本文探讨了用户注册登录系统中的SQL注入漏洞,并通过使用PreparedStatement接口进行了修复。此外,还介绍了如何运用MVC设计模式分离业务逻辑与界面显示,提高了软件的可维护性和扩展性。
解决漏洞
1、问题探索:
昨天写的用户注册登录系统中存在漏洞,如下:在登陆界面下,当输入密码时时有 sdef’ or 1=’1 等类似的情况时,不论原密码是否正确都会登录成功。原因是:该处出现了1=1这个正确的结论,这也是90年的黑客问题。
2、解决办法:
接口 PreparedStatement
SQL 语句被预编译并存储在 PreparedStatement 对象中。然后可以使用此对象多次高效地执行该语句。
注:用于设置 IN 参数值的设置方法(setShort、setString 等等)必须指定与输入参数的已定义 SQL 类型兼容的类型。例如,如果 IN 参数具有 SQL 类型 INTEGER,那么应该使用 setInt 方法。
代码如下:
try {
if (!con.isClosed()) {
PreparedStatement state = con.prepareStatement("select * from user where user_name=? and password=?");
state.setString(1, Username);
state.setString(2, password);
ResultSet set = state.executeQuery();
set.last();
int num = set.getRow();
System.out.println("查询结果:" + num);事务
事务(一组不可拆分的操作) 例如ATM取款 中间任何一个过程失败,前面的过程全都恢复操作
之前的状态。
在此,提出了事务这一词,在一个过程需要多条语句执行时,往往用到事务,例如添加用户时:
public class Commit {
public static void main(String[] args) {
//添加4个用户用户
String s1 = "insert into user(user_name,password)value('lili','123456')";
String s2 = "insert into user(user_name,password)value('lgr','12y456')";
String s3 = "insert into user(user_nae,password)value('lcvg','123ui56')";//这里name故意写错
String s4 = "insert into user(user_name,password)value('frgtli','123r6')";
Connection con = SQLManager.newInstance().getCon();// 与数据库建立连接
// 数据库操作类
try {
Statement state = con.createStatement();//数据库连接默认为每一条语句都是一个事务,会单独执行
con.setAutoCommit(false);//首先设置connection不自动提交
//execute(s1)效率比较低
state.addBatch(s1);//执行多条语句用addBath
state.addBatch(s2);
state.addBatch(s3);//执行到此时,发生错误,上面的s1,s2也不能添加进库中
state.addBatch(s4);
state.executeBatch();
con.commit();//// 使所有上一次提交/回滚后进行的更改成为持久更改,并释放此 Connection 对象当前持有的所有数据库锁。
} catch (SQLException e) {
// TODO Auto-generated catch block
e.printStackTrace();
}
}
}eclipse JavaEE web搭建环境
1、首先将下面这个jar文件放到安装的eclipse的plugins文件夹下
然后重新启动eclipse就会出现这样的三个图标:
2、选择JavaEE,创建Servlet工程,导入jar包等等一系列详细的步骤就不多说了,没有技术含量,可以问度娘……
3、找到WebContent文件夹,在其中点右键建立新的index.html问价
完成后出现如下代码:
<!DOCTYPE html>
<html>
<head>
<meta charset="UTF-8">
<title>Insert title here</title>
</head>
<body>
<a>ho,hhh(可以以随便输入)</a>
</body>
</html>单例设计模式
单例模式确保某一个类只有一个实例,而且自行实例化并向整个系统提供这个实例单例模式。单例模式只应在有真正的“单一实例”的需求时才可使用。
private static SQLManager manager;
public static synchronized SQLManager newInstance() {
if (manager == null) {
manager = new SQLManager();
}
return manager;
}MVC设计模式
编程思想 modle view control 数据 界面 控制全部分开
例如在用户注册登录代码中,将注册和登陆的方法写到一个控制类中,在界面中直接调用
####Java代码如下
//操作类
public class SQLOperate {
private static SQLOperate operate;
private SQLOperate() {
}
//设置单例
public static synchronized SQLOperate newInstance() {
if(operate==null){
operate = new SQLOperate();
}
return operate;
}
public boolean signIn(String Username, String password) {//这是用户登陆方法
Connection con = SQLManager.newInstance().getCon();
try {
if (!con.isClosed()) {
PreparedStatement state = con.prepareStatement("select * from user where user_name=? and password=?");
state.setString(1, Username);
state.setString(2, password);
ResultSet set = state.executeQuery();
set.last();
int num = set.getRow();
System.out.println("查询结果:" + num);
return num == 1;
}
} catch (SQLException e1) {
// TODO Auto-generated catch block
e1.printStackTrace();
}
return false;
}
public void register(String Username,String password){//这是注册方法
Statement state = SQLManager.newInstance().getStatement();
String sql = "select * from user where user_name='" + Username + "'";
try {
ResultSet set = state.executeQuery(sql);// 运行给定的 sql
// 语句并返回单一的
// ResultSet 对象。
set.last();// 游标移到最后一行
int num = set.getRow();// 得到Username的行号
if (num > 0) {
System.out.println("已存在");
} else {
String login = "insert into user(user_name,password)value('" + Username + "','" + password
+ "')";
state.execute(login);
System.out.println("注册成功!");
// return num == 1;
}
// return num == 1;
} catch (SQLException e1) {
// TODO Auto-generated catch block
e1.printStackTrace();
}
//return false;
}注册时调用操作类中的注册方法:
btnNewButton = new JButton("注册");
btnNewButton.setBounds(103, 170, 93, 23);
btnNewButton.addActionListener(new ActionListener() {
@Override
public void actionPerformed(ActionEvent e) {
String Username = textFieldUserName.getText();
String password = textFieldPassword.getText();
SQLOperate.newInstance().register(Username, password);用户登录时调用操作类的登陆方法:
public void actionPerformed(ActionEvent e) {
String Username = textFieldUsername.getText();
String password = textFieldPassword.getText();
boolean isSignIn = SQLOperate.newInstance().signIn(Username,password);
if(isSignIn){
System.out.println("登陆成功");
}else{
System.out.println("用户名或密码错误");
}工厂设计模式
客户类和工厂类分开。消费者任何时候需要某种产品,只需向工厂请求即可。消费者无须修改就可以接纳新产品。缺点是当产品修改时,工厂类也要做相应的修改。如:前面写到的消费者消费和生产者生产产品的程序,详细的请看本人博客(8.05)
观察者模式
观察者模式定义了一种一队多的依赖关系,让多个观察者对象同时监听某一个主题对象。这个主题对象在状态上发生变化时,会通知所有观察者对象,使他们能够自动更新自己。
此模式在后面的Android中将会详细介绍。
扫一扫
7125
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
