java参数化查询_小博老师解析Java核心技术 ——JDBC参数化查询(二)
[步骤阅读四]SQL注入
按照以上方式开发,确实已经完成了基本的用户登录业务需求,但是这么做的话可以会出现一个比较严重的问题,那就是容易被SQL注入。所谓SQL注入,就是在需要用户填写信息,并且这些信息会生成数据库查询字符串的场景中,恶意输入破坏程序原有业务逻辑的数据库查询字符,最终达到欺骗程序执行恶意的SQL命令。
小博老师现在就为大家演示一下,在刚才开发的登录程序中,通过SQL注入的方式来进行登录:
可见,我们不需要知道数据库中用户表的信息,就可以进行成功登录。这个问题的根本原因在于,我们判断用户是否登录成功,是通过将用户填写的账户名称和密码拼接到查询语句:
select * from users where uname=‘账户名称’ and upwd=’账户密码’;
中执行,并且判断查询的结果集中是否有满足条件的记录。按照上图所示,小博老师不填写账户名称,而在密码中填写 ‘ or ‘1’=’1,那么拼接后的查询语句就变成了:
select * from users where uname=’’ and upwd=’’ or ‘1’ = ‘1’;
这样一来,or关键将where复合条件变为了“或则”的关系,后面跟上了一个恒成立的1=1,那么这个where条件就失去了意义,永远为true。这样一来,查询语句就变成了查询数据表中的所有记录,结果集中当然就会一直有数据存在,逻辑判断登录成功。
[步骤阅读五]参数化查询防止SQL注入
为了防止这种被SQL注入的漏洞存在,我们经常可以使用参数化查询的方式来实现程序的业务逻辑,接下来小博老师就为大家演示参数化查询的使用方式,我们修改原有代码如下:
// 加载JDBC驱动
Driver driver = new Driver();
// 创建数据库连接对象
Connection conn = DriverManager.getConnection( "jdbc:mysql://127.0.0.1:3306/bwf?useUnicode=true&characterEncoding=utf8",
"root","");
// 创建数据库预加载申明对象
PreparedStatement stmt = conn.prepareStatement("select * from users where uname = ? and upwd = ? ");
// 为预加载申明对象 添加 参数(用户填写的账户名称和密码)
stmt.setString(1, txtUname.getText());
stmt.setString(2, txtUpwd.getText());
// 向数据库发送查询语句,查询满足条件的用户记录
ResultSet rs = stmt.executeQuery();
// 判断查询的结果集中是否有满足条件的记录
if(rs.next()){
// 有满足条件的记录,登录成功
JOptionPane.showMessageDialog(getContentPane(), "登录成功!");
}else{
// 没有满足条件的记录,登录失败
JOptionPane.showMessageDialog(getContentPane(), "账户名称或密码错误!请重新填写!");
}
rs.close();
conn.close();
这样一来,我们就可以防止被SQL注入的危险了:
java参数化查询_小博老师解析Java核心技术 ——JDBC参数化查询(二)相关推荐
- java的博_小博老师解析Java核心技术 ——I/O流
[引言] 我们在学习Java编程的时候,经常会遇到文件数据的各类操作,这类操作一般都会借助于JDK中的I/O流对象.我们知道JDK中I/O流的实现类有很多种类型,那么在实际操作中我们该如何取舍呢?今天 ...
- Java文本控件型号_小博老师解析Java核心技术 ——JSwing文本型控件
[引言] 我们在学习Java编程的时候,如果需要开发客户端窗体类型的程序,可以使用JDK中的awt和swing库.本文开始小博老师就继续为大家演示Java窗体编程中的各类控件,今天主要讲解的是文本类型 ...
- 小博老师解析Java核心技术 ——JDBC参数化查询(一)
[引言] 我们在学习Java编程时,连接数据库技术(JDBC)是一项必备技能,我们经常需要读取或操作持久性存储的结构化数据.那么现在开始,小博老师就开始为大家讲解JDBC中的常用操作技术,今天我们来了 ...
