JDBC 预防sql注入问题与解决方法[PreparedStatement]

文章目录

  • 前言
  • 一、问题解释
  • 二、解决方法
  • 总结


前言

为演示预防sql注入问题,我们使用用户登录输入用户名和密码来说明问题和解决问题。

数据库表如图:

JDBC 预防sql注入问题与解决方法[PreparedStatement]_第1张图片


 

一、问题解释

先用常用的Statement

  String name="tom";
//        String psw="123456";
        String psw="' or '1'='1";
//        解决问题前
//        3.定义sql
        String sql="SELECT * FROM user_info where name='"+name+"' and password='"+psw+"'";
 Statement stmt= (Statement) conn.createStatement();

        //5.执行sql
        ResultSet rs =  stmt.executeQuery(sql);

登录判断代码

if(rs.next()){
            System.out.println("登陆成功~");

            
        }else{
            System.out.println("登陆失败~");
        }

 如果密码为' or '1'='1 ,执行结果

我们会发现,数据库表tom的密码不是 ' or '1'='1,但可以登录成功!这是为什么?

我们打印下sql语句分析原因

System.out.println(sql);

运行结果

 这里我们可以看where条件:name=‘tom’为真 password=‘’为假 ‘1’=‘1’为真。

 可以判断 真 and 假 or 真 =(假 or 真)=真。结果永远为真,所以可以登录成功!

 但怎么解决这个问题呢!!!如果这用都可以随意登录别人的账号了。

二、解决方法

我们只需要使用PreparedStatement解决 将敏感字符进行转义

代码:

 String sql="select * from user_info where name=? and password=?";

        PreparedStatement pstmt=conn.prepareStatement(sql);
        pstmt.setString(1,name);
        pstmt.setString(2,psw);
        ResultSet rs=pstmt.executeQuery();

现在的运行结果

 
  

 这里使用密码为' or '1'='1 就不会显示登录成功。这是为什么呢?

 先看上述sql输出的select * from user_info where name=? and password=?

 它是先将敏感字符进行转义

把' or '1'='1 转义字符\' or \'1\'=\'1 变成了文本形式 所以sql语句会找不到结果

这样就解决了sql注入的问题


总结

这个也是后期自己做项目时需要注意的问题,PreparedStatement的使用知识点,不然的话会被恶意登录。

你可能感兴趣的:(java知识点,sql,数据库,database,java,eclipse)