026_jdbc-mysql-PrepareStatement解决sql注入
生活随笔
收集整理的這篇文章主要介紹了
026_jdbc-mysql-PrepareStatement解决sql注入
小編覺得挺不錯的,現在分享給大家,幫大家做個參考.
1. 新建一個JDBCPrepareStatement工程, 使用我們之前的JDBCUtil.java和jdbc.properties屬性文件
2. PreparedStatement對象相比較以前的Statement對象, 預先處理給定的sql語句, 對其執行語法檢查。 在sql語句里面使用?占位符來替代后續要傳遞進來的變量。后面不管傳遞什么進來, 都把它看成是字符串, 不會產生任何的關鍵字。
3. 使用PreparedStatement對象編寫程序
4. 輸入任意用戶名和密碼, 并且sql注入, 登錄失敗
5. 使用正確的用戶名和密碼, 登錄成功
6. 使用PreparedStatement對象進行插入操作
7. 使用PreparedStatement對象進行更新操作
8. 使用PreparedStatement對象進行刪除操作
9. 使用PreparedStatement對象查找所有用戶
10. UserDao.java接口代碼
package com.lywgames.dao;public interface UserDao {/*** 用戶登錄方法* @param username* @param password*/public void login(String username, String password);/*** 注冊新用戶* @param username* @param password* @param registertime*/public void register(String username, String password, long registertime);/*** 修改密碼* @param username* @param password*/public void modifyPassword(String username, String password);/*** 刪除用戶* @param username*/public void deleteUser(String username);/*** 查找所有用戶*/public void findAll(); }11. UserDaoImpl.java完整代碼
package com.lywgames.dao.impl;import java.sql.Connection; import java.sql.PreparedStatement; import java.sql.ResultSet; import java.sql.SQLException; import java.sql.Timestamp; import com.lywgames.dao.UserDao; import com.lywgames.util.JDBCUtil;public class UserDaoImpl implements UserDao {public void login(String username, String password) {Connection conn = null; // Statement st = null;PreparedStatement ps = null;ResultSet rs = null;try {// 1.獲取連接對象conn = JDBCUtil.getConn(); /*** // 2.創建statement, 跟數據庫打交道, 一定需要這個對象* st = conn.createStatement();* // 3.執行查詢sql, 獲取ResultSet結果集* rs = st.executeQuery("select * from user where username='"+ username +"' and password='"+ password +"'");**/// 2.PreparedStatement對象相比較以前的Statement對象, 預先處理給定的sql語句, 對其執行語法檢查。 在sql語句里面使用?占位符來替代后續要傳遞進來的變量。// 后面不管傳遞什么進來, 都把它看成是字符串, 不會產生任何的關鍵字。ps = conn.prepareStatement("select * from user where username=?and password=?");// 給占位符賦值, 位置從1開始ps.setString(1, username);ps.setString(2, password);// 3.執行查詢rs = ps.executeQuery();// 4.使用ResultSet結果集遍歷if(rs.next()){System.out.println("登錄成功");}else{System.out.println("登錄失敗");}} catch (SQLException e) {e.printStackTrace();} finally {// 5.釋放資源JDBCUtil.release(conn, ps, rs);}}@Overridepublic void register(String username, String password, long registertime) {Connection conn = null; PreparedStatement ps = null;try {// 1.獲取連接對象conn = JDBCUtil.getConn(); // 2.PreparedStatement對象相比較以前的Statement對象, 預先處理給定的sql語句, 對其執行語法檢查。 在sql語句里面使用?占位符來替代后續要傳遞進來的變量。// 后面不管傳遞什么進來, 都把它看成是字符串, 不會產生任何的關鍵字。ps = conn.prepareStatement("insert into user (username,password,registertime) values (?,?,?)");// 給占位符賦值, 位置從1開始ps.setString(1, username);ps.setString(2, password);ps.setTimestamp(3, new Timestamp(registertime));// 3.執行更新ps.executeUpdate();} catch (SQLException e) {e.printStackTrace();} finally {// 4.釋放資源JDBCUtil.release(conn, ps);}}@Overridepublic void modifyPassword(String username, String password) {Connection conn = null; PreparedStatement ps = null;try {// 1.獲取連接對象conn = JDBCUtil.getConn(); // 2.PreparedStatement對象相比較以前的Statement對象, 預先處理給定的sql語句, 對其執行語法檢查。 在sql語句里面使用?占位符來替代后續要傳遞進來的變量。// 后面不管傳遞什么進來, 都把它看成是字符串, 不會產生任何的關鍵字。ps = conn.prepareStatement("update user set password=? where username=?");// 給占位符賦值, 位置從1開始ps.setString(1, password);ps.setString(2, username);// 3.執行更新ps.executeUpdate();} catch (SQLException e) {e.printStackTrace();} finally {// 4.釋放資源JDBCUtil.release(conn, ps);}}@Overridepublic void deleteUser(String username) {Connection conn = null; PreparedStatement ps = null;try {// 1.獲取連接對象conn = JDBCUtil.getConn(); // 2.PreparedStatement對象相比較以前的Statement對象, 預先處理給定的sql語句, 對其執行語法檢查。 在sql語句里面使用?占位符來替代后續要傳遞進來的變量。// 后面不管傳遞什么進來, 都把它看成是字符串, 不會產生任何的關鍵字。ps = conn.prepareStatement("delete from user where username=?");// 給占位符賦值, 位置從1開始ps.setString(1, username);// 3.執行更新ps.executeUpdate();} catch (SQLException e) {e.printStackTrace();} finally {// 4.釋放資源JDBCUtil.release(conn, ps);}}@Overridepublic void findAll() {Connection conn = null; PreparedStatement ps = null;ResultSet rs = null;try {// 1.獲取連接對象conn = JDBCUtil.getConn(); // 2.PreparedStatement對象相比較以前的Statement對象, 預先處理給定的sql語句, 對其執行語法檢查。 在sql語句里面使用?占位符來替代后續要傳遞進來的變量。// 后面不管傳遞什么進來, 都把它看成是字符串, 不會產生任何的關鍵字。ps = conn.prepareStatement("select * from user");// 3.執行查詢rs = ps.executeQuery();// 4.使用ResultSet結果集遍歷while(rs.next()){System.out.println(rs.getInt(1) + " " + rs.getString(2) + " " + rs.getString(3) + " " + rs.getTimestamp(4));}} catch (SQLException e) {e.printStackTrace();} finally {// 5.釋放資源JDBCUtil.release(conn, ps, rs);}} }?
總結
以上是生活随笔為你收集整理的026_jdbc-mysql-PrepareStatement解决sql注入的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 025_jdbc-mysql-State
- 下一篇: 027_jdbc-mysql几个常用的日