MySQL中JDBC的預處理(防止sql語句的注入問題)

原創 Draco-_- 2020-03-18 16:39

首先來看一下未經預處理的小程序,這個小程序是註冊和登錄功能,靜態的sql 語句,語法不確定性,通過 stmt 執行【Statement stmt 創建】,但這樣的話可能會給懂的一些語言的人輕鬆破解你賬戶的機會,所以MySQL爲了防止這種方式的發生,提供了一種預處理的機制PreparedStatement pstmt

package 未預處理的結果;

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;
import java.util.Scanner;
/**
 * @author Draco-_-
 * @see 未預處理的後果,stmt靜態語句,語法不確定性,可能會導致別人破解你的賬戶
 * @version
 * @date-time 2020-03-17 - 上午9:46:59
 */
public class Test {
	Scanner scanner = new Scanner(System.in);

	public static void main(String[] args) {

		Test t = new Test();
		System.out.println("歡迎來到小程序~~");
		System.out.println("1——>註冊");
		System.out.println("2——>登錄");
		System.out.println("0——>退出");
		System.out.print("請選擇功能序號:");
		int i = t.scanner.nextInt();
		switch (i) {
		case 1:
			t.zhuce();
			break;
		case 2:
			t.denglu();
			break;
		case 0:
			System.out.println("退出成功,歡迎下次再來~~");
			break;
		}

	}

	public void zhuce() {
		Connection conn;
		Statement stmt;// 不是預處理的,正常的
		ResultSet rs;

		String url = "jdbc:mysql://localhost:3308/crx654";
		String user = "root";
		String password = "mysql";

		try {
			Class.forName("com.mysql.jdbc.Driver");
			conn = DriverManager.getConnection(url, user, password);
			stmt = conn.createStatement();
			System.out.println("歡迎來到註冊功能模塊");
			System.out.print("請輸入用戶名:");
			String name = scanner.next();
			System.out.print("請輸入密碼:");
			String psd = scanner.next();

			String sql = "insert into userinfo(username,psd) values('" + name + "','" + psd + "')";
			int i = stmt.executeUpdate(sql);
			if (i == 1) {
				System.out.println("操作成功");
			} else {
				System.out.println("操作失敗");
			}

		} catch (ClassNotFoundException e) {
			e.printStackTrace();
		} catch (SQLException e) {
			e.printStackTrace();
		}
	}

	/**
	 * @see 此登錄方法只是簡單提供登錄失敗的信息
	 */
	public void denglu() {
		Connection conn;
		Statement stmt;// 不是預處理的,正常的
		ResultSet rs;

		String url = "jdbc:mysql://localhost:3308/user";
		String user = "root";
		String password = "mysql";

		try {
			Class.forName("com.mysql.jdbc.Driver");
			conn = DriverManager.getConnection(url, user, password);
			stmt = conn.createStatement();
			System.out.println("歡迎來到登錄功能模塊");
			System.out.print("請輸入用戶名:");
			String name = scanner.next();
			System.out.print("請輸入密碼:");
			String psd = scanner.next();

			String sql = "select * from userinfo where username='" + name + "' and psd='" + psd + "'";
			rs = stmt.executeQuery(sql);
			if (rs.next()) {
				System.out.println("登錄成功");
			} else {
				System.out.println("登錄失敗");
			}

		} catch (ClassNotFoundException e) {
			e.printStackTrace();
		} catch (SQLException e) {
			e.printStackTrace();
		}
	}
}

經過預處理之後的jdbc代碼,只需要更換【Statement stmt; 】——>【PreparedStatement pstmt;】,其他的 jdbc 順序不變

package jdbc的預處理;

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.util.Scanner;

/**
 * @author Draco-_-
 * @see 經過PreparedStatement預處理的jdbc語句,動態的語句,語法先確定,不會影響sql的語法,避免了sql的注入問題
 * @version 
 * @date-time 2020-03-17 - 下午7:37:25
 */
public class Test {

	Scanner scanner = new Scanner(System.in);

	public static void main(String[] args) {

		Test t = new Test();
//		t.zhuce();
		t.denglu();
		
	}

	public void zhuce() {
		Connection conn;
		PreparedStatement pstmt;// 是經過預處理的
//		Statement stmt;// 不是預處理的,正常的

