解决SQL注入问题
| 阿里云国内75折 回扣 微信号:monov8 |
| 阿里云国际,腾讯云国际,低至75折。AWS 93折 免费开户实名账号 代冲值 优惠多多 微信号:monov8 飞机:@monov6 |
package com.bjpowernode.jdbc; import java.sql.*; import java.util.HashMap; import java.util.Map; import java.util.Scanner; /** * 怎么避免SQL注入现象的发生 SQL注入的根本原因是先进行了字符串的拼接然后再进行编译。 * * java.sql.Statement接口父接口的特点先进行了字符串的拼接然后再进行sql语句的编译。 * 优点可以进行sql语句的拼接。 * 缺点因为拼接可能会给不法分子机会发生SQL注入的情况。 * * java.sql.PreparedStatement接口子接口特点先进行sql语句的编译然后再进行sql语句的传值。 * 优点避免SQL注入的发生。 * 缺点没有办法进行sql语句的拼接只能给sql语句传值。 * */ public class 解决SQL注入问题 { public static void main(String[] args) { //初始化一个界面让用户输入用户名和密码 Map<String,String> userLoginInfo = initUI(); //连接数据库验证用户名和密码是否正确 boolean ok = checkNameAndPwd(userLoginInfo.get("loginName"),userLoginInfo.get("loginPwd")); System.out.println(ok ? "登录成功" : "登录失败"); } /** * 验证用户名和密码 * @param loginName 登录名 * @param loginPwd 登录密码 * @return true表示登录成功false表示登录失败。 */ private static boolean checkNameAndPwd(String loginName, String loginPwd) { boolean ok = false;//这里准备一个boolean类型的变量默认是false表示登录失败 Connection conn = null; PreparedStatement ps = null; ResultSet rs = null; try { //1.注册驱动 Class.forName("com.mysql.jdbc.Driver"); //2.获取连接 conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/test","root","******"); //3.获取预编译的数据库操作对象 //一个?是一个占位符一个占位符只能接收一个“值/数据” 占位符 ? 两边不能有单引号''。 String sql = "select * from t_user where login_name = ? and login_pwd = ?"; ps = conn.prepareStatement(sql);//此时会发送sql给DBMS进行SQL语句的编译。 //给占位符?传值JDBC中所有的下标都是从1开始。 //是怎么解决sql注入的呢即使用户输入的信息中有sql关键字但是不参加编译就没事。 ps.setString(1,loginName); //这里的1代表第一个?,也就是第一个占位符。 ps.setString(2,loginPwd); //这里的2代表第二个?,也就是第二个占位符。 //4.执行SQL rs = ps.executeQuery();//这里已经不需要再传递sql语句了也就是不能rs = ps.executeQuery(sql);这样写了。 //5.处理查询结果集 if (rs.next()){ ok = true; } } catch (ClassNotFoundException e) { e.printStackTrace(); } catch (SQLException e) { e.printStackTrace(); } finally { if (rs != null) { try { rs.close(); } catch (SQLException e) { e.printStackTrace(); } } if (ps != null) { try { ps.close(); } catch (SQLException e) { e.printStackTrace(); } } if (conn != null) { try { conn.close(); } catch (SQLException e) { e.printStackTrace(); } } } return ok; } /** * 初始化界面并接受用户的输入 * @return 返回存储登录名和登录密码的Map集合 */ private static Map<String, String> initUI() { System.out.println("欢迎使用本系统请用户输入用户名和密码进行身份认证"); Scanner s = new Scanner(System.in); System.out.print("用户名"); String loginName = s.nextLine(); System.out.print("密码"); String loginPwd = s.nextLine(); //将上面输入的用户名和密码放到Map集合中 Map<String,String> userLoginInfo = new HashMap<>(); userLoginInfo.put("loginName",loginName); userLoginInfo.put("loginPwd",loginPwd); //返回Map集合 return userLoginInfo; } }