JDBC MySQL ORM 实现登录功能(避免SQL注入)

news2024/12/30 3:31:24

目录

一、创建数据库表

 二、创建Users类

 三、登录类

四、存在的漏洞

        (1)SQL注入

        (2)分析

        (3)补救


一、创建数据库表

        

CREATE DATABASE jdbcdatabase;


CREATE TABLE IF NOT EXISTS `user`(
`uid` INT PRIMARY KEY AUTO_INCREMENT,
`username` VARCHAR(10) UNIQUE NOT NULL,
`password` VARCHAR(10) NOT NULL,
`phone` VARCHAR(11) 
);

INSERT INTO `user`(`uid`,`username`,`password`,`phone`) VALUES(1001,'zhangsan','123456','13112345678');

INSERT INTO `user`(`uid`,`username`,`password`,`phone`) VALUES(1002,'lisi','123456','13844445555');

 二、创建Users类

public class Users {
    // 存放从数据库取出的字段
    private int uid;
    private String username;
    private String password;
    private String phone;


    public Users() {
    }

    public Users(int uid, String username, String password, String phone) {
        this.uid = uid;
        this.username = username;
        this.password = password;
        this.phone = phone;
    }

    public Users(String username,String password){
        this.username = username;
        this.password = password;
    }

    /**
     * 获取
     * @return uid
     */
    public int getUid() {
        return uid;
    }

    /**
     * 设置
     * @param uid
     */
    public void setUid(int uid) {
        this.uid = uid;
    }

    /**
     * 获取
     * @return username
     */
    public String getUsername() {
        return username;
    }

    /**
     * 设置
     * @param username
     */
    public void setUsername(String username) {
        this.username = username;
    }

    /**
     * 获取
     * @return password
     */
    public String getPassword() {
        return password;
    }

    /**
     * 设置
     * @param password
     */
    public void setPassword(String password) {
        this.password = password;
    }

    /**
     * 获取
     * @return phone
     */
    public String getPhone() {
        return phone;
    }

    /**
     * 设置
     * @param phone
     */
    public void setPhone(String phone) {
        this.phone = phone;
    }

    public String toString() {
        return "Users{uid = " + uid + ", username = " + username + ", password = " + password + ", phone = " + phone + "}";
    }
}

 三、登录类

        (1)代码

                细节,流程都在注释里。

import java.sql.*;
import java.util.Scanner;

public class Login {
    public static void main(String[] args) {
        // 1.加载驱动
        try {
            Class.forName("com.mysql.jdbc.Driver");
        } catch (ClassNotFoundException e) {
            throw new RuntimeException(e);
        }

        // 2.准备所需数据
        String url = "jdbc:mysql://127.0.0.1:3306/jdbcdatabase";
        String user = "root";
        String password = "123456";
        // 2.1 提示用户输入
        Scanner scanner = new Scanner(System.in);
        System.out.println("请输入账号:");
        String un = scanner.nextLine();
        System.out.println("请输入密码:");
        String pw = scanner.nextLine();
        // 2.2 创建Users对象接受数据
        Users users = new Users(un, pw);
        // 2.3写入SQL语句
        String sql = "select password from user where username = '" + users.getUsername() + "'";

        try (
                // 3.获取连接对象
                Connection connection = DriverManager.getConnection(url, user, password);
                // 4.获取发送对象
                Statement statement = connection.createStatement()) {
            // 5.执行SQL
            ResultSet resultSet = statement.executeQuery(sql);
            // 6.判断是否存在该账号
            if (resultSet.next()){
                if (resultSet.getString(1).equals(pw)){
                    System.out.println("登录成功!");
                }else{
                    System.out.println("密码错误!");
                }
            }else {
                System.out.println("该账号不存在,请注册!");
            }
        } catch (SQLException e) {
            throw new RuntimeException(e);
        }

    }
}

        (2)运行结果图

 

 

四、存在的漏洞

        (1)SQL注入

                即,当输入账号时,特意将SQL关键字输入,找到其漏洞,进行非法登录,如

        当账号为     任意字母' or 1=1;#   ,密码为正确时,返回登录成功。

        (2)分析

                上述代码中的SQL语句为:

        "select password from user where username = '" + users.getUsername() + "'";

                当输入 f' or 1=1;#时,我们做一个替换,得到

        "select password from user where username = 'f' or 1=1;#'";

