JDBC-Statement

news2024/11/24 4:56:51

在这里插入图片描述
1.Statement执行静态sql语句(“字符串”)
返回结果
2.!实际工作一般用PreparedStatement来进行sql语句的执行,因为sql注入的风险
3and4.SQl注入就是Statement没有检查我们输入sql语句,一些别有用心的可能写一些危害数据库语句,直接指向的话,数据库可能受到攻击
5.用PreparedStatement可以检查语句从而防止sql注入
SQL注入案例
计算没有输入对应的用户名密码也可以获得对应的信息
!!!,输入的和我们源程序进行了一个拼接

在这里插入图片描述
如图那样输入的话无论怎样
‘1’='1’那么就会获取对应的数据
获取对应的权限等

SQL注入实例

package yuan.hsp.JDBC;

import static org.junit.jupiter.api.Assertions.assertTimeoutPreemptively;

import java.io.FileInputStream;
import java.io.FileNotFoundException;
import java.io.IOException;
import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;
import java.util.Properties;
import java.util.Scanner;
@SuppressWarnings("all")
public class SQL注入 {
public static void main(String[] args) throws FileNotFoundException, IOException, ClassNotFoundException, SQLException {
	Scanner scanner = new Scanner(System.in);
	System.out.println("请输入管理员名");
	String admin_name= scanner.nextLine();
	System.out.println("请输入管理员密码");
	String admin_password=scanner.nextLine();// 注意:想要出现SQL注入需要nextLine接收,不然的话接收到空格就停止了!
	Properties properties = new Properties();
	properties.load(new FileInputStream("src\\pra.properties"));
	Class.forName(properties.getProperty("driver"));
	String user = properties.getProperty("user");
	String password = properties.getProperty("password");
	String url = properties.getProperty("url");
	//得到连接
	Connection connection = DriverManager.getConnection(url, user, password);
	System.out.println(connection);
	//statement
	Statement createStatement = connection.createStatement();
	//组织sql
	String sql ="select name,pwd from admin where name='"+admin_name+"' and pwd='"+admin_password+"'";
	ResultSet executeQuery = createStatement.executeQuery(sql);
	if (executeQuery.next()) {//查询到一条记录登陆就成功
		System.out.println("登陆成功");
	}
	else {
		System.out.println("登陆失败");
	}
	createStatement.close();
	connection.close();
}
}

正常输入
在这里插入图片描述
根据连接特性来输入(SQL注入)
在这里插入图片描述

PreparedStatement

继承图
在这里插入图片描述
方法
在这里插入图片描述
2是Statement就有的
3的话Statement是execute我们这里是executeUpdate
1的话就是
从原来的输出到现在的用SETXXX方法
匹配问号具体看案列

好处

在这里插入图片描述

具体案例

package yuan.hsp.JDBC;
//演示PreparedStatement的基本操作
import java.io.FileInputStream;
import java.io.FileNotFoundException;
import java.io.IOException;
import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;
import java.util.Properties;
import java.util.Scanner;

import com.mysql.jdbc.PreparedStatement;
@SuppressWarnings("all")
public class PreparedStatement解决SQL注入 {
	public static void main(String[] args) throws FileNotFoundException, IOException, ClassNotFoundException, SQLException {
		Scanner scanner = new Scanner(System.in);
		System.out.println("请输入管理员名");
		String admin_name= scanner.nextLine();
		System.out.println("请输入管理员密码");
		String admin_password=scanner.nextLine();// 注意:想要出现SQL注入需要nextLine接收,不然的话接收到空格就停止了!
		//1.正常的配置文件读写
		Properties properties = new Properties();
		properties.load(new FileInputStream("src\\pra.properties"));
		Class.forName(properties.getProperty("driver"));
		String user = properties.getProperty("user");
		String password = properties.getProperty("password");
		String url = properties.getProperty("url");
		//2.得到连接
		Connection connection = DriverManager.getConnection(url, user, password);
		System.out.println(connection);
		//和Statement不同,这个要先组织SQL语句
		//3.组织sql,?就相当于占位符
		String sql ="select name,pwd from admin where name= ? and pwd= ?";
		//4.得到PreparedStatement
		java.sql.PreparedStatement prepareStatement =connection.prepareStatement(sql);
		//5.给?赋值
		prepareStatement.setString(1, admin_name);
		prepareStatement.setString(2, admin_password);
		//6.执行select语句
		//注意:这里执行executeQuery参数就不要写了,上面已经关联了!!!写了
		ResultSet executeQuery = prepareStatement.executeQuery();
		if(executeQuery.next())
		{
			System.out.println("成功登陆");
		}
		else {
			System.out.println("失败登陆");
		}
		connection.close();
	}
}

