2. 程式人生 > 其它 >mysql的安全漏洞的一種現象,就是利用轉義字元把 ' ' 化沒了,然後true 起作用啦

mysql的安全漏洞的一種現象,就是利用轉義字元把 ' ' 化沒了,然後true 起作用啦

阿新 發佈:2021-06-15

mysql的安全漏洞的一種現象,就是利用轉義字元把 ' ' 化沒了,然後true 起作用啦

所以~ select * from stu where StuName = true~~~~~

程式碼舉例:

//登入系統
System.out.println("請輸入使用者名稱:");
Scanner scanner = new Scanner(System.in);
String name = scanner.nextLine();
System.out.println("請輸入密碼:");
String password = scanner.nextLine();
//拼接成sql語句
String sql = String.format("select * from stu where StuName='%s' and LoginPwd='%s'",name,password);
//連線伺服器驗證密碼是否正確
Connection connection = JDBCUtil.GetConnection(); //自定義的JDBCUtil類封裝了連線sql的驅動器,以及返回一個連線到自己的伺服器Connection活動物件
Statement statement = null;
statement = connection.createStatement();
//執行sql語句
ResultSet resultSet = statement.executeQuery(sql);
if(resultSet.next()){
    System.out.println("登入成功");
    System.out.println(sql);
}else{
    System.out.println("登入失敗!請重試");
}

解決:使用預編譯 PreparedStatement,建立引數化的sql語句

例如:String sql="select * from stu where StuName = ? and LoginPwd = ?"; //設定引數化sql語句,變數的值暫時用?代替

PreparedStatement preparement = connection.preparedStatement(sql);

preparement.setString(1, "易烊千璽");  //設定引數

preparement.setString(2,"123445");

程式碼示例:

   //登入系統
        System.out.println("請輸入使用者名稱:");
        Scanner scanner = new Scanner(System.in);
        String name = scanner.nextLine();
        System.out.println("請輸入密碼:");
        String password = scanner.nextLine();
        //拼接成sql語句
//        String sql = String.format("select * from stu where StuName='%s' and LoginPwd='%s'",name,password);
        String sql = "select * from stu where StuName=? and LoginPwd=?;";
        //連線伺服器驗證密碼是否正確
        Connection connection = JDBCUtil.GetConnection(); //自定義的JDBCUtil類封裝了連線sql的驅動器,以及返回一個連線到自己的伺服器Connection活動物件
//        Statement statement = null;
//        statement = connection.createStatement();

        PreparedStatement preparedStatement = connection.prepareStatement(sql);
        //為每一個?賦值,下標從1開始
        preparedStatement.setString(1, name);
        preparedStatement.setString(2,password);
        //執行sql語句
//      ResultSet resultSet = statement.executeQuery(sql);

        ResultSet resultSet = preparedStatement.executeQuery();
        if(resultSet.next()){
            System.out.println("登入成功");
            System.out.println(sql);
        }else{
            System.out.println("登入失敗!請重試");
        }
    }


相關推薦

mysql安全漏洞現象就是利用轉義字元 ' ' 然後true 作用

mysql安全漏洞現象就是利用轉義字元 \' \' 然後true 作用

Java jdk安裝好cmd檢測也問題重啟這樣怎麼解決呢?

重啟前安裝好Java在cmd控制檯也檢索得到Javaversion重啟電腦配置好的Java環境

MySQL資料庫中表的設計方式——自關聯

自關聯: 表中的某通過外來鍵引用本表的另外列(主鍵)但是它們的業務邏輯含義又是不一樣的這就是自關聯

獎券數目 有些人很迷信數字比如帶“4”的數字認為和“死”諧音,就覺得不吉利。 雖然這些說法純屬無稽之談但有時還要迎合大眾的需求。某抽獎活動的獎券號碼是5位數(10000-99999)要求其

獎券數目 有些人很迷信數字比如帶“4”的數字認為和“死”諧音覺得不吉利。

同樣是在招聘資訊凌亂的網站上找工作同學的騷操作我給整蒙

前言 本文的文字及圖片來源於網路,僅供學習、交流使用,不具有任何商業用途,版權歸原作者所有,如有問題請及時聯絡我們以作處理。

微信 8.0 表情 “左哼哼”網友:恭喜 “右哼哼”喜提單身

1月25日訊息此前騰訊微信團隊釋出微信 iOS 版本8.0大更新另外微信安卓版 8.0 也在內測中在微信 8.0 中增加全屏播放炸彈 / 煙花 / 慶祝動畫表情小黃人表情更高清還有浮窗更新、新增個人狀態、視訊號可以