		String url = "jdbc:mysql://localhost:3308/crx654";
		String user = "root";
		String password = "mysql";

		try {
			Class.forName("com.mysql.jdbc.Driver");
			conn = DriverManager.getConnection(url, user, password);
			//變量用?代替
			String sql = "insert into userinfo(username,psd) values(?,?)";
			
			pstmt = conn.prepareStatement(sql);// 直接要sql語句來預編譯
			System.out.println("歡迎來到註冊功能模塊");
			System.out.print("請輸入用戶名:");
			String name = scanner.next();
			System.out.print("請輸入密碼:");
			String psd = scanner.next();
			
			//給兩個??賦值
			pstmt.setString(1, name);//第一個
			pstmt.setString(2, psd);//第二個

			int i = pstmt.executeUpdate();
			if (i == 1) {
				System.out.println("操作成功");
			} else {
				System.out.println("操作失敗");
			}

		} catch (ClassNotFoundException e) {
			e.printStackTrace();
		} catch (SQLException e) {
			e.printStackTrace();
		}
	}
	
	public void denglu() {
		Connection conn;
		PreparedStatement pstmt;// 是經過預處理的
//		Statement stmt;// 不是預處理的,正常的
		ResultSet rs;

		String url = "jdbc:mysql://localhost:3308/user";
		String user = "root";
		String password = "mysql";

		try {
			Class.forName("com.mysql.jdbc.Driver");
			conn = DriverManager.getConnection(url, user, password);
			//變量用?代替
			String sql = "select * from userinfo where username=? and psd=?";
			
			pstmt = conn.prepareStatement(sql);// 直接要sql語句來預編譯
			System.out.println("歡迎來到登錄功能模塊");
			System.out.print("請輸入用戶名:");
			String name = scanner.next();
			System.out.print("請輸入密碼:");
			String psd = scanner.next();
			
			//給兩個??賦值
			pstmt.setString(1, name);//第一個
			pstmt.setString(2, psd);//第二個

			rs = pstmt.executeQuery();
			if(rs.next()) {
				System.out.println("登錄成功");
			}else {
				System.out.println("登錄失敗");
			}

		} catch (ClassNotFoundException e) {
			e.printStackTrace();
		} catch (SQLException e) {
			e.printStackTrace();
		}
	}

}

最後,上面的兩個Java的運行的效果是一樣的,但是大家不覺得這樣寫 jdbc 代碼會冗餘嗎,所以下一篇將會寫一篇關於 jdbc 封裝的博文,到時候會給一個鏈接的。
謝謝觀看,如有錯誤,還請不吝賜教

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

ClickHouse內幕(1)數據存儲與過濾機制

本文主要講述ClickHouse中的數據存儲結構,包括文件組織結構和索引結構,以及建立在其基礎上的數據過濾機制,從Part裁剪到Mark裁剪,最後到基於SIMD的行過濾機制。 數據過濾機制實質上是構建在數據存儲格式之上的算法,所以在介紹過濾

原創 2024-06-07 23:54:51

MySQL 核心模塊揭祕 * 19 期 * 鎖模塊裏有什麼?什麼樣?

InnoDB 中管理表鎖和行鎖的鎖模塊,也就是傳說中的鎖子系統,在內存裏是什麼樣的? 作者:操盛春,愛可生技術專家,公衆號『一樹一溪』作者,專注於研究 MySQL 和 OceanBase 源碼。 愛可生開源社區出品,原創內容未經授權不得隨

原創 2024-06-06 11:58:40

EMQX Enterprise 5.7 發佈:新增會話持久化、消息 Schema 驗證、規則引擎調試與追蹤功能

EMQX Enterprise 5.7.0 版本現已正式發佈! 在這個版本中,我們引入了一系列新的功能和改進,包括會話持久化、消息 Schema 驗證、規則引擎調試與追蹤測試等功能。此外,新版本還進行了多項改進以及 BUG 修復,進一步提升

原創 2024-06-05 22:10:05

修復 MySQL 8.4 的 "mysql_native_password is not loaded" 插件未加載錯誤

修復 MySQL 8.4 的 "mysql_native_password is not loaded" 插件未加載錯誤 將 mysql_native_password 用戶更新到 caching_sha2_password 在具有足夠權限

vga 2024-06-04 14:30:04

告別內存OOM,解決MySQL內存增長問題

本文分享自華爲雲社區《【華爲雲MySQL技術專欄】MySQL內存增長問題分析案例》,作者:GaussDB 數據庫。 前言 在現網環境中,偶爾會遇到客戶實例內存OOM(Out Of Memory,即內存耗盡或溢出)的情況。MySQL數據庫

