回顾下之前jdbc的开发步骤:

  1:建项目,引入数据库驱动包

  2:加载驱动

    Class.forName(..);

  3:获取连接对象

  4:创建执行sql语句的stmt对象;  写sql

  5:执行sql

    a) 更新    delete/insert/update

      !:executeUpdate();

    b) 查询    select  

      !:executeQuery();

  6:关闭/异常

之前有说过,Statement接口和PreparedStatement接口的区别,其中的一个就是:

  PreparedStatement接口能够防止sql注入

那么,什么是sql注入呢?

  其实sql注入就是用户输入的恶意密码,能够绕过你的用户名和密码登陆。

例子:

  1:首先创建个数据库

 -- 创建数据库

 CREATE DATABASE jdbc_demo DEFAULT CHARACTER SET utf8;i

 -- 创建表

 USE jdbc_demo;

 CREATE TABLE admin(

     id INT PRIMARY KEY AUTO_INCREMENT,

     userName VARCHAR(20),

     pwd VARCHAR(20)

 )

  

  2:使用Statement接口,没有防止sql注入:

 /**

  * 模拟用户登陆数据库,演示注入

  *

  * @author LLZ

  */

 public class Two_StatementDemo {

     /**

      * 1:sql注入 Statement

      */

     private Connection conn;

     private Statement stsm;

     private ResultSet rs;

     private PreparedStatement pstsm;

     @Test

     public void Test1() {

         String user = "tom";

         // String password = "123";

         String password = " ' or 1=1 -- /**/ "; // sql注入,这个也可以登陆成功

         try {

             // 1.1:加载驱动

             conn = Jdbcutil.getConnection();

             // 1.3:创建Statement对象

             stsm = conn.createStatement();

             // 1.4:准备sql语句

             String sql = "select * from jdbc where user='" + user

                     + "'  and password='" + password + "' ";

             // 1.5:执行sql

             rs = stsm.executeQuery(sql);

             // 1.6:打印返回的结果

             if (rs.next()) {

                 System.out.println(rs.getInt("id"));

             }

         } catch (Exception e) {

             e.printStackTrace();

         } finally {

             // 1.7:关闭连接

             try {

                 rs.close();

                 stsm.close();

                 conn.close();

             } catch (Exception e) {

                 e.printStackTrace();

             }

         }

     }

  3:使用PreparedStatement接口,防止sql注入:

其原因就是由于该接口具有缓存区,需要先执行预编译远,等传入参数才正式执行sql语言

 /**

      * 二:用PreparedStatement防止sql注入

      */

     @Test

     public void Test2() {

         String user = "tom";

         String password = "123";

         // String password = " ' or 1=1 -- /**/ "; // sql注入,这个在这里就无法登陆

         // 准备sql预编译语句

         String sql = "select * from jdbc where user=? and password=?";

         try {

             // 2.1:创建连接

             conn = Jdbcutil.getConnection();

             // 2.2:创建PerparedStatement对象(执行预编译)

             pstsm = conn.prepareStatement(sql);

             // 2.3:准备参数

             pstsm.setString(1, user);

             pstsm.setString(2, password);

             // 2.4:发送参数,执行sql

             ResultSet rs = pstsm.executeQuery();

             if (rs.next()) {

                 System.out.println(rs.getInt("id"));

             }

         } catch (Exception e) {

             e.printStackTrace();

         } finally {

             // 2.5:关闭连接

             Jdbcutil.close(conn, pstsm, rs);

         }

     }

jdbc java数据库连接 8)防止sql注入的更多相关文章

  1. jdbc mysql crud dao模型 sql注入漏洞 jdbc 操作大文件

    day17总结 今日内容 l JDBC 1.1 上次课内容总结 SQL语句: 1.外键约束:foreign key * 维护多个表关系! * 用来保证数据完整性! 2.三种关系: * 一对多: * 一 ...

  2. Java学习之路- SQL注入

    用户名: __________ 密码:——————— 假如没有使用预处理的Statement 对象 拼接字符串查数据库的话,易收到sql注入攻击: 例如说 : mysql 中   #代表的是单行注释 ...

  3. JDBC中的PreparedStatement-防止SQL注入攻击

    在JDBC对数据库进行操作的时候,SQL注入是一种常见的针对数据库的注入攻击方式.如下面的代码所演示,在我们的提交字段中掺入了SQL语句,会使得程序的登录校验失效: package org.lyk.m ...

