[步驟閱讀四]SQL注入

按照以上方式開發(fā)，確實(shí)已經(jīng)完成了基本的用戶登錄業(yè)務(wù)需求，但是這么做的話可以會出現(xiàn)一個比較嚴(yán)重的問題，那就是容易被SQL注入。所謂SQL注入，就是在需要用戶填寫信息，并且這些信息會生成數(shù)據(jù)庫查詢字符串的場景中，惡意輸入破壞程序原有業(yè)務(wù)邏輯的數(shù)據(jù)庫查詢字符，最終達(dá)到欺騙程序執(zhí)行惡意的SQL命令。

小博老師現(xiàn)在就為大家演示一下，在剛才開發(fā)的登錄程序中，通過SQL注入的方式來進(jìn)行登錄：

可見，我們不需要知道數(shù)據(jù)庫中用戶表的信息，就可以進(jìn)行成功登錄。這個問題的根本原因在于，我們判斷用戶是否登錄成功，是通過將用戶填寫的賬戶名稱和密碼拼接到查詢語句：

select * from users where uname=‘賬戶名稱’ and upwd=’賬戶密碼’;

中執(zhí)行，并且判斷查詢的結(jié)果集中是否有滿足條件的記錄。按照上圖所示，小博老師不填寫賬戶名稱，而在密碼中填寫?‘?or?‘1’=’1，那么拼接后的查詢語句就變成了：

select * from users where uname=’’?and upwd=’’?or?‘1’?=?‘1’;

這樣一來，or關(guān)鍵將where復(fù)合條件變?yōu)榱恕盎騽t”的關(guān)系，后面跟上了一個恒成立的1=1，那么這個where條件就失去了意義，永遠(yuǎn)為true。這樣一來，查詢語句就變成了查詢數(shù)據(jù)表中的所有記錄，結(jié)果集中當(dāng)然就會一直有數(shù)據(jù)存在，邏輯判斷登錄成功。

[步驟閱讀五]參數(shù)化查詢防止SQL注入

為了防止這種被SQL注入的漏洞存在，我們經(jīng)常可以使用參數(shù)化查詢的方式來實(shí)現(xiàn)程序的業(yè)務(wù)邏輯，接下來小博老師就為大家演示參數(shù)化查詢的使用方式，我們修改原有代碼如下：

// 加載JDBC驅(qū)動

Driver?driver?=?new?Driver();

// 創(chuàng)建數(shù)據(jù)庫連接對象

Connection?conn?= DriverManager.getConnection( "jdbc:mysql://127.0.0.1:3306/bwf?useUnicode=true&characterEncoding=utf8",

"root","");

// 創(chuàng)建數(shù)據(jù)庫預(yù)加載申明對象

PreparedStatement?stmt?=?conn.prepareStatement("select * from users where uname = ? and upwd = ? ");

// 為預(yù)加載申明對象 添加 參數(shù)(用戶填寫的賬戶名稱和密碼)

stmt.setString(1,?txtUname.getText());

stmt.setString(2,?txtUpwd.getText());

// 向數(shù)據(jù)庫發(fā)送查詢語句，查詢滿足條件的用戶記錄

ResultSet?rs?=?stmt.executeQuery();

// 判斷查詢的結(jié)果集中是否有滿足條件的記錄

if(rs.next()){

// 有滿足條件的記錄，登錄成功

JOptionPane.showMessageDialog(getContentPane(),?"登錄成功！");

}else{

// 沒有滿足條件的記錄，登錄失敗

JOptionPane.showMessageDialog(getContentPane(),?"賬戶名稱或密碼錯誤！請重新填寫！");

}

rs.close();

conn.close();

這樣一來，我們就可以防止被SQL注入的危險了：

總結(jié)

以上是生活随笔為你收集整理的java参数化查询_小博老师解析Java核心技术 ——JDBC参数化查询（二）的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。