SQL注入攻击概述
该攻击也就是黑客或居心不良的人知晓了你底层使用拼接的方式连接SQL语句,也就有可能研究出绕过你检查的SQL语句,以下实例说明:
登录操作,检查用户名、密码是否正确
用Statement操作SQL语句
import java.sql.Connection;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;
public class StatementDemo {
private StatementDemo() {
}
public static void method(String use, String pass){
try(Connection connection=SqlConnection.con()){
Statement stmt = connection.createStatement();
//Statement方式操作SQL语句只能使用拼接的方式,不能使用占位方式
String sql="select uname,password from user where uname='" + use + "'and password='" + pass + "'";
//输出拼接的字符串
System.out.println(sql);
//执行SQL语句
ResultSet rs = stmt.executeQuery(sql);
//如果输入的密码和用户名满足,指针就会移到该用户名和密码这一行,输出true,否则false
if(rs.next()){