sql注入与防止sql注入

其他 2018-11-11 10:00:57 阅读次数: 0
版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/qq_32965187/article/details/83181322

数据库中的数据

sql代码

package com.zjw.jdbc2;

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;
import java.util.Scanner;

/*
 * sql注入
 */
public class SqlInject
{
	public static void main(String[] args)
	{
		try
		{
			//加载驱动
			Class.forName("com.mysql.cj.jdbc.Driver");
			String url = "jdbc:mysql://localhost:3306/aaa?useSSL=false&serverTimezone=UTC";
			String user = "root" ;
			String password = "123456";
			
			//获取连接
			Connection con = DriverManager.getConnection(url, user, password);
			Statement stat = con.createStatement();
			
			//输入用户名和密码
			@SuppressWarnings("resource")
			Scanner sc = new Scanner(System.in);
			String inName = sc.nextLine();
			String inPass = sc.nextLine();
			//查询数据库
			String sql = "SELECT * FROM category WHERE sid = '"+inName+"' AND sname = '"+inPass+"';";
			System.out.println(sql);
			//结果处理
			ResultSet res = stat.executeQuery(sql);
			while(res.next())
			{
				String sid = res.getString("sid");
				String sname = res.getString("sname");
				System.out.println(sid+"  "+sname);
			}
			//释放资源
			res.close();
			stat.close();
			con.close();
		} catch (ClassNotFoundException | SQLException e)
		{
			e.printStackTrace();
		}
		
	}
}

结果:

 防止sql注入代码:

package com.zjw.jdbc2;

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.util.Scanner;

/*
 * 防止sql注入
 */
public class SqlInject2
{
	public static void main(String[] args)
	{
		try
		{
			//加载驱动
			Class.forName("com.mysql.cj.jdbc.Driver");
			String url = "jdbc:mysql://localhost:3306/aaa?useSSL=false&serverTimezone=UTC";
			String user = "root" ;
			String password = "123456";
			
			//获取连接
			Connection con = DriverManager.getConnection(url, user, password);
			
			//输入用户名和密码
			@SuppressWarnings("resource")
			Scanner sc = new Scanner(System.in);
			String inName = sc.nextLine();
			String inPass = sc.nextLine();
			
			//查询数据库
			String sql = "SELECT * FROM category WHERE sid = ? AND sname = ? ;";
			PreparedStatement pst = con.prepareStatement(sql);//PreparedStatement为Satetment的子接口
			pst.setString(1, inName);//设置参数
			pst.setString(2, inPass);
			
			//结果处理
			ResultSet res = pst.executeQuery();//调用方法不用加sql
			while(res.next())
			{
				String sid = res.getString("sid");
				String sname = res.getString("sname");
				System.out.println(sid+"  "+sname);
			}
			//释放资源
			res.close();
			pst.close();
			con.close();
		} catch (ClassNotFoundException | SQLException e)
		{
			e.printStackTrace();
		}
		
	}
}

结果:

正常输入数据

异常输入数据

猜你喜欢

转载自blog.csdn.net/qq_32965187/article/details/83181322
今日推荐
中国码农的“35岁魔咒”
蘭雅 CorelDRAW 插件 2024.5.1 国际劳动节版,免费下载
Arc Browser for Windows 1.0 正式 GA
90后程序员开发视频搬运软件、不到一年获利超 700 万,结局很刑!
《美国对全球网络空间安全与发展的威胁和破坏》报告发布
周排行
[编程题]学英语
[codeforces 1288A] Deadline 约数+模
Python的web开发
Docker在Centos 7上的部署
python编码
解决Ubuntu16.04 fatal error: json/json.h: No such file or directory
mysql并发插入
rest接口如何适应jsonp的方案
linux 终端上网设置
高数——等号两边同时求导、积分的解释
每日归档
更多
2024-05-04(7)
2024-05-03(19)
2024-05-02(0)
2024-05-01(4)
2024-04-30(1)
2024-04-29(40)
2024-04-28(0)
2024-04-27(56)
2024-04-26(39)
2024-04-25(22)

代码天地 © 2018 codetd.com

境外服务器   最新电视剧2022