文档章节

小博老师解析Java核心技术 ——JDBC参数化查询(二)

博为峰教研组
 博为峰教研组
发布于 2017/01/16 20:03
字数 742
阅读 90
收藏 0

[步骤阅读四]SQL注入

按照以上方式开发,确实已经完成了基本的用户登录业务需求,但是这么做的话可以会出现一个比较严重的问题,那就是容易被SQL注入。所谓SQL注入,就是在需要用户填写信息,并且这些信息会生成数据库查询字符串的场景中,恶意输入破坏程序原有业务逻辑的数据库查询字符,最终达到欺骗程序执行恶意的SQL命令。

小博老师现在就为大家演示一下,在刚才开发的登录程序中,通过SQL注入的方式来进行登录:

 

可见,我们不需要知道数据库中用户表的信息,就可以进行成功登录。这个问题的根本原因在于,我们判断用户是否登录成功,是通过将用户填写的账户名称和密码拼接到查询语句:

select * from users where uname=‘账户名称’ and upwd=’账户密码’;

中执行,并且判断查询的结果集中是否有满足条件的记录。按照上图所示,小博老师不填写账户名称,而在密码中填写 ‘ or ‘1’=’1,那么拼接后的查询语句就变成了:

select * from users where uname=’’ and upwd=’’ or ‘1’ = ‘1’;

这样一来,or关键将where复合条件变为了“或则”的关系,后面跟上了一个恒成立的1=1,那么这个where条件就失去了意义,永远为true。这样一来,查询语句就变成了查询数据表中的所有记录,结果集中当然就会一直有数据存在,逻辑判断登录成功。

 

[步骤阅读五]参数化查询防止SQL注入

为了防止这种被SQL注入的漏洞存在,我们经常可以使用参数化查询的方式来实现程序的业务逻辑,接下来小博老师就为大家演示参数化查询的使用方式,我们修改原有代码如下:

// 加载JDBC驱动

Driver driver = new Driver();

// 创建数据库连接对象

Connection conn = DriverManager.getConnection( "jdbc:mysql://127.0.0.1:3306/bwf?useUnicode=true&characterEncoding=utf8",

"root","");

// 创建数据库预加载申明对象

PreparedStatement stmt = conn.prepareStatement("select * from users where uname = ? and upwd = ? ");

// 为预加载申明对象 添加 参数(用户填写的账户名称和密码)

stmt.setString(1, txtUname.getText());

stmt.setString(2, txtUpwd.getText());

// 向数据库发送查询语句,查询满足条件的用户记录

ResultSet rs = stmt.executeQuery();

// 判断查询的结果集中是否有满足条件的记录

if(rs.next()){

// 有满足条件的记录,登录成功

JOptionPane.showMessageDialog(getContentPane(), "登录成功!");

}else{

// 没有满足条件的记录,登录失败

JOptionPane.showMessageDialog(getContentPane(), "账户名称或密码错误!请重新填写!");

}

rs.close();

conn.close();

这样一来,我们就可以防止被SQL注入的危险了:

© 著作权归作者所有

博为峰教研组
粉丝 50
博文 1224
码字总数 479077
作品 0
黄浦
程序员
私信 提问
《Java程序员由笨鸟到菜鸟》电子版书正式发布,欢迎大家下载

在众多朋友的支持和鼓励下,《Java程序员由菜鸟到笨鸟》电子版终于和大家见面了。本电子书涵盖了从java基础到javaweb开放框架的大部分内容。在编写的过程中,难免会出现一些错误,希望大家能...

长平狐
2012/11/12
243
0
《Java程序员由笨鸟到菜鸟》电子版书正式发布,欢迎大家下载

在众多朋友的支持和鼓励下,《Java程序员由菜鸟到笨鸟》电子版终于和大家见面了。本电子书涵盖了从java基础到javaweb开放框架的大部分内容。在编写的过程中,难免会出现一些错误,希望大家能...

长平狐
2012/11/12
142
0
【分库分表】sharding-jdbc + spring boot对大表进行分库分表

版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/kisscatforever/article/details/82746649 #一、前言 最近小编跳槽了,刚好入职了一家移动互联网公司。非常的...

AresCarry-王雷
2018/09/18
0
0
没吃透 Netty 底层通讯原理,还能算的上 Java 老司机?

搞了N年Java,仍有不少朋友困惑:用了很多年Dubbo,觉得自己挺厉害,跳槽面试时一问RPC,一问底层通讯,一问NIO和AIO,就一脸懵逼,到底该怎么办? 画外音:大家有没有这样的感触?Dubbo用得...

ImportNew
01/09
0
0
高手问答第 144 期 — 轻量级数据库中间层 Sharding-JDBC 深度解析

OSCHINA 本期高手问答(2017 年 3 月 7 日 — 3 月 13 日)我们请来了 @terrymanu (张亮) 和大家探讨分布式数据库中间层的适用场景和自研的选型过程。 @terrymanu 张亮,目前是当当架构部负...

局长
2017/03/06
13.7K
68

没有更多内容

加载失败,请刷新页面

加载更多

Excption与Error包结构,OOM 你遇到过哪些情况,SOF 你遇到过哪些情况

Throwable 是 Java 中所有错误与异常的超类,Throwable 包含两个子类,Error 与 Exception 。用于指示发生了异常情况。 Java 抛出的 Throwable 可以分成三种类型。 被检查异常(checked Exc...

Garphy
今天
5
0
计算机实现原理专题--二进制减法器(二)

在计算机实现原理专题--二进制减法器(一)中说明了基本原理,现准备说明如何来实现。 首先第一步255-b运算相当于对b进行按位取反,因此可将8个非门组成如下图的形式: 由于每次做减法时,我...

FAT_mt
昨天
6
0
好程序员大数据学习路线分享函数+map映射+元祖

好程序员大数据学习路线分享函数+map映射+元祖,大数据各个平台上的语言实现 hadoop 由java实现,2003年至今,三大块:数据处理,数据存储,数据计算 存储: hbase --> 数据成表 处理: hive --> 数...

好程序员官方
昨天
7
0
tabel 中含有复选框的列 数据理解

1、el-ui中实现某一列为复选框 实现多选非常简单: 手动添加一个el-table-column,设type属性为selction即可; 2、@selection-change事件:选项发生勾选状态变化时触发该事件 <el-table @sel...

everthing
昨天
6
0
【技术分享】TestFlight测试的流程文档

上架基本需求资料 1、苹果开发者账号(如还没账号先申请-苹果开发者账号申请教程) 2、开发好的APP 通过本篇教程,可以学习到ios证书申请和打包ipa上传到appstoreconnect.apple.com进行TestF...

qtb999
昨天
10
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部