溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
本篇內容介紹了“Java SQL注入的原理和用法”的有關知識,在實際案例的操作過程中,不少人都會遇到這樣的困境,接下來就讓小編帶領大家學習一下如何處理這些情況吧!希望大家仔細閱讀,能夠學有所成!
一,SQL注入
–1,需求
–2,測試
–3,總結
二,練習PreparedStatement
–1,需求
–2,測試
–3,制作工具類
三,HTML
–1,概述
–2,入門案例
–3,使用工具
–4,測試
四,測試常用標簽
–1,利用jdbc查詢user的信息,如果信息正確就登錄,否則提示錯誤
–1,創建user表,指定字段id name password,并添加數據
–2,通過jdbc查詢user表的數據,根據用戶名和密碼查
package cn.tedu.test;
import java.sql.*;
import java.util.Scanner;
//測試 用戶的查詢
/*
create table user(
id int primary key auto_increment,
name varchar(20),
password varchar(20)
)
insert into user values(null,'jack','123');
insert into user values(null,'rose','123');
*/
public class Test3 {
public static void main(String[] args) throws Exception {
// method(); //模擬登錄
// method2(); //暴露問題
method3(); //解決SQL攻擊問題
}
private static void method3() throws Exception {
//1,注冊驅動
Class.forName("com.mysql.jdbc.Driver");
//2,獲取連接
String url ="jdbc:mysql:///cgb2105?characterEncoding=utf8" ;//簡寫形式
Connection conn = DriverManager.getConnection(url, "root", "root");
//3,獲取傳輸器
// Statement st = conn.createStatement();
// String sql = "select * from user where name='"+a+"' and password='"+b+"'";
String a = new Scanner(System.in).nextLine();//用戶名
String b = new Scanner(System.in).nextLine();//密碼
//SQL骨架,?叫占位符
String sql = "select * from user where name=? and password=?";
//PreparedStatement把SQL骨架和參數分開發送給數據的
//解決了SQL攻擊問題:jack'# 只是把#當做普通文本而不是注釋符號
PreparedStatement ps = conn.prepareStatement(sql);
//給SQL設置參數--指定要給哪個問號賦啥值
ps.setString(1,a);
ps.setString(2,b);
//4,執行SQL,根據用戶名和密碼查庫
ResultSet rs = ps.executeQuery();
//5,解析結果集
if( rs.next() ){ //如果查到了數據next()返回true,就可以登錄
System.out.println("登錄成功~~");
}else{
System.out.println("登錄失敗!");
}
//6,釋放資源
rs.close();//釋放結果集
ps.close();//釋放傳輸器
conn.close();//釋放連接
}
private static void method2() throws Exception {
//1,注冊驅動
Class.forName("com.mysql.jdbc.Driver");
//2,獲取連接
String url ="jdbc:mysql:///cgb2105?characterEncoding=utf8" ;//簡寫形式
Connection conn = DriverManager.getConnection(url, "root", "root");
//3,獲取傳輸器
Statement st = conn.createStatement();
//4,執行SQL,根據用戶名和密碼查庫
String a = new Scanner(System.in).nextLine();//用戶名
String b = new Scanner(System.in).nextLine();//密碼
//SQl攻擊/SQL注入問題:本質是因為用戶輸入的特殊符號造成SQL語義發生了改變。jack'#
String sql = "select * from user where name='"+a+"' and password='"+b+"'";
ResultSet rs = st.executeQuery(sql);
//5,解析結果集
if( rs.next() ){ //如果查到了數據next()返回true,就可以登錄
System.out.println("登錄成功~~");
}else{
System.out.println("登錄失敗!");
}
//6,釋放資源
rs.close();//釋放結果集
st.close();//釋放傳輸器
conn.close();//釋放連接
}
//模擬登錄:根據用戶名和密碼查詢user表
private static void method() throws Exception {
//1,注冊驅動
Class.forName("com.mysql.jdbc.Driver");
//2,獲取連接
//String url ="jdbc:mysql://localhost:3306/cgb2105?characterEncoding=utf8" ;
String url ="jdbc:mysql:///cgb2105?characterEncoding=utf8" ;//簡寫形式
Connection conn = DriverManager.getConnection(url, "root", "root");
//3,獲取傳輸器
Statement st = conn.createStatement();
//4,執行SQL,根據用戶名和密碼查庫
String sql = "select * from user where name='jack' and password='123'";
ResultSet rs = st.executeQuery(sql);
//5,解析結果集
if( rs.next() ){ //如果查到了數據next()返回true,就可以登錄
System.out.println("登錄成功~~");
}else{
System.out.println("登錄失敗!");
}
//6,釋放資源
rs.close();//釋放結果集
st.close();//釋放傳輸器
conn.close();//釋放連接
}
}SQL 攻擊發生的現象是:用戶輸入了一些SQL中的特殊字符,#表示注釋
Statement工具:無法避免SQL注入問題,而且SQL復雜需要自己拼接參數,低效
PreparedStatement工具:避免了SQL攻擊的問題,SQL簡單,高效
–SQL簡單,先把SQL骨架發給數據庫,再把參數發給數據庫。用?代替參數的位置叫占位符
刪除id=1的用戶信息
package cn.tedu.test;
import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.SQLException;
