解决SQL注入问题
阿里云国内75折 回扣 微信号:monov8 |
阿里云国际,腾讯云国际,低至75折。AWS 93折 免费开户实名账号 代冲值 优惠多多 微信号:monov8 飞机:@monov6 |
package com.bjpowernode.jdbc;
import java.sql.*;
import java.util.HashMap;
import java.util.Map;
import java.util.Scanner;
/**
* 怎么避免SQL注入现象的发生 SQL注入的根本原因是先进行了字符串的拼接然后再进行编译。
*
* java.sql.Statement接口父接口的特点先进行了字符串的拼接然后再进行sql语句的编译。
* 优点可以进行sql语句的拼接。
* 缺点因为拼接可能会给不法分子机会发生SQL注入的情况。
*
* java.sql.PreparedStatement接口子接口特点先进行sql语句的编译然后再进行sql语句的传值。
* 优点避免SQL注入的发生。
* 缺点没有办法进行sql语句的拼接只能给sql语句传值。
*
*/
public class 解决SQL注入问题 {
public static void main(String[] args) {
//初始化一个界面让用户输入用户名和密码
Map<String,String> userLoginInfo = initUI();
//连接数据库验证用户名和密码是否正确
boolean ok = checkNameAndPwd(userLoginInfo.get("loginName"),userLoginInfo.get("loginPwd"));
System.out.println(ok ? "登录成功" : "登录失败");
}
/**
* 验证用户名和密码
* @param loginName 登录名
* @param loginPwd 登录密码
* @return true表示登录成功false表示登录失败。
*/
private static boolean checkNameAndPwd(String loginName, String loginPwd) {
boolean ok = false;//这里准备一个boolean类型的变量默认是false表示登录失败
Connection conn = null;
PreparedStatement ps = null;
ResultSet rs = null;
try {
//1.注册驱动
Class.forName("com.mysql.jdbc.Driver");
//2.获取连接
conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/test","root","******");
//3.获取预编译的数据库操作对象
//一个?是一个占位符一个占位符只能接收一个“值/数据” 占位符 ? 两边不能有单引号''。
String sql = "select * from t_user where login_name = ? and login_pwd = ?";
ps = conn.prepareStatement(sql);//此时会发送sql给DBMS进行SQL语句的编译。
//给占位符?传值JDBC中所有的下标都是从1开始。
//是怎么解决sql注入的呢即使用户输入的信息中有sql关键字但是不参加编译就没事。
ps.setString(1,loginName); //这里的1代表第一个?,也就是第一个占位符。
ps.setString(2,loginPwd); //这里的2代表第二个?,也就是第二个占位符。
//4.执行SQL
rs = ps.executeQuery();//这里已经不需要再传递sql语句了也就是不能rs = ps.executeQuery(sql);这样写了。
//5.处理查询结果集
if (rs.next()){
ok = true;
}
} catch (ClassNotFoundException e) {
e.printStackTrace();
} catch (SQLException e) {
e.printStackTrace();
} finally {
if (rs != null) {
try {
rs.close();
} catch (SQLException e) {
e.printStackTrace();
}
}
if (ps != null) {
try {
ps.close();
} catch (SQLException e) {
e.printStackTrace();
}
}
if (conn != null) {
try {
conn.close();
} catch (SQLException e) {
e.printStackTrace();
}
}
}
return ok;
}
/**
* 初始化界面并接受用户的输入
* @return 返回存储登录名和登录密码的Map集合
*/
private static Map<String, String> initUI() {
System.out.println("欢迎使用本系统请用户输入用户名和密码进行身份认证");
Scanner s = new Scanner(System.in);
System.out.print("用户名");
String loginName = s.nextLine();
System.out.print("密码");
String loginPwd = s.nextLine();
//将上面输入的用户名和密码放到Map集合中
Map<String,String> userLoginInfo = new HashMap<>();
userLoginInfo.put("loginName",loginName);
userLoginInfo.put("loginPwd",loginPwd);
//返回Map集合
return userLoginInfo;
}
}