2. 程式人生 > 其它 >Java JDBC 控制檯使用者登入測試 及 登入存在SQL注入的解決

Java JDBC 控制檯使用者登入測試 及 登入存在SQL注入的解決

阿新 發佈:2021-07-31

實現功能:

1.使用者登入

2.java連線資料庫驗證,控制檯顯示成功或失敗

idea 新建java空專案,新建測試類LoginTest

public static void main(String[] args) {

    //初始化一個介面
    Map<String,String> userLoginInfo = initUI();

    //驗證使用者名稱和密碼
    boolean loginSuccess = login(userLoginInfo);

    //最後輸出結果
    System.out.println(loginSuccess?"登陸成功":"登入失敗");
}
 
private static boolean login(Map<String, String> userLoginInfo) {
 //打標記
    boolean loginSuccess = false;
  //單獨定義變數
    String loginName =userLoginInfo.get("loginName");
    String loginPwd = userLoginInfo.get("loginPwd");

   //JDBC程式碼
    Connection conn =null;
    Statement stmt=null;
    ResultSet re =null;


    try {
        //1.註冊驅動
        Class.forName("com.mysql.jdbc.Driver");
        //2.獲取連結
        conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/user","root","root");
        //3.獲取資料庫操作物件
        stmt = conn.createStatement();
        //4.執行SQL
        String sql = "select * from t_user where loginName = '"+loginName+"' and loginPwd = '"+loginPwd+"' ";
        //以上正好完成了SQL語句的拼接,以下程式碼的含義是傳送SQL語句給DBMS,DBMS進行SQL編譯
        re = stmt.executeQuery(sql);//執行查詢,將SQL傳過來
        //5.處理結果集
        if(re.next()){
            //登陸成功
            loginSuccess = true;

        }
    } catch (Exception e) {
        e.printStackTrace();
    }finally {
        //6.資源釋放
        if(re!=null) {
            try {
                re.close();
            } catch (SQLException e) {
                e.printStackTrace();
            }
        }

        if(stmt !=null) {
            try {
                re.close();
            } catch (SQLException e) {
                e.printStackTrace();
            }
        }
        if(conn!=null) {
            try {
                re.close();
            } catch (SQLException e) {
                e.printStackTrace();
            }
        }
    }


    return loginSuccess;
}
 
private static Map<String, String> initUI() {
    Scanner s = new Scanner(System.in);

    //讀取使用者名稱
    System.out.print("使用者名稱:");
    String loginName = s.nextLine();

    //讀取密碼
    System.out.println("密碼:");
    String loginPwd =s.nextLine();

    //將資料組裝到Map中
    Map<String,String> userLoginInfo = new HashMap<>();
    userLoginInfo.put("loginName",loginName);
    userLoginInfo.put("loginPwd",loginPwd);

    //返回Map
    return userLoginInfo;
}

執行結果:

登陸成功

存在問題 : SQL注入

使用者名稱:qwer

密碼:qwer' or '1'='1

此時能夠能錄成功,這種現象被稱為SQL注入

導致SQL注入的根本原因:

使用者輸入的資訊中含有SQL語句的關鍵字,並且這些關鍵字參與SQL的編譯過程,導致SQL語句的原意被扭曲,進而達到SQL注入

其中

String sql = "select * from t_user where loginName = '"+loginName+"' and loginPwd = '"+loginPwd+"' ";

re = stmt.executeQuery(sql);//執行查詢,將SQL傳過來

上行程式碼正好完成了SQL語句的拼接,下行程式碼的含義是傳送SQL語句給DBMS,DBMS進行SQL編譯,正好將使用者提供的“非法資訊”編譯進去,扭曲了原有SQL語句

解決方法:

只要使用者提供的資訊不參與編譯過程,問題就解決了,使用PrepareStatement替換Statement

新建類LoginTest02

public static void main(String[] args) {

    //初始化一個介面
    Map<String,String> userLoginInfo = initUI();