public class Test4 {
public static void main(String[] args) {
Connection conn = null;
PreparedStatement ps= null;
try{
//調用工具類,,,獲取連接
conn = JDBCUtils.getConnection();
//3,獲取傳輸器 ,利用高級的工具類執行SQL
//先執行SQL骨架
String sql = "delete from user where id=?";
ps = conn.prepareStatement(sql);
//給第一個問號,設置值是1
ps.setInt(1,1);
//4,執行SQL
int rows = ps.executeUpdate();
System.out.println("刪除成功");
}catch (Exception e){
System.out.println("執行失敗...");
}finally{ //最終一定會被執行的
//5,釋放資源
JDBCUtils.close(null,ps,conn);
}
}
}package cn.tedu.test;
import java.sql.*;
//提取jdbc重復的代碼,提高復用性
public class JDBCUtils {
/**
* 釋放資源
* @param rs 結果集
* @param ps 傳輸器
* @param conn 數據庫的連接
*/
final static public void close(ResultSet rs, PreparedStatement ps, Connection conn){
if(rs != null){//防止空指針異常
try {
rs.close();
} catch (SQLException throwables) {
System.out.println("執行失敗...");//項目上線后的
//throwables.printStackTrace();//程序調試階段
}
}
if(ps != null){//防止空指針異常
try {
ps.close();
} catch (SQLException throwables) {
throwables.printStackTrace();
}
}
if(conn != null) {//防止空指針異常
try {
conn.close();
} catch (SQLException throwables) {
throwables.printStackTrace();
}
}
}
/**
* 獲取和數據庫的連接
* */
static public Connection getConnection() throws Exception {
//1,注冊驅動
Class.forName("com.mysql.jdbc.Driver");
//2,獲取連接
String url="jdbc:mysql:///cgb2105?characterEncoding=utf8";
Connection conn = DriverManager.getConnection(url,"root","root");
return conn;
}
}是超文本標記語言,是指可以在網頁中加入比文本更豐富的內容。標記有很多,要寫開始標記和結果標記 <html></html>
html> <head> <title>hello html~</title> </head> <body> test...... </body> </html>
<!DOCTYPE html> <!-- 聲明這是一個HTML文件 --> <html> <!-- HTML根標簽--> <head> <!-- 頭部信息,設置網頁的標題,編碼。。。--> <meta charset="utf-8"> <!-- 設置網頁的編碼 --> <title> html測試 </title> <!-- 設置網頁的標題 --> </head> <body> <!-- 體信息,設置網頁中要顯示的內容 --> <!-- 這是HTML的注釋,Hbuilder復制粘貼一行ctrl c/ctrl v ,剪切ctrl x,調整位置ctrl ↑↓ --> 你好 html~ 你好html~ <br/> <!-- br可以在網頁中實現換行--> 你 好html~ <!-- 可以在網頁中實現空格--> 你好html~ 你好html~ 你好html~ </body> </html>
<!DOCTYPE html> <html> <head> <meta charset="utf-8"> <title>常用標簽</title> </head> <body> <!-- 1. 標題標簽 h2 h3 h4...h7 --> <h2> 1級標簽 </h2> <h3> 2級標簽 </h3> <h4> 3級標簽 </h4> <h5> 4級標簽 </h5> <h6> 5級標簽 </h6> <h7> 6級標簽 </h7> <!-- 2. 列表標簽, ul+li無序列表 ol+li有序列表 --> <ol> <li> 全國新冠疫苗接種劑次超13億 </li> <li> 劉伯明神七出艙曾遇險情 </li> <li> 中國成功發射風云三號05星 </li> <li> 江蘇女生中考757分8門滿分 </li> </ol> <!-- 3. 圖片標簽,在網頁中插入一個圖片 src屬性用來指定圖片的路徑 width屬性用來指定圖片的寬度,單位是像素px height屬性用來指定圖片的高度,單位是像素px --> <img src="a/2.jpg" width="200px" height="500px"/> <img src="2.jpg" width="200px" height="500px"/> <img src="2.jpg" width="200px" height="500px"/> <!-- 4. 超鏈接標簽 href屬性用來指定點擊時要跳轉的路徑 target屬性用來指定是否打開新窗口 --> <a href="http://www.baidu.com" target="_blank">點我</a> <!-- 錨定,返回頂部--> <a name="top">北京市富婆通訊錄</a> <h2>18518518515</h2> <h2>123</h2> <h2>123</h2> <h2>123</h2> <h2>123</h2> <h2>123</h2> <h2>123</h2> <h2>123</h2> <h2>123</h2> <h2>123</h2> <h2>123</h2> <!-- href指定要回到的位置,通過#獲取上面name的值 --> <a href="#top">點我,回到頂部</a> <!-- 5. input標簽 --> <br /> <input type="text" /> <!-- 普通文本類型--> <input type="number" /> <!-- 數字類型--> <input type="password" /> <!-- 密碼,自動加密--> <input type="date" /> <!-- 年月日--> <input type="week" /> <!-- 周--> <input type="radio" />男 <!-- 單選框--> <input type="checkbox" />楊冪 <!-- 多選框--> <input type="button" value="點我"/> <!-- 按鈕 --> <input type="submit" /> <!-- 提交按鈕 --> <br /><br /><br /><br /><br /><br /> </body> </html>
“Java SQL注入的原理和用法”的內容就介紹到這里了,感謝大家的閱讀。如果想了解更多行業相關的知識可以關注億速云網站,小編將為大家輸出更多高質量的實用文章!
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
