前言
为演示预防sql注入问题,我们使用用户登录输入用户名和密码来说明问题和解决问题。
数据库表如图:
![JDBC 预防sql注入问题与解决方法[PreparedStatement]](https://img-blog.csdnimg.cn/9b2acb20aabc467ebad93a6c11e0f04c.png)
一、问题解释
先用常用的Statement
String name="tom";
// String psw="123456";
String psw="' or '1'='1";
// 解决问题前
// 3.定义sql
String sql="SELECT * FROM user_info where name='"+name+"' and password='"+psw+"'";
Statement stmt= (Statement) conn.createStatement();
//5.执行sql
ResultSet rs = stmt.executeQuery(sql);登录判断代码
if(rs.next()){
System.out.println("登陆成功~");
}else{
System.out.println("登陆失败~");
}如果密码为’ or ‘1’=’1 ,执行结果
![JDBC 预防sql注入问题与解决方法[PreparedStatement]](https://img-blog.csdnimg.cn/a50ab3c13c15433487f067ec048e7b04.png)
我们会发现,数据库表tom的密码不是 ‘ or ‘1’=’1,但可以登录成功!这是为什么?
我们打印下sql语句分析原因
System.out.println(sql);运行结果
![JDBC 预防sql注入问题与解决方法[PreparedStatement]](https://img-blog.csdnimg.cn/85a855f15ff54d3f8ae3593d1e335a50.png)
这里我们可以看where条件:name=‘tom’为真 password=‘’为假 ‘1’=‘1’为真。
可以判断 真 and 假 or 真 =(假 or 真)=真。结果永远为真,所以可以登录成功!
但怎么解决这个问题呢!!!如果这用都可以随意登录别人的账号了。
二、解决方法
我们只需要使用PreparedStatement解决 将敏感字符进行转义
代码:
String sql="select * from user_info where name=? and password=?";
PreparedStatement pstmt=conn.prepareStatement(sql);
pstmt.setString(1,name);
pstmt.setString(2,psw);
ResultSet rs=pstmt.executeQuery();现在的运行结果
这里使用密码为’ or ‘1’=’1 就不会显示登录成功。这是为什么呢?
先看上述sql输出的select * from user_info where name=? and password=?
它是先将敏感字符进行转义
把’ or ‘1’=’1 转义字符\’ or \’1\’=\’1 变成了文本形式 所以sql语句会找不到结果
这样就解决了sql注入的问题
总结
这个也是后期自己做项目时需要注意的问题,PreparedStatement的使用知识点,不然的话会被恶意登录。
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
文章由极客之音整理,本文链接:https://www.bmabk.com/index.php/post/114658.html
