.sql.Connection;import java.sql.PreparedStatement;import java.sql.ResultSet;import java.sql.SQLException;public class JDBCDemo3 {public static void main(String[] agrs){Connection conn=null;PreparedStatement ps=null;ResultSet rs=null;try {conn=JDBCUtils.getConn();ps=conn.prepareStatement("select * from users where username=? and password=?");} catch (Exception e) {e.printStackTrace();}finally{JDBCUtils.close(rs, ps,conn);}}}
下面先介绍一个工具,这是mysql的工具
连接数据库
打开表
新插入一个数据记录
】
可以在cmd窗口查询
除了cmd窗口,这个软件也提供另外一个窗口
介绍完工具以后,继续完善JDBCDemo3.java
下面是代码:
package com.javaweb.dao;import com.javaweb.util.JDBCUtils;import java.sql.Connection;import java.sql.PreparedStatement;import java.sql.ResultSet;import java.sql.SQLException;public class JDBCDemo3 {public static void main(String[] agrs){Connection conn=null;PreparedStatement ps=null;ResultSet rs=null;try {conn=JDBCUtils.getConn();ps=conn.prepareStatement("select * from users where username=? and password=?");ps.setString(1, "zs");ps.setString(2, "999");rs=ps.executeQuery();while(rs.next()){System.out.println(rs.getString("email"));}} catch (Exception e) {e.printStackTrace();}finally{JDBCUtils.close(rs, ps,conn);}}}因为要将 MySqlUserDao中的Statement改用PreparedStatement类,这时候我们新建一个 MySqlUserDao2
package com.javaweb.dao;import java.sql.Connection;import java.sql.PreparedStatement;import java.sql.ResultSet;import java.sql.Statement;import com.javaweb.domain.User;import com.javaweb.util.JDBCUtils;public class MySqlUserDao2 implements UserDao{public void addUser(User user) {String sql="insert into users valuses(null,?,?,?,?)";Connection conn=null;PreparedStatement ps=null;ResultSet rs=null;try {conn=JDBCUtils.getConn();ps=conn.prepareStatement(sql);ps.setString(1, user.getUsername());ps.setString(2, user.getPassword());ps.setString(3, user.getNickname());ps.setString(4, user.getEmail());} catch (Exception e) {e.printStackTrace();throw new RuntimeException(e);}finally{JDBCUtils.close(rs, ps, conn);}}public User findUserByUNandPSW(String username, String password) {String sql = "select * from users where username=? and password=?";Connection conn=null;PreparedStatement ps=null;ResultSet rs=null;try{conn = JDBCUtils.getConn();ps = conn.prepareStatement(sql);ps.setString(1, username);ps.setString(2, password);rs = ps.executeQuery(sql);if(rs.next()){User user = new User();user.setId(rs.getInt("id"));user.setUsername(rs.getString("username"));user.setPassword(rs.getString("password"));user.setNickname(rs.getString("nickname"));user.setEmail(rs.getString("email"));return user;}else{return null;}}catch (Exception e) {e.printStackTrace();throw new RuntimeException(e);}finally{JDBCUtils.close(rs, ps, conn);}}public User findUserByUserName(String username) {String sql = "select * from users where username=?";Connection conn=null;PreparedStatement ps=null;ResultSet rs=null;try{conn = JDBCUtils.getConn();ps = conn.prepareStatement(sql);ps.setString(1, username);rs = ps.executeQuery(sql);if(rs.next()){User user = new User();user.setId(rs.getInt("id"));user.setUsername(rs.getString("username"));user.setPassword(rs.getString("password"));user.setNickname(rs.getString("nickname"));user.setEmail(rs.getString("email"));return user;}else{return null;}}catch (Exception e) {e.printStackTrace();throw new RuntimeException(e);}finally{JDBCUtils.close(rs, ps, conn);}}}再在配置文件中配置,就大功告成了
这时候就完成了。
0 0
- mysql学习笔记(八):防止sql注入
- mysql防止sql注入
- MySQL防止SQL注入
- mysql 防止sql注入
- mysql防止SQL 注入
- JDBC防止SQL注入(菜鸟笔记)
- MySQL数据库防止SQL注入
- mysql中防止sql注入
- php mysql防止sql注入详细说明(2)
- MySQL学习笔记(八)
- MYSQL学习笔记(八)
- 黑马程序员—ADO.Net笔记(防止sql注入)
- PYTHON操作MYSQL时防止SQL注入
- PYTHON操作MYSQL时防止SQL注入
- php mysql防止sql注入详细说明
- php mysql 安全 防止SQL注入
- node-mysql中防止SQL注入
- 使用PDO查询mysql防止SQL注入
- maven使用总结(三)
- Java语言基础——06.集合框架(3)util包中的工具类和新特性
- linux c/c++ 后台开发常用组件之:高级字符串处理库
- [leetcode] 49.Group Anagrams
- 算法----插入排序算法
- mysql学习笔记(八):防止sql注入
- Tomcat配置——context
- Linux命令备忘实例(1)——终端输出
- 程序员练级进阶攻略
- ajax的再回首
- 【解决】eclipse不显示Android SDK Manager标签
- 设计模式之建造者模式---Builder
- Tomcat配置二
- 树懒_移动开学笔记_day26_网络通信