注意:preparedStatement运行excute…()不要填参数,预处理已经和我们组织的sql语句绑定了!

正常输入
在这里插入图片描述
SQL注入形式输入
在这里插入图片描述
可以看到登陆失败
那么它是怎么防止sql注入的呢?
可以观察一下

select name,pwd from admin 
where name='1' or 'and pwd=' or '1'='1';
如果是原来的Statement替换完后就是这样的
不说别的就这个单引号和双引号和加号你都搞不清
新的的话
select name,pwd from admin where name= 1' or and pwd= or '1'='1
就没有单引号匹配
可能不是这样控制的?-反正可以控制 

预处理DML(excuteUpdate())

和之前差不多
这里就放张图片
excuteUpdate()也不需要参数
增添
在这里插入图片描述
修改
在这里插入图片描述
删除-只用名字筛选即可
在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/185364.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

智能手表主控芯片盘点,智能手表GUI,智能手表市场

聚焦:无线连接芯片,市场,技术 祝大家新年快乐,开工大吉!趁寒假简单梳理了下智能手表应用,做个分享,不对的地方欢迎交流指正; 01 市场容量,分类及拓扑 2个数据供参考 一个…

C++ dll、lib 的定义以及引用,

最近在研究socket,发现socket程序要依赖ws2_32.dll,涉及到动态链接库,有点懵,上网恶补了一下链接库的知识,最后总结出这么一篇文章 链接库分为两种:动态链接库(dll) 和静态链接库(lib) 动态链接库 : 动态链…

【C++】C++11语法解析

🌈欢迎来到C专栏~~C11 (꒪ꇴ꒪(꒪ꇴ꒪ )🐣,我是Scort目前状态:大三非科班啃C中🌍博客主页:张小姐的猫~江湖背景快上车🚘,握好方向盘跟我有一起打天下嘞!送给自己的一句鸡汤&#x1f…

大数据分析案例-基于多元线性回归算法构建用户信用评分模型

🤵‍♂️ 个人主页:艾派森的个人主页 ✍🏻作者简介:Python学习者 🐋 希望大家多多支持,我们一起进步!😄 如果文章对你有帮助的话, 欢迎评论 💬点赞&#x1f4…

ue4c++日记9(指定区域生成角色)

目录 创建C类 头文件 代码文件 结果 创建C类 头文件 // Fill out your copyright notice in the Description page of Project Settings.#pragma once#include "CoreMinimal.h" #include "GameFramework/Actor.h" #include "ASPawnVolum.generated…

vSphere with Tanzu概念介绍

vSphere with Tanzu是在vSphere7.0及之后出现的新功能,它可以在虚拟化层创建一个Kubernetes 控制平面,并将vSphere 集群资源转化为Kubernetes集群资源,这样可以直接在ESXI主机上运行Kubernetes工作负载,创建Kubernetes集群并部署容…

测试环境频繁Full GC问题的解决思路

背景 上游调用方,反馈当前welink-front服务不可用; 临时解决办法 手动重启welink-front服务,重启之后观测到业务日志正常刷,说明该问题暂时得到了解决; 但没过多久,上游调用方的同学又找来了&#xff0…

C++ 继承

一. 概念 继承(inheritance)机制是面向对象程序设计使代码可以复用的最重要的手段,它允许程序员在保持原有类特性的基础上进行扩展,增加功能,这样产生新的类,称派生类。继承呈现了面向对程序设计的层次结构,体现了由…

