本文介绍了SQL注入的概念,即通过用户输入改变SQL逻辑来达到非法目的。示例展示了SQL注入攻击的一种形式,并提出了使用PreparedStatement来防止SQL注入。PreparedStatement在创建时预编译SQL,确保用户输入不会影响原有SQL语句的逻辑,从而有效避免了注入问题。同时,文章给出了注册功能中预防SQL注入的代码实例。
什么是SQL注入
用户往传值的地方传递进来了SQL语句导致原有SQL语句的逻辑发生改变,从而达到一些非法目的,这个过程叫做SQL注入。
select count(*) from user where username='abcd' and password='' or '1'='1' 
PreparedStatement
- 带有预编译效果的执行SQL语句的对象。
- 通过此对象可以解决SQL注入的问题。
将编译SQL语句的时间点从执行时提前到了创建时, 在创建PreparedStatement对象时将SQL语句进行编译,此时用户输入的内容还没有放到SQL语句里面, 这时编译的好处是将SQL语句业务逻辑锁死, 之后再将用户输入的内容添加进去,这样原有SQL语句的逻辑就不会被用户输入的内容改动,从而避免了SQL注入的问题。
String sql = "select count(*) from user where username=? and password=?";
PreparedStatement ps = conn.prepareStatement(sql);
//替换掉?
ps.setString(1,username);
ps.setString(2,password);
ResultSet rs = ps.executeQuery();改进上篇注册
//获取连接
try (Connection conn = DBUtils.getConn()) {
//查询用户名是否存在
String sql = "select id from user1 where username=?" ;
PreparedStatement ps = conn.prepareStatement(sql);
ps.setString(1,username);
ResultSet rs = ps.executeQuery();
if (rs.next()) {
System.out.println("用户名已存在!");
return;//结束方法
}
//代码继续执行说明没有注册过
String regSql = "insert into user1 values(null,?,?,?)";
PreparedStatement regPs = conn.prepareStatement(regSql);
regPs.setString(1,username);
regPs.setString(2,password);
regPs.setString(3,nick);
regPs.executeUpdate();//执行注册
System.out.println("注册完成!");
} catch (SQLException throwables) {
throwables.printStackTrace();
}
扫一扫
259
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
