每日日报

sql注入与预防

如果使用Statement进行查询

 sql是接收输入框输入 进行拼装的输入框中 如果输入了sql语句 比如 " "zhangsan1asdfadsf 'or' 1==1","1==1 'or' 12aasdfadsf3""

实际上 这不是一个普通的字符串 而是一个sql语句 这个sql语句 会改变 拼装后的sql的判断条件的逻辑 从而返回错误的结果

这种现象就叫SQL注入

 

预防sql注入的解决方案

不要使用statement执行直接拼装的sql

要使用PreparedStatement 这个类会把跟sql相关的字符串 在组拼sql的时候做转义从而预防sql注入

1. public class JDBCLogin {
2. public static void main(String[] args) {
3. // boolean login = login("zhangsan","123");
4. boolean login = login("admin 'or' 1==1","1==1 'or' 12aasdfadsf3");
5. if(login){
6. System.out.println("登录成功");
7. }else{
8. System.out.println("登录失败");
9. }
11. }
13. public static boolean login(String username,String password){
14. Connection conn = JDBC_Utils.getConn();
15. try {
16. //Statement statement = conn.createStatement();
17. String sql1 = "select * from user where username = ? and password = ?";
18. PreparedStatement prepareStatement = conn.prepareStatement(sql1);
19. prepareStatement.setString(1, username);
20. prepareStatement.setString(2, password);
21. // String sql = "select * from user where username = '"+username+"' and password = '"+password+"'";
22. // ResultSet resultSet = statement.executeQuery(sql);
23. ResultSet resultSet = prepareStatement.executeQuery();
24. if(resultSet.next()){
25. return true;
26. }else{
27. return false;
28. }
29. } catch (Exception e) {
30. e.printStackTrace();
31. return false;
32. }
34. }
35. }

select * from user where username = 'zhangsan1asdfadsf 'or' 1==1' and password = '1==1 'or' 12aasdfadsf3'