JDBC登录防sql注入

最新推荐文章于 2024-08-12 21:26:50 发布
原创 最新推荐文章于 2024-08-12 21:26:50 发布 · 246 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#jdbc

JDBC登录防sql注入

日常表白张春凤老师!

下面是我的mysql信息:
我的mysql为5.5版本,老东西了见谅哈!mysql版本不同,connection连接的内容也不一样,这个需要注意!还有就是注意端口号,账号密码,sql语句要正确填写哦!!!
在这里插入图片描述
下面是sql的创建部分:

CREATE TABLE `user` (
  `id` int(11) NOT NULL AUTO_INCREMENT,
  `username` varchar(32) DEFAULT NULL,
  `password` varchar(32) DEFAULT NULL,
  PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=2 DEFAULT CHARSET=utf8;

下面是JDBC登录防sql注入:

package will.delete.test;

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.util.Scanner;
//登录功能
public class TestNosql {
	public static void main(String[] args) {
		Scanner scanner = new Scanner(System.in);
		System.out.println("请输入用户名: ");
		String username = scanner.nextLine();
		System.out.println("请输入密码: ");
		String password = scanner.nextLine();
		boolean flag = new TestNosql().login(username, password);
		if (flag) {
			System.out.println("登陆成功");
		} else {
			System.out.println("用户名或者密码错误");
		}
	}

	public boolean login(String username, String password) {
		if (username == null || password == null) {
			return false;
		}
		Connection connection = null;
		PreparedStatement preparedStatement = null;
		ResultSet resultSet = null;
		try {
			connection = DriverManager.getConnection("jdbc:mysql://localhost:3306/zua_stuablity?characterEncoding=utf8",
					"root", "wdc123");
			String sql = "select * from user where username = ? and password = ?";
			preparedStatement = connection.prepareStatement(sql);
			preparedStatement.setString(1, username);//sql语句种问号的填写
			preparedStatement.setString(2, password);
			resultSet = preparedStatement.executeQuery();
			return resultSet.next();
		} catch (SQLException e) {
			e.printStackTrace();
		} finally {
			
				if (resultSet != null) {
					try {
						resultSet.close();
					} catch (SQLException e) {
						// TODO Auto-generated catch block
						e.printStackTrace();
					}

				}
				if (preparedStatement != null) {
					try {
						preparedStatement.close();
					} catch (SQLException e) {
						// TODO Auto-generated catch block
						e.printStackTrace();
					}

				}
				if (connection != null) {
					try {
						connection.close();
					} catch (SQLException e) {
						// TODO Auto-generated catch block
						e.printStackTrace();
					}

				}
		}
		return false;

	}
}

下面是防sql注入测试结果:
在这里插入图片描述
作死历险记:试了一下学校的老教务系统:正方教务系统http://202.196.166.139/,输入了学号,密码输入的a’ or ‘a’ = 'a然后出来了快乐的一幕!真好,又是作死的一天!哈哈😂在这里插入图片描述

