SQL注入攻击:

用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想知道的数据,这就是所谓的SQL注入攻击,

例如:判断username='a' or 'a'='a';  true从而为真,然后查询到信息

下面是一个登录查询数据库--返回结果为true

//用的查询是where 名字and密码都对的才返回true,说明数据库中有这个用户

        /*

     * 登录 使用username和password去查询数据 若查出结果集,说明正确!返回true 若查不出结果,说明用户名或密码错误,返回false

     */

    public boolean login(String username, String password)

            throws ClassNotFoundException, SQLException {

        /*

         * 1得到connection 2得到statement 3得到resultset 4rs.next()返回的是什么,我们就返回什么

         */

        String driverClassName = "com.mysql.jdbc.Driver";

        String url = "jdbc:mysql://localhost:3306/mydb3";

        String mysqlUsername = "root";

        String mysqlPassword = "123456";

        Class.forName(driverClassName);

        Connection con = DriverManager.getConnection(url, mysqlUsername,

                mysqlPassword);

        Statement stmt = con.createStatement();

        // 目的是拼接成select * from t_user where username='zhangsan' and

        // password='123';这样一句话

        String sql = "select * from t_user where username='" + username

                + "'and password='" + password + "'";

        ResultSet rs = stmt.executeQuery(sql);//返回一条记录

        /*rs.last();

        System.out.println("记录数:"+rs.getRow());*/

        System.out.println(sql);

        return rs.next();

    }

    /*sql攻击*/

    @Test

    public void fun1() throws ClassNotFoundException, SQLException {

//        select * from t_user where username='a' or 'a'='a'and password='a' or 'a'='a'//sql语句,,废话  where条件为真

        String username="a' or 'a'='a";

        String password="a' or 'a'='a";

        boolean bl= login(username, password);

//        System.out.println(username+password);

        System.out.println(bl);

    }

防SQL注入:

使用PreparedStatement

1.给出sql模板:所有的参数使用?来代替

2.调用Connection方法,得到PreparedStatement。

给模板中的?赋值pstmt.setString(int num,String "xx");

 ----boolean login2(String username,String password)方法

 String sql="select * from t_user where username=? and password=?";

         PreparedStatement pstmt=con.prepareStatement(sql);

         /*

          * 二、为参数赋值

          *

          * */

         pstmt.setString(1, username);//给第一个问号赋值,值为username

         pstmt.setString(2, password);//给第二个问号赋值,值为password

         ResultSet rs= pstmt.executeQuery();

         return rs.next();

 ============================

 @Test

     public void fun2() throws ClassNotFoundException, SQLException {

 //        select * from t_user where username='a' or 'a'='a'and password='a' or 'a'='a'//sql语句,,废话  where条件为真

         String username="lisi";

         String password="456";

         boolean bl= login2(username, password);

 //        System.out.println(username+password);

         System.out.println(bl);

     }

JDBC---Mysql(2)的更多相关文章

  1. JDBC设计理念浅析 JDBC简介(一)

    概念 JDBC是J2EE的标准规范之一,J2EE就是为了规范JAVA解决企业级应用开发制定的一系列规范,JDBC也不例外. JDBC是用于Java编程语言和数据库之间的数据库无关连接的标准Java A ...

  2. JDBC驱动程序注册 JDBC简介(二)

    使用JDBC进行数据库操作的第一步就是驱动注册(当然你得先导入JAR). 驱动注册有多种方式,第一步必然是获得正确的驱动名称与URL格式 驱动名称与URL格式 RDBMS 驱动程序名称        ...

  3. Connection 对象简介 方法解读 JDBC简介(四)

    通过驱动管理器DriverManager的getConnection方法,可以创建到指定URL的连接     Connection conn = DriverManager.getConnection ...

  4. 执行对象Statement、PreparedStatement和CallableStatement详解 JDBC简介(五)

    执行对象是SQL的执行者,SQL是“安排好的任务”,执行对象就是“实际工作的人”. 执行对象有三种: Statement.PreparedStatement和CallableStatement,他们都 ...