- 小博老师解析Java核心技术 ——JDBC数据库操作类封装
2019独角兽企业重金招聘Python工程师标准>>> [引言] 我们在学习Java编程时,连接数据库技术(JDBC)是一项必备技能,我们经常需要读取或操作持久性存储的结构化数据.那 ...
- 小博老师解析Java核心技术 ——JDBC普通增删改操作
[引言] 我们在学习Java编程时,连接数据库技术(JDBC)是一项必备技能,我们经常需要读取或操作持久性存储的结构化数据.那么现在开始,小博老师就开始为大家讲解JDBC中的常用操作技术,今天我们来了 ...
- 小博老师解析Java核心技术 ——JSwing绘图技术
2019独角兽企业重金招聘Python工程师标准>>> [引言] 我们在学习Java编程的时候,如果需要开发客户端窗体类型的程序,可以使用JDK中的awt和swing库.本文开始小博 ...
- 小博老师解析Java核心技术点 ——表单令牌(一)
2019独角兽企业重金招聘Python工程师标准>>> [理论知识] 我们在网站开发的过程中,经常需要会使用到form表单,表单提供了丰富的客户端与服务器端交互的控件.但是在开发过程 ...
- java中jstl核心包丢失,小博老师解析Java核心技术 ——JSTL核心标签库
[引言] JSTL(JSP Standard Tag Library,JSP标准标签库)是一个不断完善的开放源代码的JSP标签库,由四个定制标记库(core.format.xml 和 sql)和一对通 ...
- 小博老师解析经典Java面试题-redirect和forward的区别
[面试原题] 简述java中redirect和forward的区别. [正确答案] redirect是url重定向,让客户端重新发送一次请求到另一个url.因此整个过程客户端向服务器发送了两次请求,并 ...
最新文章
- 构建一个分布式操作系统的简单方案—答陈硕的“分布式系统中的进程标识”一文...
- error: 'for' loop initial declarations are only allowed in C99 or C11 mode
- PXE安装linux
- 设计模式原则篇:(1)单一职责原则--Single Responsibility Principle
- MySQL存储过程 游标
- linux c ecb 加密解密,OpenSSL对数组加密解密的完整实现代码
- 计算机另一账户无法使用office,关闭Word文档提示: 如何处理另一个应用程序或用户正在使用的文件?...
- MySQL复习值代码知识点(2)
- 日均请求量1.6万亿次背后,DNSPod的秘密-国密DoH篇
- acm java输入输出_ACM中java如何快速输入输出
- oracle查询表在库中所占空间(表名所有字母必须大写‘table_name’)
- ROS Kinetic 安装指南
- HDU1253 胜利大逃亡【BFS】
- python创意动态图片_Python趣味创意编程
- 漫话:如何给女朋友解释什么是反向代理、正向代理?
- 试用版:springboot集成pageoffice实现word在线预览可编辑
- iosSelect插件 H5中实现iOS的select下拉联动效果
- vue 之手机号验证、正则验证手机号是否正确、手机号验证码信息弹窗
- LightOJ-1253 Misere Nim
- Linux_创建用户
热门文章
- Connection to node 0 (/192.168.204.131:9092) could not be established
- python递归面试题_汉诺塔问题其实很简单 Python 递归经典面试题
- 内存中发堆和栈,栈是运行时的单位,而堆是存储的单位
- linux dd安装系统,通过DD命令安装Windows,并介绍几款DD镜像包
- centos7安装nginx和php,centos7安装nginx1.10和php7
- 网路知识:为什么宽带越用越慢,看完你就明白了
- mysql符合安可要求吗,安可是什么意思?演唱太过精彩,粉丝要求返场(再唱一个)...
- java获取用户地理位置_java web 通过ip获取当前地理位置
- eclipse安卓工程的构建、配置连接模拟器、安卓工程结构介绍
- python- 基础 range方法的使用