IDEA开发 常用代码规范插件 常用辅助类插件

规范类 阿里巴巴规范 Alibaba Java Coding Guidelines 插件地址 阿里官方出的开源的代码规范插件 GitHub地址 配合阿里出的规范手册《码出高效 Java开发手册》食用效果更佳 不用购买哈!GitHub上开源的 码出高效:Java开发手册下载 静态代码检查 Sonar…

数学建模学习笔记(14)聚类模型

聚类模型K均值聚类算法和K均值聚类算法系统聚类算法(层次聚类)DBSCAN聚类算法聚类问题概述:把样本划分为由相似的对象组成的多个类的过程。 K均值聚类算法和K均值聚类算法 K均值聚类算法流程: 指定需要划分的簇的个数K。随机选…

【Redis | 黑马点评】商户查询缓存

文章目录什么是缓存?添加商户缓存缓存更新策略主动更新策略实现商铺查询的缓存与数据库双写一致缓存穿透问题的解决思路编码解决商品查询的缓存穿透问题缓存雪崩问题及解决思路缓存击穿问题及解决思路基于互斥锁的方式解决缓存击穿问题基于逻辑过期的方式解决缓存击…

初始网络编程

专栏简介: JavaEE从入门到进阶 题目来源: leetcode,牛客,剑指offer. 创作目标: 记录学习JavaEE学习历程 希望在提升自己的同时,帮助他人,,与大家一起共同进步,互相成长. 学历代表过去,能力代表现在,学习能力代表未来! 目录 1.网络发展史 1.1 独立模式 1.2 网络互联 1.3 局…

一文全解决 数据库连接报错Communications link failure,create connection SQLException

具体报错如下: 解决思路: 当时看到数据库报错Communications link failure我就想到应该是数据库连接不上的问题,具体想了以下几种情况 1.数据库未连接 1.1过期了,mysql里有一个wait_timeout的值需要大于数据库连接池的最大超时时…

新来测试用一手Postman实现UI自动化测试拿下了大厂面试官

看到这篇文章的标题,是不是有小伙伴会感到惊讶呢? Postman不是做接口测试的吗?为什么还能做UI自动化测试呢? 其实,只要你了解Selenium的运行原理,就可以理解为什么Postman也能实现UI自动化测试了。 Sele…

Lua 错误处理

Lua 错误处理 参考至菜鸟教程。 程序运行中错误处理是必要的,在我们进行文件操作,数据转移及web service 调用过程中都会出现不可预期的错误。如果不注重错误信息的处理,就会造成信息泄露,程序无法运行等情况。 任何程序语言中&am…

Linux 权限变更操作失误,执行了 chmod -Rf 777 / 如何急救

昨天手贱,执行命令的时候输错了,结果输入了以下命令: chmod -Rf 777 /可想而知,得到的回报惊人哈哈,我现在之所以还笑的出来,是因为折腾了半天已经修复了这个问题了。 先来复盘一下问题解决的过程吧 错误…

华为交换机、路由器设备怎样配置console登录密码

华为交换机路由器设备怎样配置console密码 在对路由器交换机等网络进行管理中,为了安全起见经常需要为设备配置登录密码,尤其是使用串口线直连设备时。 console线路密码认证有两种方式:1,只配置password(密码&#x…

iTOP-RK3568开发板学习笔记(1)编译+烧录系统

迅为 RK3568 开发板学习笔记 文章目录准备开发环境复制 Linux SDK编译 Buildroot烧录固件准备开发环境 将 ITOP-RK3568 资料包中的虚拟机开发环境解压到自己的电脑上, 扩展虚拟机系统的硬盘大小,越大越好( SDK 太大了,后面有提及…

【C++】特殊类设计

​🌠 作者:阿亮joy. 🎆专栏:《吃透西嘎嘎》 🎇 座右铭:每个优秀的人都有一段沉默的时光,那段时光是付出了很多努力却得不到结果的日子,我们把它叫做扎根 目录👉设计一个…

第九层(7):STL之list

文章目录前情回顾list概念优缺点构造函数赋值函数交换函数容器和大小操作插入操作删除操作单个数据访问反转操作排序下一座石碑🎉welcome🎉 ✒️博主介绍:一名大一的智能制造专业学生,在学习C/C的路上会越走越远,后面不…