每日日报

sql注入与预防

如果使用Statement进行查询
 sql是接收输入框输入 进行拼装的输入框中 如果输入了sql语句 比如 " "zhangsan1asdfadsf 'or' 1==1","1==1 'or' 12aasdfadsf3""
实际上 这不是一个普通的字符串 而是一个sql语句 这个sql语句 会改变 拼装后的sql的判断条件的逻辑 从而返回错误的结果
这种现象就叫SQL注入
 
预防sql注入的解决方案
不要使用statement执行直接拼装的sql
要使用PreparedStatement 这个类会把跟sql相关的字符串 在组拼sql的时候做转义从而预防sql注入
  1. public class JDBCLogin {
  2. public static void main(String[] args) {
  3. // boolean login = login("zhangsan","123");
  4. boolean login = login("admin 'or' 1==1","1==1 'or' 12aasdfadsf3");
  5. if(login){
  6. System.out.println("登录成功");
  7. }else{
  8. System.out.println("登录失败");
  9. }
  11. }
  13. public static boolean login(String username,String password){
  14. Connection conn = JDBC_Utils.getConn();
  15. try {
  16. //Statement statement = conn.createStatement();
  17. String sql1 = "select * from user where username = ? and password = ?";
  18. PreparedStatement prepareStatement = conn.prepareStatement(sql1);
  19. prepareStatement.setString(1, username);
  20. prepareStatement.setString(2, password);
  21. // String sql = "select * from user where username = '"+username+"' and password = '"+password+"'";
  22. // ResultSet resultSet = statement.executeQuery(sql);
  23. ResultSet resultSet = prepareStatement.executeQuery();
  24. if(resultSet.next()){
  25. return true;
  26. }else{
  27. return false;
  28. }
  29. } catch (Exception e) {
  30. e.printStackTrace();
  31. return false;
  32. }
  34. }
  35. }
select * from user where username = 'zhangsan1asdfadsf 'or' 1==1' and password = '1==1 'or' 12aasdfadsf3'
【推广】 免费学中医,健康全家人
原文地址:https://www.cnblogs.com/zhukaile/p/14376701.html