2. 程式人生 > 其它 >【JDBC】學習路徑3-密碼登入&SQL注入攻擊

【JDBC】學習路徑3-密碼登入&SQL注入攻擊

阿新 發佈:2022-05-23

最後再提醒一句,每次在測試JDBC程式的時候,一定要確保MySQL正在執行。

開啟控制檯(終端),輸入mysql

如果沒啟動,則出現以下提示:

Mac端啟動MySQL資料庫,需要在系統便好設定中啟動。

第一章:構建登入校驗客戶端

測試資料庫:

當用戶輸入了正確的賬號密碼時,這個函式返回true,反之。

檢視程式碼
public static boolean selectWithUsernamePassword(String username,String password){
        Connection con = null;
        Statement stmt = null;
        ResultSet rs = null;
        try {
            //註冊驅動
            Class.forName("com.mysql.cj.jdbc.Driver");

            String url = "jdbc:mysql://localhost:3306/jdbc_01?useUnicode=true&characterEncoding=UTF8";

            con = DriverManager.getConnection(url,"root","88888888");

            stmt = con.createStatement();

            String sql = "select * from user where username ='"+username+"'and password ='"+password+"'";
            System.out.println(sql);
            rs = stmt.executeQuery(sql);

            if(rs.next())
                return true;
            else
                return false;

        } catch (Exception e) {
            e.printStackTrace();
        }finally {
            try {
                if (rs != null)
                    rs.close();
            } catch (SQLException e) {
                e.printStackTrace();
            }
            try {
                if (stmt != null)
                    stmt.close();
            } catch (SQLException e) {
                e.printStackTrace();
            }
            try {
                if (con != null)
                    con.close();
            } catch (SQLException e) {
                e.printStackTrace();
            }
        }

        return false;
    }

其中,這一行時我們組拼的SQL語句:

String sql = "select * from user where username ='"+username+"'and password ='"+password+"'";

我們在main方法中呼叫測試一下:

selectWithUsernamePassword("remoo1","1234");

返回的是true;

若輸入了資料庫中不存在的資料,則返回false。

第二章:SQL注入攻擊

當我們密碼輸入為:

selectWithUsernamePassword("nijsfies","1sadf' or '1'='1");

時,我們發現,無論你密碼是否正確,最後都會輸出true。

 我們組拼的完整的SQL語句如下:

select * from user where username ='nijsfies'and password ='1234' or '1'='1'

相當於:select * from user where (username ='asd' and password = 'asd') or '1'='1'

where後面有兩個條件:使用者名稱密碼滿足xxx、‘1’=‘1’

顯然‘1’=‘1’(SQL語句中等號為=,而不是==),

後面的每一條資料都滿足1=1這個條件,

所以一定返回全部資料。

第三章:阻止SQL注入

如何解決?使用PreparedStatement()

檢視程式碼

public static boolean safe_SelectWithUP(String username,String password){
        Connection con = null;
        //Statement stmt = null;
        ResultSet rs = null;
        PreparedStatement pstmt = null;
        try {
            //註冊驅動
            Class.forName("com.mysql.cj.jdbc.Driver");

            String url = "jdbc:mysql://localhost:3306/jdbc_01?useUnicode=true&characterEncoding=UTF8";

            con = DriverManager.getConnection(url,"root","88888888");

//            stmt = con.createStatement();
//            String sql = "select * from user where username ='"+username+"'and password ='"+password+"'";
//            System.out.println(sql);
//            rs = stmt.executeQuery(sql);

            //?代表一個引數
            String sql = "select * from user where username = ? and password = ?";

            pstmt = con.prepareStatement(sql);
            pstmt.setString(1,username);
            pstmt.setString(2,password);

            //上面已經傳遞了SQl語句了,這裡直接執行就好了。
            //SQL語句已經儲存在pstmt內部了,並且對SQL注入攻擊進行了防範。
            rs = pstmt.executeQuery();
            System.out.println(sql);


            if(rs.next())
                return true;
            else
                return false;

        } catch (Exception e) {
            e.printStackTrace();
        }finally {
            try {
                if (rs != null)
                    rs.close();
            } catch (SQLException e) {
                e.printStackTrace();
            }
            try {
                if (pstmt != null)
                    pstmt.close();
            } catch (SQLException e) {
                e.printStackTrace();
            }
            try {
                if (con != null)
                    con.close();
            } catch (SQLException e) {
                e.printStackTrace();
            }
        }

        return false;
    }

 測試結果:

相關推薦

JDBC學習路徑3-密碼登入&SQL注入攻擊

最後再提醒一句,每次在測試JDBC程式的時候,一定要確保MySQL正在執行。 開啟控制檯(終端),輸入mysql

JDBC學習路徑5-提取JDBCUtils工具類

回顧我們上面幾節的內容,我們發現重複程式碼非常多,比如註冊驅動、連線、關閉close()等程式碼,非常繁雜。

JDBC學習路徑7-轉賬-commit事務操作

現在我們要做一個轉賬系統。 第一章:建立一張新的表格(使用者銀行賬戶表格)

JDBC學習路徑8-連線池

為什麼是連線池? 第一、受我們硬體資源的限制,我們的一些資源使用時有限制的比如我們的資料庫 連線數和執行緒數。為了擺脫這些限制,我們就使用了池化技術來將這些資源限制在一定範圍內。

JDBC學習路徑9-dbcp資料來源的使用

第一章:下載 要下載三個東西:commons pool、commons log、dbcp dbcp中有些東西是依賴於commons pool 和 commons log 的。

JDBC學習路徑10-c3p0資料來源的使用(JDBC完結)

第一章:下載 c3p0官網:https://www.mchange.com/projects/c3p0/ 這個是SourceForge提供的下載地址:https://sourceforge.net/projects/c3p0/

java學習路徑17-StringBuffer、StringBuilder的使用與區別

本文講解StringBuffer和StringBuilder的使用與區別。 1-- String String型別我們已經很熟悉了,String一旦被賦值,其在堆中的資料便無法修改。

java學習路徑25-ArrayList類,Iterator迭代器的使用

ArrayList的使用 ArrayList類:可變化長度的陣列。 與一般的陣列不同的是,其長度不固定,可以新增任意型別的資料。

java學習路徑31-檔案IO基本操作

一、初始化: File f1 = new File(\"//Users//Shared//JavaIOTest//Test01.txt\"); File f2 = new File(\"//Users//Shared//JavaIOTest\",\"Test01.txt\");

JAVA學習路徑35-InputStream使用例子

import java.io.FileInputStream; import java.io.FileNotFoundException; import java.io.IOException; public class IOtest01 {

Java學習路徑47-執行緒鎖synchronized

執行緒安全問題: 簡單來說,就是多個執行緒在操作同一個變數時引起的問題。

Java學習路徑54-使用UDP協議開發傳送、接收端

UDP協議,簡單的說就是,發信息。 不管對方有沒有收到。 傳送端: import java.net.*;

Java學習路徑56-TCP協議 傳送、接收

與UDP不同的是,TCP協議使用的是Socket,而不是DatagramSocket,這是要作區分的。

JAVA學習路徑64-補充-編寫一個會拋異常的方法

有一些方法,在呼叫的時候有可能會出錯,所以我們使用這些方法的時候會使用try catch。

HTML學習路徑1-網頁基本結構-標籤基本語法

第一章:下載一個自己喜歡的輕量化程式碼編輯器 我推薦初學者在一開始使用較為原始的開發環境,

HTML學習路徑2-設定文件型別、網頁編碼、檔案註釋

第一章:設定文件型別 我們通常在html檔案最前面寫一行: <!DOCTYPE html> 這玩意有啥用?

HTML學習路徑4-align對齊-標籤屬性

每個標籤都可以設定各種屬性,比如可以給一個段落標籤新增一個name的屬性:

轉載 [VS2008] [.NET 3.5] 如何解決 The imported project &amp;quot;C:\Windows\Microsoft.NET\Framework\v3.5\Microsoft.CompactFramework.CSharp.targets&amp;quot; was not found

重新安裝或者修復 NETCFv35PowerToys https://download.microsoft.com/download/f/a/c/fac1342d-044d-4d88-ae97-d278ef697064/NETCFv35PowerToys.msi

Error type 3 型別錯誤,Error: Activity class {} does not exist.Error while Launching activity解決方法

原文網址:https://blog.csdn.net/cherenbiao/article/details/50339537?utm_medium=distribute.pc_relevant.none-task-blog-BlogCommendFromMachineLearnPai2-1.nonecase&amp;depth_1-utm_source=distribute.pc_rel

系列CentOS 7.3 離線安裝(無網路環境)CI CD環境之sonarqube配置

目錄 系列CentOS 7.3 離線安裝(無網路環境)CI CD環境之gitlab runner 關於私有docker倉庫配置