  5. JDBC 异常简介 jDBC简介(六)

    SQL 异常简介 对于数据库的操作访问,必然也很可能抛出异常. JDBC中定义了SQLException,用于描述数据库相关操作中可能出现的异常情况. java.sql.SQLException    ...

  6. JDBC事务与保存点 JDBC简介(七)

    事务简介 数据库事务(Database Transaction) ,是指作为单个逻辑工作单元执行的一系列操作,要么完全地执行,要么完全地不执行. 事务是必须满足4个条件(ACID) 事务的原子性( A ...

  7. Data Source与数据库连接池简介 JDBC简介(八)

    DataSource是作为DriverManager的替代品而推出的,DataSource 对象是获取连接的首选方法. 起源 为何放弃DriverManager DriverManager负责管理驱动 ...

  8. 转 JDBC连接数据库(二)——连接池

    https://www.cnblogs.com/xiaotiaosi/p/6398371.html 数据库保持长连接,不过一直都是idle,除非有用户激活连接,这样后果是无法删除用户,但是不影响数据库 ...

  9. MySQL(Linux)编码问题——网站刚刚上线就被光速打脸

    MySQL(Linux)编码问题--刚刚上线就被光速打脸 MySql默认编码问题 总结了一下,大致是这样的 修改数据库配置 在URL上加载参数 MySql默认编码问题 说到这里真的想哭,改了无数bug ...

  10. MySql(四)SQL注入

    MySql(四)SQL注入 一.SQL注入简介 1.1 SQL注入流程 1.2 SQL注入的产生过程 1.2.1 构造动态字符串 转义字符处理不当 类型处理不当 查询语句组装不当 错误处理不当 多个提 ...

随机推荐

  1. visio2013激活软件

    环境是 win7, 64 bit 装了 visio 2013 , 可以却不能用它来画图,在网上找了一些破解工具,大都不能解决问题.网上不靠谱的广告型文章太多了,比较头痛. 所幸,终于找到正确的破解工具 ...

  2. Vue+element组合el-table-column表头宽度自定义

    [本文出自天外归云的博客园] 需求 1. 某列表头文字内容过长,要对每列表头自定义宽度 2. 表格row的每一column文字不换行,超过列宽则省略,mouseover有提示 3. 对于label做滤 ...

  3. vuex的理解

    首先需要了解vuex的基本概念和使用方式,vue的官网也有很详细的说明或者浏览:https://zhuanlan.zhihu.com/p/24357762. vue是单页应用所以当页面刷新时vuex的 ...

  4. stm32之TIM+ADC+DMA采集50HZ交流信号

    http://cache.baiducontent.com/c?m=9d78d513d98207f04fece47f0d01d7174a02d1743ca6c76409c3e03984145b5637 ...

  5. .Net Reactor 单个dll或exe文件的保护

    .Net  Reactor配置如下: 点一下“Protect”能执行成功,就说明配置没问题.然后保存配置文件,在vs插件上就可以直接读取使用了. vs插件配置

  6. Java注解小记

    java注解是jdk1.5以后新出的特性,注解提升了Java语言的表达能力,有效地实现了应用功能和底层功能的分离,框架/库的程序员可以专注于底层实现. 1.Java内置注解 主要有三个: @Overr ...

  7. 嵌入式开发之精确延时---多线程延时阻塞精度asm("nop") nanosleep usleep sleep select

    http://blog.csdn.net/lile777/article/details/45503087

  8. Oracle清理回收站的方法

    原文链接:http://blog.itpub.net/18841027/viewspace-1057765/ purge DBA_RECYCLEBIN用于删除Oracle数据库回收站的所有数据,需要s ...

  9. docker_File 执行报错总结

    编写dockerfile [root@linux-node1 ~/dk]# cat Dockerfile # this is a docker File FROM centos MAINTAINER ...

  10. 什么是跨域访问,JSON&JSONP

    http://blog.csdn.net/notechsolution/article/details/50394391 更详细的讲解,关于同源策略等: http://www.cnblogs.com/ ...