JdbcBaseReview系列之JdbcPrepare的前言

原创 于 2017-06-03 10:41:38 发布 · 204 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#数据 #class

本文通过一个简单的用户登录示例,展示了如何使用PreparedStatement来避免SQL注入攻击。通过对比Statement与PreparedStatement的使用方式,突出了后者在安全性上的优势。

在分享PreparedStatement之前我们先做一个小的测试demo来看一下PreparedStatement它的好处
写一个简易的用户登录的小demo来试一下 用户名和密码是在之前写好的Stu这个类里面的数据 我就直接拿来用了

//SQL注入
public class jdbc {

    private static String driverClass = "com.mysql.jdbc.Driver";
    private static  String url = "jdbc:mysql://localhost:3306/jdbc";
    private  static  String uesr = "root";
    private  static String password = "111111";
    private  static Connection connection = null;
    private  static Statement statement = null;
    private static  ResultSet resultSet = null;

    @Test
    public void t1() throws ClassNotFoundException, SQLException {
        try {

            Class.forName(driverClass);
            connection = DriverManager.getConnection(url, uesr, password);
            statement = connection.createStatement();
            resultSet =  statement.executeQuery("SELECT *FROM stu");
            while (resultSet.next()){
                System.out.println(resultSet.getInt("age") + resultSet.getString("name") + resultSet.getInt("id"));
            }

        } catch (ClassNotFoundException e) {
            e.printStackTrace();
        } catch (SQLException e) {
            e.printStackTrace();
        } finally {
        }

    }


    public static void main(String[] args) throws ClassNotFoundException, SQLException {
        Class.forName(driverClass);
        connection = DriverManager.getConnection(url, uesr, password);
        Scanner scanner = new Scanner(System.in);
        System.out.println("请输入用户名");
        String name = scanner.nextLine();
        System.out.println("请输入密码");
        String pass = scanner.nextLine();
//在没学习Prepare之前用的是statement这个类来实现的 但是如果输入的用户名和密码带有''分号, or这样的字眼就会有任何一个成功就会登录成功 但是我们知道登录要用户和密码都要对才可以登录成功 所以之后学习了PrepareStatement之后就会很好的解决这一问题
//        statement = connection.createStatement();
//
//         resultSet = statement.executeQuery("SELECT *FROM stu WHERE name='"+name+"'  AND age="+pass+" ;");
        PreparedStatement stmt = connection.prepareStatement("SELECT *FROM stu WHERE name=? AND age=? ");
        stmt.setString(1,name);
        stmt.setString(1, pass);
         resultSet = stmt.executeQuery();
//字符串拼接打印后的样子
        String sql = "select * from stu WHERE name='"+name+"' AND age="+pass+";";
        System.out.println(sql);
       if (jdbc.resultSet.next()){
           System.out.println("登录成功");
       }else {
           System.out.println("登录失败");
       }



    }

}
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值