sql注入问题-阿里云开发者社区

开发者社区> 数据库> 正文
登录阅读全文

sql注入问题

简介: java.sql.PreparedStatement(SQL预处理)                                                               防止SQL注入                                             .

java.sql.PreparedStatement(SQL预处理)

                                                              防止SQL注入

                                                              只要你的sql参数是用户提供过来的都需要使用sql预处理

                                                              设置参数的时候需要选择对应数据类型进行设置,要不然处理类型的时候会有问题

                                                              setObject 此方法有一个好处就是,你可以给它任何类型,自己进行类型判断,识别你的类型进行设置

sql防注入代码举例:

import java.sql.*;
import java.util.Arrays;
import java.util.Scanner;

public class T4 {

    public static void main(String[] args) throws SQLException {
        java.util.Scanner input = new Scanner(System.in);
        System.out.print("请输入您的登录账号:");
        String Account = input.next();
        System.out.print("请输入您的登录密码:");
        String Password = input.next();
        Connection connection = T3.getT3().getconnection();
         Statement statement = connection.createStatement();
              PreparedStatement pst = connection.prepareCall("select *from zangu where account=? AND password=?");
        // 用Connection对象中的prepareCall类来接收sql语句  再创建PreparedStatement接口对象
            pst.setString(1, Account);
        //通过PreparedStatement类来调用其中的setString方法你要输人的是第几个 这里我们选择的是String类型所以输入的是字符串类型
        //当然你也可以选择PreparedStatement中的int方法
          pst.setString(2, Password);
        //这里原理同上通过PreparedStatement类来调用其中的setString方法你要输人的是第几个 并输入类型
         ResultSet resultSet = pst.executeQuery();
        //通过PreparedStatement 创建查询
        //这里创建ResultSet记录集对象类接受查询号的 resultSet记录集
          statement.executeUpdate("create table zangu(zid int(11)primary key,account varchar(100)," +
                "password varchar(100))engine=innodb charset=utf8");//创建表只允许一次,注意如果在调用这个类又会创建一次就会报错
             statement.executeUpdate("insert into zangu values(1,'张三','123456') ");
                ResultSet resultSet = statement.executeQuery("select *from zangu where account='"+
                      Account+"'and password='"+Password+"'");//这样子验证存在sql注入问题 ‘ or ''=' 这样会从本质上改写代码sql防注入批处理添加
        PreparedStatement/*注意这个是批处理的类*/ pst = connection.prepareStatement("INSERT into zangu values(?,?,?)");
        pst.setObject(1, 2);
        pst.setObject(2, "李四");
        pst.setString(3, "0");//第一个参数是第几个问号,第二个是要插入的值
        pst.addBatch();//执行批处理每局代码后面都要调用这个方法

        pst.setObject(1, 3);
        pst.setObject(2, "赵六");
        pst.setObject(3, "125");
        pst.addBatch();

        pst.setObject(1, 4);
        pst.setObject(2, "嘻嘻哈哈");
        pst.setObject(3, "315");
        pst.addBatch();
        int a[] = pst.executeBatch();//调处批处理接过叫给数组啊
        System.out.println(Arrays.toString(a));//打印记录
    }
}


版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

分享:
数据库
使用钉钉扫一扫加入圈子
+ 订阅

分享数据库前沿,解构实战干货,推动数据库技术变革

其他文章