                解读为,从表user中查询password,过滤条件是当username为'f',或着 1=1,

        紧接着分号结束,#后面为注释则不执行,而1=1永远成立,所以查询结果返回所有密码

        当输入的密码正确时,就登录成功了。

        (3)补救

                使用prepareStatement()方法改写代码

import java.sql.*;
import java.util.Scanner;

public class Login {
    public static void main(String[] args) {
        // 1.加载驱动
        try {
            Class.forName("com.mysql.jdbc.Driver");
        } catch (ClassNotFoundException e) {
            throw new RuntimeException(e);
        }

        // 2.准备所需数据
        String url = "jdbc:mysql://127.0.0.1:3306/jdbcdatabase";
        String user = "root";
        String password = "123456";
        // 2.1 提示用户输入
        Scanner scanner = new Scanner(System.in);
        System.out.println("请输入账号:");
        String un = scanner.nextLine();
        System.out.println("请输入密码:");
        String pw = scanner.nextLine();
        // 2.2 创建Users对象接受数据
        Users users = new Users(un, pw);
        // 2.3写入SQL语句 避免SQL注入 此处使用?占位符
        String sql = "select password from user where username = ?";

        try (
                // 3.获取连接对象
                Connection connection = DriverManager.getConnection(url, user, password);
                // 4.获取发送对象
                PreparedStatement preparedStatement = connection.prepareStatement(sql)) {
            // 5.给占位符赋值
            preparedStatement.setString(1,users.getUsername());
            // 5.执行SQL
            ResultSet resultSet = preparedStatement.executeQuery();
            // 6.判断是否存在该账号
            if (resultSet.next()){
                if (resultSet.getString(1).equals(pw)){
                    System.out.println("登录成功!");
                }else{
                    System.out.println("密码错误!");
                }
            }else {
                System.out.println("该账号不存在,请注册!");
            }
        } catch (SQLException e) {
            throw new RuntimeException(e);
        }

    }
}

        运行结果:

 

 

 

 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/411266.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

windows 配置 libxml2

1、下载需要的包 1)libconv LibIconv for Windows 2) libxml2 Releases GNOME / libxml2 GitLab 2、配置文件 将 libxml2 的包解压到一个目录,并在该目录下创建 include 和 lib 目录 将如下的 iconv.h 复制到新建的 include 目录 路径&#xff…

013 - C++引用

本期我们要讲的是 C 中的引用。 上期我们讨论了指针,如果你没有看过那期内容,你一定要回去看看,因为引用实际上只是指针的扩展,你至少需要在基本层面上理解指针是如何工作的,然后才能继续学习本期的内容,本…

UI Toolkit(1)

UI ToolkitUI Toolkit界面画布设置背景制作UI布局UI Toolkit界面 在Unity 2021LTS版本之后UI Toolkit也被内置在Unity中,Unity有意的想让UI Toolkit 成为UI的主要搭建方式,当然与UGUI相比还是有一定的差别。他们各有有点,这次我们就开始介绍…

【Homebrew】MacBook的第二个AppStore

英文官网:Homebrew — The Missing Package Manager for macOS (or Linux) 中文官网:macOS(或 Linux)缺失的软件包的管理器 — Homebrew 1 简介 Homebrew 由开发者 Max Howell 开发,并基于 BSD 开源,是一…

基于K-最近邻算法构建红酒分类模型

基于K-最近邻算法构建红酒分类模型 描述 Wine红酒数据集是机器学习中一个经典的分类数据集,它是意大利同一地区种植的葡萄酒化学分析的结果,这些葡萄酒来自三个不同的品种。数据集中含有178个样本,分别属于三个已知品种,每个样本…

4.10-4.11学习总结

目录 MySql 关系型库数据 mysql启动方法 SQL通用语法 查询表 创建表 Mysql数据类型 表操作-修改 MySQL图形化界面 DCL 函数 约束 JDBC MySql 关系型库数据 建立在关系模型基础上,由多张相互连接的二维表组成的数据库 特点: 使用表存储数据,格式…

【C++】哈希(位图,布隆过滤器)

今天的内容是哈希的应用:位图和布隆过滤器 目录 一、位图 1.位图概念 2.位图的应用 二、哈希切分 三、布隆过滤器 1.布隆过滤器的概念 2.布隆过滤器的应用 四、总结 一、位图 1.位图概念 今天的内容从一道面试题开始引入: 给40亿个不重复的无符…

chapter-5 数据库设计

以下课程来源于MOOC学习—原课程请见:数据库原理与应用 考研复习 引言 设计的时候: 我们为什么不能设计成R(学号,课程号,姓名,所咋系,系主任,成绩)? 因为存在数据冗余…

BGP与OSPF混合组网

如图。R1和R2之间是OSPF Area 0,R23和R4之间是OSPF Area 1,R5和R6之间是OSPF Area2。除了R1和R2之间的cost是100,其余链路的cost都是10. AR1/2/3/4/5/6之间通过Loopback口建立IBGP全互联邻居关系,并且都是AS11520,和外部建立EBGP邻居访问100.100.100.1的网络。(不确定图中…

企业内训视频如何防范被盗录和下载?