    //驗證使用者名稱和密碼
    boolean loginSuccess = login(userLoginInfo);

    //最後輸出結果
    System.out.println(loginSuccess?"登陸成功":"登入失敗");
}
private static boolean login(Map<String, String> userLoginInfo) {

    boolean loginSuccess = false;
    //單獨定義變數
    String loginName =userLoginInfo.get("loginName");
    String loginPwd = userLoginInfo.get("loginPwd");

    //JDBC程式碼
    Connection conn =null;
    //這裡使用prepareStatement(預編譯的資料庫操作物件)
    PreparedStatement ps=null;
    ResultSet re =null;


    try {
        //1.註冊驅動
        Class.forName("com.mysql.jdbc.Driver");
        //2.獲取連結
        conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/user","root","root");
        //3.獲取預編譯的資料庫操作物件
        String sql = "select * from t_user where loginName = ? and loginPwd = ? ";
        //SQL語句的框子。問號是佔位符,不加引號。一號問號接受一個值
        // 程式執行到此處,會發送SQL語句框子給DBMS,然後DBMS進行SQL語句的預先編譯
        //給佔位符?傳值 (第一個問號下標是1,第二個問號下標是2,JDBC所有下標 從1開始)
        //4.執行SQL 
        ps = conn.prepareStatement(sql);
     
        ps.setString(1,loginName);
        ps.setString(2,loginPwd);
             
        re = ps.executeQuery();
        //5.處理結果集
        if(re.next()){
            //登陸成功
            loginSuccess = true;

        }
    } catch (Exception e) {
        e.printStackTrace();
    }finally {
        //6.資源釋放
        if(re!=null) {
            try {
                re.close();
            } catch (SQLException e) {
                e.printStackTrace();
            }
        }

        if(ps !=null) {
            try {
                re.close();
            } catch (SQLException e) {
                e.printStackTrace();
            }
        }
        if(conn!=null) {
            try {
                re.close();
            } catch (SQLException e) {
                e.printStackTrace();
            }
        }
    }


    return loginSuccess;
}
private static Map<String, String> initUI() {
    Scanner s = new Scanner(System.in);

    //讀取使用者名稱
    System.out.print("使用者名稱:");
    String loginName = s.nextLine();

    //讀取密碼
    System.out.print("密碼:");
    String loginPwd =s.nextLine();

    //將資料組裝到Map中
    Map<String,String> userLoginInfo = new HashMap<>();
    userLoginInfo.put("loginName",loginName);
    userLoginInfo.put("loginPwd",loginPwd);

    //返回Map
    return userLoginInfo;
}

執行結果:

SQL注入問題解決,登入正常

解決SQL注入問題的關鍵:

使用者提供的資訊中心即使含有SQL語句的關鍵字,但這些關鍵字沒有參與編譯,只要使用者提供的資訊不參與編譯過程,問題就解決了
要想使用者資訊不參與SQL語句的編譯,那麼必須使用java.sql.PreparedStatement
PreparedStatement介面繼承了java.sql.Statement,是屬於預編譯的資料庫操作物件
原理是預先對SQL語句框架進行編譯,然後再給SQL傳值

本文來自部落格園,作者:大星星不見了,轉載請註明原文連結:https://www.cnblogs.com/dxxbjl/p/15084523.html

相關推薦

Java JDBC 控制檯使用者登入測試 登入存在SQL注入解決

實現功能: 1.使用者登入 2.java連線資料庫驗證,控制檯顯示成功或失敗 idea 新建java空專案,新建測試類LoginTest

Python Flask微信小程式登入流程登入api實現程式碼

一、先來看看效果 介面請求返回的資料: 二、官方登入流程圖 三、小程式登入流程梳理:

JDBC登入測試

JDBC登入測試(使用preparedStatement防止注入攻擊) package msb.com.demo; import msb.com.demo.msb.com.entity.Userinfor;