【JAVA高级】——吃透JDBC中的SQL注入问题和解决方案
不迁怒,不贰过。小知识,大智慧。
10-26 1万+
吃透JDBC中的SQL注入问题和解决方案
Java代码审计之JDBC中的sql注入
liguangyao213的博客
02-27 666
java代码审计系统课程--代码审计视频教程-信息安全-优快云程序员研修院少“漏洞” 了解常见代码安全 提升代码安全能力 代码不被黑客黑-https://edu.youkuaiyun.com/course/detail/32634 漏洞原理: 在常见的web漏洞中,SQL注入漏洞较为常见,危害也较大。攻击者一旦利用系统中存在的SQL注入漏洞来发起攻击,在条件允许的情况下,不仅可以获取整站数据,还可通过进一步的渗透来获取服务器权限,从而进入内网。 注入攻击的本质,是把用户输入的数据当做代码执行。这里有两个关键条
JDBC模拟用户登录SQL注入
Amlynooto的博客
11-17 401
import java.sql.*; import java.util.HashMap; import java.util.Map; import java.util.ResourceBundle; import java.util.Scanner; /** * 解决sql注入问题 * 只要用户的信息不参与编译即可 * 使用PreparedStatement预编译 */ public class JDBCTest07 { public static void main(
jdbcsql注入问题
m_target的博客
07-28 763
java.sql 接口 PreparedStatement    表示预编译的 SQL 语句的对象 是Statement的子类     特点:             性能高、会把sql语句预先编译、sql语句中的参数会发生变化,过滤掉用户输入的关键字 public class LoginDemo { public static void main(String[] args) {...
JDBC模拟登陆及SQL语句防注入问题
weixin_30952103的博客
10-10 113
实现模拟登陆效果:基于表Tencent 1 package boom; 2 3 import java.sql.Connection; 4 import java.sql.DriverManager; 5 import java.sql.ResultSet; 6 import java.sql.SQLException; 7 import java.sql.S...
JDBC-SQL注入问题
weixin_30952535的博客
12-18 118
String sql = "select * from user where name = '" + name + "' and password = '" + password + "' ;"; //说明:使用拼接的sql语句会有sql注入问题 System.out.println(sql); ......省略操作数据库代码............ 控制台操作: ...
利用 JDBC做用户登录系统(使用 PreparedStatementSQL 注入
啥也不是的博客
11-30 252
public class JDBCTEST { public static void main(String[] args) { //初始化界面 Map<String, String> userLoginInfo = initUI(); boolean loginSuccess = login(userLoginInfo); System.out.println(loginSuccess ? "登录成功" : "登录失败")
JDBC如何SQL注入
qf2019的博客
08-25 2324
JDBC如何有效SQL注入 在我们平时的开发中,作为新手JDBC很有可能忽略了一点,那就是根本没有考虑SQL注入的问题, 那么,什么是SQL注入,以及如何SQL注入的问题。 1.什么是SQL注入 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是
JDBC如何有效SQL注入
12-14
在Java的JDBC编程中,SQL注入至关重要,以下是一些有效的策略: 1. **预编译SQL语句(PreparedStatement)**: 使用`PreparedStatement`代替`Statement`是SQL注入的基本方法。预编译的SQL语句将参数化查询...
JAVA JDBC SQL注入
福州大数据 hadoop学习
04-23 323
package org.jeecg.modules.common.util; import com.alibaba.fastjson.JSONObject; import java.sql.*; public class DbUtil { //定义mysql加载驱动,老版本的mysqljar包用的驱动参数时“com.mysql.jdbc.Driver”,新版的如下所示 private static final String driver = "com.mysql.jdbc.Driv.
JDBC如何避免SQL注入
最新发布
几许的博客
08-12 870
SQL注入SQL Injection)是一种代码注入技术,它允许攻击者将或“注入”恶意的SQL命令到后端数据库引擎执行。这些恶意的SQL命令可以执行未授权的数据库查询、修改数据、管理数据库服务器上的文件系统、执行管理操作(如关闭数据库服务)等,从而可能对网站或应用程序造成严重的安全威胁。如果用户输入了admin'--(注意末尾的--由于--这允许攻击者绕过正常的验证逻辑,直接以admin用户的身份检索信息,即使他们不知道admin用户的密码。
在使用jdbc的时候,如何止出现sql注入的问题
qq_65951398的博客
05-30 1968
避免动态拼接 SQL 语句:避免将用户输入直接拼接到 SQL 语句中,尤其是在没有充分验证和处理输入的情况下。使用哈希函数和加盐(Salt)来对密码进行加密,并将加密后的密码存储在数据库中。在验证用户输入的密码时,对用户输入进行相同的哈希和加盐操作,然后将其与数据库中存储的哈希值进行比较。通过限制数据库用户的权限,可以减少攻击者对数据库的潜在危害。输入验证和过滤:在接受用户输入之前,对输入进行验证和过滤是非常重要的。需要注意的是,以上措施可以大大减少 SQL 注入的风险,但不能完全消除风险。
JDBCsql注入问题与解决方法[PreparedStatement]
心态的博客
05-24 957
JDBCsql注入问题与解决方法[PreparedStatement]登录页面必会基础
JDBC_演示如何SQL注入
坤坤
03-01 322
该案例需要在数据库中插入一张表格。create table robin_user_zqk( id NUMBER(6), name VARCHAR2(100), pwd VARCHAR2(100));insert into robin_user_zqk(id,name,pwd)VALUES (1,'jerry','123')insert into robin_user_zqk(id,name,pwd...
通过jdbc使用PreparedStatement,提升性能,sql注入
weixin_33827731的博客
12-20 187
为什么要使用PreparedStatement? 一、通过PreparedStatement提升性能      Statement主要用于执行静态SQL语句,即内容固定不变的SQL语句。Statement每执行一次都要对传入的SQL语句编译一次,效率较差。     某些情况下,SQL语句只是其中的参数有所不同,其余子句完全相同,适用于PreparedStatement。PreparedStat...
jdbc存在sql注入(安全隐患)的模拟用户登录的功能
giao211的博客
04-24 1116
/** * 实现功能 * 1.需求:模拟用户登录的功能 * 2.用户描述 * 程序运行的时候,提供一个输入的接口,可以让用户按输入用户名和密码 * java程序连接数据库,提交信息,java程序收集用户信息 * java程序连接数据库验证用户名和密码是否正确 * 合法;显示登录成功 * 不合法:显示登录失败 * * 当前程序存在的问题 (很好玩) * 用户名:fdsa * 密码:fdsa' or '1'='1 * 会登录成功 * 这种现象被称为sql注入(安全隐患) * .
JDBCsql注入攻击
We_chuan的博客
12-25 359
哪有什么一夜成名,都是百炼成钢 JDBC JDBC(Java DataBase Connectivity,java数据库连接)又SUN公司开发,是一种用于执行SQL语句的Java API,可以为多种关系数据库提供统一访问,它由一组用Java语言编的类和接口组成。JDBC提供了一种基准,据此可以构建更高级的工具和接口,使数据库开发人员能够编数据库应用程序。 简单地说,JDBC 可做三件事:与...
java jdbc连接数据库以及sql注入演示与
lmsnice的博客
09-15 510
jdbc连接数据库 一、无法sql注入 package com.jdbc; import java.sql.Connection; import java.sql.DriverManager; import java.sql.ResultSet; import java.sql.SQLException; import java.sql.Statement; import java.util.Scanner; import com.sun.java_cup.internal.runtime.Symb
sql注入sql注入
小猪的日常Java
10-19 526
数据库中的数据 sql代码 package com.zjw.jdbc2; import java.sql.Connection; import java.sql.DriverManager; import java.sql.ResultSet; import java.sql.SQLException; import java.sql.Statement; import java.ut...
jdbc怎么sql注入
06-10
为了SQL注入攻击,我们可以采取以下措施: 1. 使用预处理语句:使用预处理语句可以有效地SQL注入攻击。预处理语句是在执行SQL语句之前将SQL语句和参数分开处理,从而消除了SQL注入攻击的风险。 2. 使用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值