标签：13 java String rs sql SQL mysql conn

mysql学习13

• SQL注入：

  • SQL存在漏洞，会被攻击，导致数据泄露；

  • SQL会被拼接 ：or 1=1

     

• 代码案例：

  import java.sql.Connection;
  import java.sql.ResultSet;
  import java.sql.SQLException;
  import java.sql.Statement;
  ​
  /**
   * 测试SQL注入问题：
   */
  public class SQL注入 {
      public static void main(String[] args) {
  ​
          //login("demmo","123456"); //正常登录
          login(" 'or '1=1"," 'or '1=1 ");//SQL注入
  ​
      }
  ​
      //登录
      public static void login(String username,String password){
          Connection conn =null;
          Statement st=null;
          ResultSet rs=null;
  ​
          try {
              conn = JdbcUtils.getConnection();//获取连接
              st=conn.createStatement();//创建SQL执行对象
              //SELECT * FROM `users` WHERE `NAME`='demmo' AND `PASSWORD`='123456'
              //SELECT * FROM `users` WHERE `NAME`=' demmo'or '1=1 ' AND `PASSWORD`=' or '1=1  '
              String sql="SELECT * FROM `users` WHERE `NAME`='"+ username+"'" + " AND `PASSWORD`='"+ password+"' ";
              rs=st.executeQuery(sql);
  ​
              while (rs.next()){
                  System.out.println("password="+rs.getObject("PASSWORD"));
                  System.out.println("name="+rs.getObject("NAME"));
                  System.out.println("================================");
              }
  ​
  ​
          } catch (SQLException e) {
              e.printStackTrace();
          }finally {
              JdbcUtils.release(conn,st,rs);
          }
      }
  }
  ​

   

标签：13,java,String,rs,sql,SQL,mysql,conn
来源： https://www.cnblogs.com/xiangcai0522/p/16029717.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。