JDBC------SQL注入的问题

原创 于 2021-03-09 18:02:47 发布 · 114 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#sql #jdbc

本文通过示例对比了使用Statement和PreparedStatement进行数据库操作的区别,强调了PreparedStatement在预防SQL注入方面的优势。

SQL注入的问题

前言

sql存在漏洞,会被攻击导致数据泄露,SQL可能会被 or 拼接

一、用Statement对象

package com.zhao.demo02;

import com.zhao.demo02.utils.JdbcUtils;

import java.sql.Connection;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;

public class SQLInjection {
    public static void main(String[] args) {
        //login("ZHAO", "123456");
        login("' or '1=1", "' or '1=1");

    }

    //登录业务
    public static void login(String username, String password) {
        Connection conn = null;
        Statement st = null;
        ResultSet rs = null;

        try {
            conn = JdbcUtils.getConnection();
            st = conn.createStatement();

            //SELECT * FROM users WHERE NAME='Wang' AND PASSWORD='123456';
            //SELECT * FROM users WHERE NAME='' or '1=1' AND PASSWORD='' or '1=1';
            String sql = "SELECT * FROM users WHERE NAME='"+username+"' AND PASSWORD='"+password+"'";

            rs = st.executeQuery(sql); // 查询完毕会返回一个结果集

            while(rs.next()) {
                System.out.println(rs.getString("NAME"));
                System.out.println(rs.getString("PASSWORD"));
                System.out.println("====================");
            }

        } catch (SQLException e) {
            e.printStackTrace();
        } finally {
            JdbcUtils.release(rs, st, conn);
        }
    }
}

二、用PreparedStatement对象

PreparedStatement 可以防止SQL注入,效率更好!

package com.zhao.demo03;

import com.zhao.demo02.utils.JdbcUtils;

import java.sql.*;

public class SQLInjection {
    public static void main(String[] args) {
        //login("赵云", "123456");
        login("'' or '1=1'", "'' or '1=1'");

    }

    //登录业务
    public static void login(String username, String password) {
        Connection conn = null;
        PreparedStatement st = null;
        ResultSet rs = null;

        try {
            conn = JdbcUtils.getConnection();

            String sql = "SELECT * FROM users WHERE NAME=? AND PASSWORD=?";

            st = conn.prepareStatement(sql);
            st.setString(1, username);
            st.setString(2, password);

            rs = st.executeQuery(); // 查询完毕会返回一个结果集

            while(rs.next()) {
                System.out.println(rs.getString("NAME"));
                System.out.println(rs.getString("PASSWORD"));
                System.out.println("====================");
            }

        } catch (SQLException e) {
            e.printStackTrace();
        } finally {
            JdbcUtils.release(rs, st, conn);
        }
    }
}
m0_37647945
关注
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值