Laravel 框架基於自帶的使用者系統實現登入註冊錯誤處理功能分析

本文例項講述了Laravel 框架基於自帶的使用者系統實現登入註冊錯誤處理功能。分享給大家供大家參考,具體如下:

spring boot:spring security給使用者登入增加自動登入圖形驗證碼功能(spring boot 2.3.1)

一,圖形驗證碼的用途? 1,什麼是圖形驗證碼? 驗證碼(CAPTCHA)是“Completely Automated Public Turing test to tell Computers and Humans Apart”(全自動區分計算機和人類的圖靈測試)的縮寫,它是用

Spring Security自定義登入原理實現詳解

1. 前言 前面的關於 Spring Security 相關的文章只是一個預熱。為了接下來更好的實戰,如果你錯過了請從 Spring Security 實戰系列 開始。安全訪問的第一步就是認證(Authentication),認證的第一步就是登入。今天

微信小程式登入流程關鍵欄位用法

登入流程 圖1 圖2 關鍵欄位 code 用途:微信登入臨時憑證,三分鐘內有效,只能使用一次

web自動化測試登入處理

一.複用已有瀏覽器 應用場景:登入頁面需要使用者進行掃碼登入的 1.推出當前所有的谷歌瀏覽器

【web自動化】測試登入處理

一.複用已有瀏覽器 應用場景:登入頁面需要使用者進行掃碼登入的 1.推出當前所有的谷歌瀏覽器

drf——登入登入認證

登入認證: class Login(APIView): \"\"\"登入介面\"\"\" def post(self, request, version): msg = {\'code\': status.OK, \'message\': \'操作成功\', \'data\': \'\'}

Spring Boot +Vue 專案實戰筆記(二):前後端結合測試登入頁面開發)

前言:關於開發環境 每位 Coder 都有自己偏好的開發工具,從大的方面劃分主要有文字編輯器流和IDE流兩種,我有一段時間也喜歡用編輯器(Sublime Text、Vim),但對我來說開發效率確實不如使用 IDE 高,所以就放棄了。

自動登入測試環境指令碼-V2版

自動登入測試環境指令碼 目錄自動登入測試環境指令碼1. 檔案結構2. 測試環境檔案3. autoLogin.sh4. expect指令碼

C#窗體-資料庫連線登入功能的實現案例

本篇文章介紹了C#窗體的資料庫連線登入功能的實現 工具或平臺:VS2010、sqlserver2012

java jwt 簡單實現token驗證使用者登入

登入介面 @ApiOperation("登入介面") @PostMapping("/auth") public Result toLogin(@RequestBody InfoUser users){

Vue+Django 登入測試

Vue+Django 登入測試 1.Dajngo後端搭建 1.1 建立專案和APP \'\'\'1.建立專案和APP\'\'\' django-admin startproject BookManage # 建立專案

django框架前後端混合專案之註冊、登入功能頁面搭建、圖片驗證碼等相關內容-78

0 頭像的上傳 # models.py中不需要動avatar = models.FileField(upload_to=\'avatar/\', default=\'avatar/default.png\')# setting中配置MEDIA_ROOT=os.path.join(BASE_DIR,\'media\')# 由於FileField會自動儲存檔案

java採用http呼叫oauth2的認證登入,pigcloud

String urlPost=\"http://127.0.0.1:9999\"+\"/auth/oauth/token?username=\" + userName+\"&password=\" +

app自動化測試---使用者登入自動化

1.場景 使用者輸入不同的token進行登入操作,分別有三種不同的結果。 這三種結果操作步驟都一樣,只是輸入的資料不一致。

requests模組測試依賴登入的介面

import requests import json # s = requests.Session() class byms: def __int__(self): self.session = requests.session()

【laravel】blog專案實戰筆記-建立專案登入的操作

總想自己一個人做一個小的專案,但是不知道怎麼著手,平時上班時總是做專案中某個部分的任務,沒有整體做一個專案,下面是我看php中文網的視訊整理的筆記,供大家參考。這是在Windows環境下做的blog實戰專案。一、建