一、SQL注入

SQL注入是一種比較常見的網路攻擊方式，一些惡意人員在需要用戶輸入的地方，惡意輸入SQL語句的片段，通過SQL語句，實現無賬號登錄，甚至篡改數據庫。

二、SQL注入實例

登錄場景：
在一個登錄界面，要求用戶輸入賬號和密碼。

我們的代碼中會有如下SQL語句：

String sql="select * from user where account='"+account+"' and password='"+password+"'";

情形1：（免賬號登錄）

賬號：' or 1=1-- （--后面有一個空格） 密碼： 當我們輸入了這個賬號和密碼，那么SQL語句就變成：String sql="select * from user where account='' or 1=1 -- ' and password=''";

這個查詢條件就變成account=‘’ 或者1=1，這個條件是恒成立的。
后面的-- ，就是注釋。
這樣就可以實現免賬號登錄。

情形2：（刪除數據庫）

賬號：';drop database test;-- （--后面有一個空格） 密碼： 當我們輸入了這個賬號和密碼，那么SQL語句就變成：String sql="select * from user where account='';drop database test;-- ' and password=''";

這個查詢條件就變成account=‘’ 或者1=1，這個條件是恒成立的。
后面的-- ，就是注釋。
這樣就能刪除數據庫。

三、防止SQL注入方法

使用PreparedStatement可以防止SQL注入。sql語句中的參數需要用？代替。PreparedStatement對sql預編譯后,然后調用setXX()方法設置sql語句中的參數。這樣再傳入特殊值，也不會出現sql注入的問題了。

四、登錄項目

1、用戶表

用戶的賬號信息：

create table user( id int primary key auto_increment, account varchar(20), password varchar(20), nickname varchar(20) );insert into user(account,password,nickname) values('Jack','123456','杰克'); insert into user(account,password,nickname) values('Mary','888888','瑪麗');select*from user;

2、項目結構

創(chuàng)建一個javaweb項目。Login類實現登錄功能，用Junit進行單元測試，創(chuàng)建LoginTest類實現登錄測試功能。

3、登錄實現

Login.java

package net.jdbc.test;import java.math.BigDecimal; import java.sql.*;public class Login {//數據庫url、用戶名和密碼static final String DB_URL="jdbc:mysql://localhost:3306/test?";static final String USER="root";static final String PASS="root123";public static void login(String account,String password) {try {//1、注冊JDBC驅動Class.forName("com.mysql.jdbc.Driver");//2、獲取數據庫連接Connection connection = DriverManager.getConnection(DB_URL, USER, PASS);//3、操作數據庫String sql="select * from user where account=? and password=?";//獲取操作數據庫的對象//用PreparedStatement可以預防SQL注入PreparedStatement preparedStatement = connection.prepareStatement(sql);preparedStatement.setString(1,account);//設置參數preparedStatement.setString(2,password);ResultSet resultSet = preparedStatement.executeQuery();//執(zhí)行查詢sql，獲取結果集if (resultSet.next()){ //遍歷結果集，取出數據String name = resultSet.getString("nickname");//輸出數據System.out.println(name+"登錄成功");}else{System.out.println("用戶登錄失敗......");}//4、關閉結果集、數據庫操作對象、數據庫連接resultSet.close();preparedStatement.close();connection.close();} catch (ClassNotFoundException e) {e.printStackTrace();} catch(SQLException e){e.printStackTrace();} catch(Exception e){e.printStackTrace();}}}

4、登錄測試

LoginTest.java

package net.jdbc.test;import org.junit.Test;import static org.junit.Assert.*;public class LoginTest {@Testpublic void login() {Login.login("' or 1=1-- ","");//SQL注入測試Login.login("Jack","123");//正確賬號，錯誤密碼Login.login("Jack","123456");Login.login("Mary","888888");} }

運行結果：

創(chuàng)作挑戰(zhàn)賽新人創(chuàng)作獎勵來咯，堅持創(chuàng)作打卡瓜分現金大獎

總結

以上是生活随笔為你收集整理的JDBC中使用preparedStatement防止SQL注入的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。