  4. 【挖坑】2019年JAVA安全总结:SQL注入——新项目的开发与老项目的修复

    如何在项目中有效的防止SQL注入 写给需要的人,所有的问题源自我们的不重视. 本章略过"什么是SQL注入","如何去利用SQL注入"的讲解,仅讲如何去防御 PS ...

  5. MySQL_(Java)使用preparestatement解决SQL注入的问题

    MySQL_(Java)使用JDBC向数据库发起查询请求 传送门 MySQL_(Java)使用JDBC创建用户名和密码校验查询方法 传送门 MySQL数据库中的数据,数据库名garysql,表名gar ...

  6. Java代码审计连载之—SQL注入

    前言近日闲来无事,快两年都没怎么写代码了,打算写几行代码,做代码审计一年了,每天看代码都好几万行,突然发现自己都不会写代码了,真是很DT.想当初入门代码审计的时候真是非常难,网上几乎找不到什么java ...

  7. jdbc操作数据库以及防止sql注入

    public class pr { public static void main(String[] args) { Connection conn = null; Statement st = nu ...

  8. jdbc java数据库连接 11)中大文本类型的处理

    1. Jdbc中大文本类型的处理 Oracle中大文本数据类型, Clob    长文本类型   (MySQL中不支持,使用的是text) Blob    二进制类型 MySQL数据库, Text   ...

  9. jdbc java数据库连接 6)类路径读取——JdbcUtil的配置文件

    之前的代码中,以下代码很多时候并不是固定的: private static String url = "jdbc:mysql://localhost:3306/day1029?useUnic ...

随机推荐

  1. 从零开始编写自己的C#框架(11)——创建解决方案

    这段时间一直在充电,拜读了园子中大神们的博文(wayfarer的<设计之道>.TerryLee的<.NET设计模式系列文章>.卡奴达摩的<设计模式>还有其他一些零散 ...

  2. Node.js:console模块

    console模块提供了一个简单的调试功能,类似与web浏览器的javscript console. 下面简单介绍下该模块的使用以及用途,我使用了ES6的模版字符串(使用反引号标识),有兴趣的可以去了 ...

  3. c 小工具的使用

    1. 这是一个gps 数据过滤的小工具,目的是过滤到gps数据中不符合要求的数据,然后转为json 数据 需要两个小工具 bermuda.c   ------>  过滤一定范围的数据 geo2j ...

  4. 读书笔记--SQL必知必会15--插入数据

    15.1 数据插入 使用INSERT语句将行插入(或添加)到数据库表.可能需要特定的安全权限. 插入完整的行 插入行的一部分 插入某些查询的结果 15.1.1 插入完整的行 要求指定表名和插入到新行中 ...

  5. ASP.NET Core 中文文档 第四章 MVC(3.3)布局视图

    原文:Layout 作者:Steve Smith 翻译:娄宇(Lyrics) 校对:孟帅洋(书缘) 视图(View)经常共享视觉元素和编程元素.在本篇文章中,你将学习如何在你的 ASP.NET 应用程 ...

  6. 微信企业号开发(1)WebAPI在回调模式中的URL验证

    微信回调模式的官方文档. 开发语言:C#(微信相关功能代码可以从官网下载) 首先,必须要明确几个参数,这几个参数在微信企业号中,每次调用都会使用到. 1.msg_signature:签名(已加密,加密 ...

  7. Lua BehaviourTree 各节点说明

    项目说明 本行为树的代码使用Lua编写,所有的内容也建立的Lua的基础语法之上 因为公司项目需求,需要一套Lua的行为树代码,所以尝试从饥荒中抽离了行为树相关的代码.绝大多数节点行为与饥荒中相同,不过 ...

  8. C#开发微信门户及应用(40)--使用微信JSAPI实现微信支付功能

    在我前面的几篇博客,有介绍了微信支付.微信红包.企业付款等各种和支付相关的操作,不过上面都是基于微信普通API的封装,本篇随笔继续微信支付这一主题,继续介绍基于微信网页JSAPI的方式发起的微信支付功 ...

  9. SSH远程登录原理与运用

    SSH是每一台Linux电脑的标准配置. 随着Linux设备从电脑逐渐扩展到手机.外设和家用电器,SSH的使用范围也越来越广.不仅程序员离不开它,很多普通用户也每天使用. SSH具备多种功能,可以用于 ...

  10. jqGrid插件getCol方法的一个改进

    jgGrid插件是非常常用的一个基于jQuery的表格插件,功能非常强大.我最近也频繁使用.但是这个插件也有一些不够完善的地方.比如这个getCol方法. getCol方法接受三个参数 colname ...