原創 2024-06-04 11:09:29

第 53 期:MySQL 創建了用戶卻無法登陸

社區王牌專欄《一問一實驗:AI 版》全新改版歸來,得到了新老讀者們的關注。其中不乏對 ChatDBA 感興趣的讀者前來諮詢,表達了想試用體驗 ChatDBA 的意願,對此我們表示感謝 ?*。 目前,ChatDBA 還在最後的準備階段,會盡快

原創 2024-06-04 02:43:21

第 53 期:MySQL 創建了用戶卻無法登陸

社區王牌專欄《一問一實驗:AI 版》全新改版歸來,得到了新老讀者們的關注。其中不乏對 ChatDBA 感興趣的讀者前來諮詢,表達了想試用體驗 ChatDBA 的意願,對此我們表示感謝 ?*。 目前,ChatDBA 還在最後的準備階段,會盡快

原創 2024-06-04 02:43:03

pfinder實現原理揭祕

1. 引言 在現代軟件開發過程中,性能優化和故障排查是保證應用穩定運行的關鍵任務之一。Java作爲一種廣泛使用的編程語言,其生態中湧現出了許多優秀的監控和診斷工具,諸如:SkyWalking、Zipkin等,它們幫助開發者和運維人員

原創 2024-06-04 02:39:24

pfinder實現原理揭祕

1. 引言 在現代軟件開發過程中,性能優化和故障排查是保證應用穩定運行的關鍵任務之一。Java作爲一種廣泛使用的編程語言,其生態中湧現出了許多優秀的監控和診斷工具,諸如:SkyWalking、Zipkin等,它們幫助開發者和運維人員

原創 2024-06-04 02:37:09

pfinder實現原理揭祕

1. 引言 在現代軟件開發過程中,性能優化和故障排查是保證應用穩定運行的關鍵任務之一。Java作爲一種廣泛使用的編程語言,其生態中湧現出了許多優秀的監控和診斷工具,諸如:SkyWalking、Zipkin等,它們幫助開發者和運維人員

原創 2024-06-04 02:34:44

MySQL 核心模塊揭祕 | 18 期 | 鎖在內存里長什麼樣*

表鎖和行鎖都由鎖結構承載這些鎖結構在內存裏是個什麼樣的存在 作者操盛春愛可生技術專家公衆號『一樹一溪』作者專注於研究 MySQL 和 OceanBase 源碼。 愛可生開源社區出品原創內容未經授權不得隨意使用轉載請聯繫小編並註明來源。

原創 2024-05-31 12:13:56

一文講透 OceanBase 單機版:架構介紹、部署流程、性能測試、MySQL對比、資源配置等等

引言 OceanBase 單機集中式集羣(即單機版,後文不再稱“單機集中式集羣”)是OceanBase 推出的極簡數據庫架構,區別於分佈式集羣架構,單機版無多副本和擴縮容能力,適用於開發測試環境及數據安全性要求不高的業務系統。 OceanB

原創 2024-05-31 00:04:39

centos7按照MYSQL8(安裝包)

查詢Linux的clibc版本 rpm -qa | grep glibc 現在mysql官網找到對應glibc版本的下載url 然後在linux內下載 wget https://dev.mysql.com/get/Downloads

Rsky08 2024-05-29 22:15:17

MySQL 重啓之後無法寫入數據了?

數據庫交接後因 persist_only 級別的參數設置引發的故障分析。 作者:不喫芫荽,愛可生華東交付服務部 DBA 成員,主要負責 MySQL 故障處理及相關技術支持。 愛可生開源社區出品,原創內容未經授權不得隨意使用,轉載請聯繫小編

原創 2024-05-29 00:01:11

Dolphinscheduler不重啓加載Oracle驅動

轉載自劉茫茫看山 問題背景 某天我們的租戶反饋數據庫連接缺少必要的驅動,我們通過日誌查看確實是缺少部分數據庫的驅動,因爲DolphinScheduler默認只帶了Oracle和MySQL的驅動,並且需要將pom文件中的test模式去掉纔可以

原創 2024-05-28 21:22:10