JDBC中使用preparedStatement防止SQL注入
生活随笔
收集整理的這篇文章主要介紹了
JDBC中使用preparedStatement防止SQL注入
小編覺得挺不錯的,現在分享給大家,幫大家做個參考.
一、SQL注入
SQL注入是一種比較常見的網路攻擊方式,一些惡意人員在需要用戶輸入的地方,惡意輸入SQL語句的片段,通過SQL語句,實現無賬號登錄,甚至篡改數據庫。
二、SQL注入實例
登錄場景:
在一個登錄界面,要求用戶輸入賬號和密碼。
我們的代碼中會有如下SQL語句:
String sql="select * from user where account='"+account+"' and password='"+password+"'";情形1:(免賬號登錄)
賬號:' or 1=1-- (--后面有一個空格) 密碼: 當我們輸入了這個賬號和密碼,那么SQL語句就變成:String sql="select * from user where account='' or 1=1 -- ' and password=''";
這個查詢條件就變成account=‘’ 或者1=1,這個條件是恒成立的。
后面的-- ,就是注釋。
這樣就可以實現免賬號登錄。
情形2:(刪除數據庫)
賬號:';drop database test;-- (--后面有一個空格) 密碼: 當我們輸入了這個賬號和密碼,那么SQL語句就變成:String sql="select * from user where account='';drop database test;-- ' and password=''";
這個查詢條件就變成account=‘’ 或者1=1,這個條件是恒成立的。
后面的-- ,就是注釋。
這樣就能刪除數據庫。
三、防止SQL注入方法
使用PreparedStatement可以防止SQL注入。sql語句中的參數需要用?代替。PreparedStatement對sql預編譯后,然后調用setXX()方法設置sql語句中的參數。這樣再傳入特殊值,也不會出現sql注入的問題了。
四、登錄項目
1、用戶表
用戶的賬號信息:
create table user( id int primary key auto_increment, account varchar(20), password varchar(20), nickname varchar(20) );insert into user(account,password,nickname) values('Jack','123456','杰克'); insert into user(account,password,nickname) values('Mary','888888','瑪麗');select*from user;
2、項目結構
創建一個javaweb項目。Login類實現登錄功能,用Junit進行單元測試,創建LoginTest類實現登錄測試功能。
3、登錄實現
Login.java
package net.jdbc.test;import java.math.BigDecimal; import java.sql.*;public class Login {//數據庫url、用戶名和密碼static final String DB_URL="jdbc:mysql://localhost:3306/test?";static final String USER="root";static final String PASS="root123";public static void login(String account,String password) {try {//1、注冊JDBC驅動Class.forName("com.mysql.jdbc.Driver");//2、獲取數據庫連接Connection connection = DriverManager.getConnection(DB_URL, USER, PASS);//3、操作數據庫String sql="select * from user where account=? and password=?";//獲取操作數據庫的對象//用PreparedStatement可以預防SQL注入PreparedStatement preparedStatement = connection.prepareStatement(sql);preparedStatement.setString(1,account);//設置參數preparedStatement.setString(2,password);ResultSet resultSet = preparedStatement.executeQuery();//執行查詢sql,獲取結果集if (resultSet.next()){ //遍歷結果集,取出數據String name = resultSet.getString("nickname");//輸出數據System.out.println(name+"登錄成功");}else{System.out.println("用戶登錄失敗......");}//4、關閉結果集、數據庫操作對象、數據庫連接resultSet.close();preparedStatement.close();connection.close();} catch (ClassNotFoundException e) {e.printStackTrace();} catch(SQLException e){e.printStackTrace();} catch(Exception e){e.printStackTrace();}}}4、登錄測試
LoginTest.java
package net.jdbc.test;import org.junit.Test;import static org.junit.Assert.*;public class LoginTest {@Testpublic void login() {Login.login("' or 1=1-- ","");//SQL注入測試Login.login("Jack","123");//正確賬號,錯誤密碼Login.login("Jack","123456");Login.login("Mary","888888");} }運行結果:
總結
以上是生活随笔為你收集整理的JDBC中使用preparedStatement防止SQL注入的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: Anaconda 安装与使用
- 下一篇: linux cmake编译源码,linu