1.Statement执行静态sql语句(“字符串”)
返回结果
2.!实际工作一般用PreparedStatement来进行sql语句的执行,因为sql注入的风险
3and4.SQl注入就是Statement没有检查我们输入sql语句,一些别有用心的可能写一些危害数据库语句,直接指向的话,数据库可能受到攻击
5.用PreparedStatement可以检查语句从而防止sql注入
SQL注入案例
计算没有输入对应的用户名密码也可以获得对应的信息
!!!,输入的和我们源程序进行了一个拼接
如图那样输入的话无论怎样
‘1’='1’那么就会获取对应的数据
获取对应的权限等
SQL注入实例
package yuan.hsp.JDBC;
import static org.junit.jupiter.api.Assertions.assertTimeoutPreemptively;
import java.io.FileInputStream;
import java.io.FileNotFoundException;
import java.io.IOException;
import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;
import java.util.Properties;
import java.util.Scanner;
@SuppressWarnings("all")
public class SQL注入 {
public static void main(String[] args) throws FileNotFoundException, IOException, ClassNotFoundException, SQLException {
Scanner scanner = new Scanner(System.in);
System.out.println("请输入管理员名");
String admin_name= scanner.nextLine();
System.out.println("请输入管理员密码");
String admin_password=scanner.nextLine();// 注意:想要出现SQL注入需要nextLine接收,不然的话接收到空格就停止了!
Properties properties = new Properties();
properties.load(new FileInputStream("src\\pra.properties"));
Class.forName(properties.getProperty("driver"));
String user = properties.getProperty("user");
String password = properties.getProperty("password");
String url = properties.getProperty("url");
//得到连接
Connection connection = DriverManager.getConnection(url, user, password);
System.out.println(connection);
//statement
Statement createStatement = connection.createStatement();
//组织sql
String sql ="select name,pwd from admin where name='"+admin_name+"' and pwd='"+admin_password+"'";
ResultSet executeQuery = createStatement.executeQuery(sql);
if (executeQuery.next()) {//查询到一条记录登陆就成功
System.out.println("登陆成功");
}
else {
System.out.println("登陆失败");
}
createStatement.close();
connection.close();
}
}
正常输入
根据连接特性来输入(SQL注入)
PreparedStatement
继承图
方法
2是Statement就有的
3的话Statement是execute我们这里是executeUpdate
1的话就是
从原来的输出到现在的用SETXXX方法
匹配问号具体看案列
好处
具体案例
package yuan.hsp.JDBC;
//演示PreparedStatement的基本操作
import java.io.FileInputStream;
import java.io.FileNotFoundException;
import java.io.IOException;
import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;
import java.util.Properties;
import java.util.Scanner;
import com.mysql.jdbc.PreparedStatement;
@SuppressWarnings("all")
public class PreparedStatement解决SQL注入 {
public static void main(String[] args) throws FileNotFoundException, IOException, ClassNotFoundException, SQLException {
Scanner scanner = new Scanner(System.in);
System.out.println("请输入管理员名");
String admin_name= scanner.nextLine();
System.out.println("请输入管理员密码");
String admin_password=scanner.nextLine();// 注意:想要出现SQL注入需要nextLine接收,不然的话接收到空格就停止了!
//1.正常的配置文件读写
Properties properties = new Properties();
properties.load(new FileInputStream("src\\pra.properties"));
Class.forName(properties.getProperty("driver"));
String user = properties.getProperty("user");
String password = properties.getProperty("password");
String url = properties.getProperty("url");
//2.得到连接
Connection connection = DriverManager.getConnection(url, user, password);
System.out.println(connection);
//和Statement不同,这个要先组织SQL语句
//3.组织sql,?就相当于占位符
String sql ="select name,pwd from admin where name= ? and pwd= ?";
//4.得到PreparedStatement
java.sql.PreparedStatement prepareStatement =connection.prepareStatement(sql);
//5.给?赋值
prepareStatement.setString(1, admin_name);
prepareStatement.setString(2, admin_password);
//6.执行select语句
//注意:这里执行executeQuery参数就不要写了,上面已经关联了!!!写了
ResultSet executeQuery = prepareStatement.executeQuery();
if(executeQuery.next())
{
System.out.println("成功登陆");
}
else {
System.out.println("失败登陆");
}
connection.close();
}
}
注意:preparedStatement运行excute…()不要填参数,预处理已经和我们组织的sql语句绑定了!
正常输入
SQL注入形式输入
可以看到登陆失败
那么它是怎么防止sql注入的呢?
可以观察一下
select name,pwd from admin
where name='1' or 'and pwd=' or '1'='1';
如果是原来的Statement替换完后就是这样的
不说别的就这个单引号和双引号和加号你都搞不清
新的的话
select name,pwd from admin where name= 1' or and pwd= or '1'='1
就没有单引号匹配
可能不是这样控制的?-反正可以控制
预处理DML(excuteUpdate())
和之前差不多
这里就放张图片
excuteUpdate()也不需要参数
增添
修改
删除-只用名字筛选即可