利用j實現斜槓替換成點並去除指定字串

技術標籤:jsjs正則表示式javascript 要實現斜槓替換成點考慮使用replace和正則表示式實現要實現去除指定字串考慮使用replace來實現 由於要全部斜槓替換成點所以這個地方需要使用正則全域性表示式來實

政協委員稱 “我們的臉已採應成立機構管控

3 月 5 日訊息近日全國政協委員、上海市資訊保安行業協會會長談劍鋒擬在今年全國兩會上提交份有關資料安全的相關提案。

日本任天堂提前終止 3DS 維修服務:配件新版不受影響

日本任天堂曾於上個月釋出公告宣佈將在 3 月底停止 3DS 和 3DS LL 掌機的保修服務但這個日子卻比預期來的要早些任天堂官方昨日(3 月 8 日)提前在官方推特上確認這個訊息。

OPPO 員工稱被強制離職起訴公司當事人敗訴:7 萬元年終獎獲 2N 賠償

5 月 10 日下午訊息此前 OPPO 員工質疑公司違法解除勞動合同事迎來最新進展根據該員工公佈的法院判決其要求的支付 7 萬元年終獎未獲法院支援但 OPPO 需要支付 2N 的賠償。

動態磁貼/ IE 瀏覽器微軟 Win11 功能特定要求、棄用移除功能列表公佈

6 月 25 日訊息今晚微軟舉行下一代 Windows 的釋出會正式宣佈名稱為 Windows 11。

JVM優化過頭直接異常資訊優化

你好呀我是why。 你猜這次我又要寫個啥沒有卵用的知識點呢? 不好意思問的稍微有點早啥提示都咋猜呢對吧?

爬蟲寫得好監獄進的早?我看太刑日子越來越有判頭

前言 你在網上的匿名言論在爬蟲面前可能毫無隱私可言在一些社交平臺中看似可以肆意吐槽發言的隱祕角落如果有別有用心的人使用爬蟲進行大資料分析每個使用者的行為都形同於裸奔。事實上在網路空間

經典 DOS 遊戲蘋果 App Store 將下架“iDOS 2”模擬模擬器

7 月 23 日訊息 iDOS 2 是款旨在讓使用者玩經典 DOS 遊戲的應用該應用開發者今天表示它將很快從 App Store 中撤下。

Redis掛流量資料庫也打掛怎麼辦?

看似面試場景題實則必背八股文。 你好呀我是歪歪。 是這樣的前幾天有個讀者給我發訊息說面試的時候遇到一個場景題:

支付寶 NFT 付款碼面板螞蟻鏈:系統升級中無法檢視

8 月 5 日訊息今日有使用者表示自己在“螞蟻鏈粉絲粒”小程式購買的 NFT 支付寶付款碼面板

微軟正修復 Win11 圓角 UI:邊角白色偽影問題更好的抗鋸齒效果

8 月 7 日訊息 外媒 Windows Latest 報道隨著 Windows 11 的推出大量的 UI 元素和選單將採用 WinUI 2.6 或 WinUI 3 的更新。作為設計更新的一部分Windows 11 將為桌面作業系統帶回圓角 UI。

遊戲《腦航員 2》即將發售開發者談初代重製:素材

8 月 15 日訊息 經典遊戲續作《腦航員 2》將於 8 月 25 日發售已上架 Steam。

30歲轉入做軟體測試能轉行成功嗎?別再被忽悠否則連工作都找不到

  轉行是大家關心的問題29歲學軟體測試轉行能不能找到工作無法準確回答關於年齡的問題30歲學軟體測試可以的一般轉行的黃金年齡在25~30週歲還能抓住轉行的機遇。轉行IT軟體測試不僅看年齡還要看學習能力

《FIFA 23》可能EA 表示正在考慮為足球遊戲更名

10 月 7 日訊息EA 近日正式發售《FIFA 22》足球遊戲在遊戲發售後官方釋出了一篇部落格談到對足球遊戲未來的展望並透露一個重磅訊息。EA 表示:“展望未來我們正在考慮探索將全球 EA SPORTS 足球遊戲更