企业内训视频如何防范被盗录和下载? 1. 【防下载】:实现视频文件的加密混淆、防下载; 2. 【防录屏】:A.(ID跑马灯防录屏)实现不同学员观看视频,实时显示该学员的姓名手机号时间;B.&…

线性代数 --- 最小二乘在直线拟合上的应用与Gram-Schmidt正交化(下)

在上一篇文章中,通过一个例子来说明最小二乘在拟合直线时所发挥的作用,也通过两个插图的比较进一步的阐明了投影与最小化e之间的密切关系。 线性代数 --- 最小二乘在直线拟合上的应用与Gram-Schmidt正交化(上)_松下J27的博客-CSD…

【UE Sequencer系列】08-副镜头切换、摄像机绑定摇臂的使用、摄像机绑定滑轨的使用

目录 一、副镜头切换 二、摄像机绑定摇臂的使用 三、摄像机绑定滑轨的使用 一、副镜头切换 1. 为“shot_05”新建镜头(复制资产,创建新的关卡序列) 同样的步骤再创建一个“Shot_07_02” 此时我们就可以对“Shot_07”中的两个副镜头进行切换…

最简单明了vite+ts+sass无loaders配置,利用ts读取scss文件中的变量并在App.vue中使用

做后端的,前端水平有限,最近练手,遇到了左侧菜单是展开关闭的问题,接触到了scss中定义全局变量,利用typescript读取的问题,在此记录一下 vitetssass 环境:package.json中内容如下,…

利用KMean算法进行分类

什么是KMean算法?简要说明什么是KMean算法,以及KMean算法的应用场景。 KMeans是一种聚类算法,它将数据集分成K个不同的类别(簇),使得每个数据点都属于一个簇,并且每个簇的中心点(质…

网络通信的安全性(HTTPS)

网络通信的安全性(HTTPS) 互联网是由无数网络节点组成的,两点之间的通信一般会经过很多个网络节点,因此,我们难免会有疑问: 作为发送方,我发送的消息内容会不会被中间人看到?&…

4.2 矩阵乘法的Strassen算法

1.伪代码以及用到的公式 ​ ​ ​ 2.代码 package collection; ​ public class StrassenMatrixMultiplication {public static int[][] multiply(int[][] a, int[][] b) {int n a.length;int[][] result new int[n][n]; ​if (n 1) {result[0][0] a[0][0] * b[0][0]…

为什么是毫末智行成为了DriveGPT的破壁人?

作者 | 魏启扬 来源 | 洞见新研社 毫末智行有着天生的紧迫感。 很多科技公司一年才举办一次的品牌日活动,毫末智行硬是办成了一个季度一次,活动频次的提高,则意味着组织内部新陈代谢的提速,从研发到落地乃至运营,都要…

ChatGPT 这个风口,普通人怎么抓住?

最近在测试ChatGPT不同领域的变现玩法,有一些已经初见成效,接下来会慢慢分享出来。 今天先给大家分享一个,看完就能直接上手的暴力引流玩法。 所需工具: 1)ChatGPT(最好是plus版,需要保证快速…

一个开源的大型语言模型LLaMA论文简单解读,LLaMA: Open and Efficient Foundation Language Models

一个开源的大型语言模型LLaMA论文解读,LLaMA: Open and Efficient Foundation Language Models返回论文和资料目录 1.导读 LLaMA 是 Meta AI 发布的包含 7B、13B、33B 和 65B 四种参数规模的基础语言模型集合,LLaMA-13B 仅以 1/10 规模的参数在多数的 …

ASEMI代理AD8638ARJZ-REEL7原装ADI车规级AD8638ARJZ-REEL7

编辑:ll ASEMI代理AD8638ARJZ-REEL7原装ADI车规级AD8638ARJZ-REEL7 型号:AD8638ARJZ-REEL7 品牌:ADI /亚德诺 封装:SOT-23-5 批号:2023 安装类型:表面贴装型 引脚数量:5 类型&#xff1…