为了给大家将SQL注入的原理,需要大家具备如下的知识:
(1)掌握基本Swing组件的开发
(2)掌握基本JDBC的开发
此课题的视频我们也为大家做好了。在文章的底部,大家可以看看。详细的SQL注入原理可以参考我们论坛的文章:
http://forum.javait.org/viewthread.php?tid=53&extra=page%3D1
1、什么样的SQL语句是SQL注入语句
大家先看如下没有加入SQL注入设计的SQL语句
select * from student where sno = 's001'
根据上面的SQL语句,我们只需要改变一下就能够完成SQL语句的注入
select * from student where sno = 's001' or '1'='1'
2、在编写JDBC程序时候,如何利用上面SQL语句注入,完成输入不存在的学号也可以登录成功???
防止SQL注入的方法:利用JDBC的PreparedStatement来完成
3、代码实现
(1)编写界面窗口
package test;
import java.awt.FlowLayout;
import java.awt.event.ActionEvent;
import java.awt.event.ActionListener;
import java.sql.SQLException;
import javax.swing.JButton;
import javax.swing.JFrame;
import javax.swing.JLabel;
import javax.swing.JOptionPane;
import javax.swing.JTextField;
/**
*
* @author JavaIT学习室
*
*/
public class TestFrame extends JFrame {
private JLabel sno; //学号
private JTextField sno_t; //学号的文本框
private JButton b; //登录按钮
public TestFrame() {
init(); //创建窗口的相关属性,例如:设置窗口的大小
}
private void init() {
this.setTitle("防止SQL语句注入危险的程序"); //设置窗口标题
this.setSize(300, 200); //设置窗口的高和宽
this.setDefaultCloseOperation(JFrame.EXIT_ON_CLOSE); //设置窗口的关闭方式
this.setResizable(false); //设置窗口不可最大化,或是设置窗口不可调整大小
//在放置基本组件的时候一定要注意窗口的布局方式
this.setLayout(new FlowLayout()); //设置窗口是流式布局
sno = new JLabel("学号:");
sno_t = new JTextField(8);
b = new JButton("登录");
this.getContentPane().add(sno);
this.getContentPane().add(sno_t);
this.getContentPane().add(b);
b.addActionListener(new ActionListener() {
@Override
public void actionPerformed(ActionEvent e) {
// TODO Auto-generated method stub
String s = sno_t.getText(); //返回窗口中输入的学号信息
try {
int i = DBUtil.getInstance().check_2(s);
if (i > 0) {
JOptionPane.showMessageDialog(null, "登录成功");
} else {
JOptionPane.showMessageDialog(null, "登录不成功");
}
} catch (SQLException e1) {
// TODO Auto-generated catch block
e1.printStackTrace();
} //将学号传入到数据库中进行匹配
} //为按钮添加点击事情
});
this.setVisible(true); //设置窗口可以显示
}
/**
* @param args
*/
public static void main(String[] args) {
// TODO Auto-generated method stub
new TestFrame();
}
}
(2)数据库代码
package test;
import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;
/**
* 数据库连接的类,利用JDBC技术完成
* @author JavaIT学习室
*
*/
public class DBUtil {
private static final String USER_NAME = "sa";
private static final String PASSWORD = "123456";
private static final String driverclass = "com.microsoft.sqlserver.jdbc.SQLServerDriver";
private static final String url = "jdbc:sqlserver://localhost:1433;DatabaseName=stu";
private static DBUtil db = null; //它是一个单例的对象
private DBUtil() {
try {
Class.forName(driverclass); //加载驱动,必须将数据库的驱动包导入到工程中,不然会报错。sqljdbc.jar
} catch (Exception e) {
e.printStackTrace();
}
}
/**
* 返回主类DBConnectionUtil的对象,因为构造方法被定义为private,所以在初始化主类对象的时候只能用此方法实现
* @return
*/
public static DBUtil getInstance() {
if (db == null) {
db = new DBUtil();
}
return db;
}
/**
* 获取数据库连接Connection的对象
* @return
*/
public Connection getConnection() {
Connection conn = null;
try {
conn = DriverManager.getConnection(url, USER_NAME, PASSWORD);
} catch (SQLException e) {
e.printStackTrace();
}
return conn;
}
/**
* 关闭数据库连接对象的方法
* @param conn
*/
public void close(Connection conn) {
try {
conn.close();
} catch (SQLException e) {
e.printStackTrace();
}
}
/**
* 没有防止SQL注入的代码
* @return
* @throws SQLException
*/
public int check(String sno) throws SQLException {
String sql = "select count(sno) from student where sno = '"+sno+"'";
System.out.println(sql);
Statement stmt = DBUtil.getInstance().getConnection().createStatement();
ResultSet rs = stmt.executeQuery(sql);
if (rs != null && rs.next()) { //对执行的SQL语句的结果集进行遍历
if (rs.getInt(1) > 0) {
return 1; //确认该学生在数据库中存在
}
}
return 0;
}
/**
* PreparedStatement可以防止SQL注意的接口
* @param sno
* @return
* @throws SQLException
*/
public int check_2(String sno) throws SQLException {
String sql = "select count(sno) from student where sno = ?";
PreparedStatement ps = DBUtil.getInstance().getConnection().prepareStatement(sql);
ps.setString(1, sno);
ResultSet rs = ps.executeQuery();
if (rs != null && rs.next()) { //对执行的SQL语句的结果集进行遍历
if (rs.getInt(1) > 0) {
return 1; //确认该学生在数据库中存在
}
}
return 0;
}
}
分享到:
相关推荐
嵌入式八股文面试题库资料知识宝典-深圳禾苗通信科技有限公司.zip
Arduino UART实验例程,开发板:正点原子EPS32S3,本人主页有详细实验说明可供参考。
内容概要:本文详细探讨了电力弹簧技术在主动配电网规划及运行优化调度中的应用。首先介绍了电力弹簧技术作为智能电网调控手段的优势,如自适应性强、响应速度快、节能环保等。接着阐述了主动配电网规划的目标和策略,包括优化电网结构、提高能源利用效率和降低故障风险。随后讨论了运行优化调度的原则和方法,强调了实时监测、智能调度策略以及优化调度模型的重要性。最后通过实际案例分析展示了电力弹簧技术在提升电网稳定性、可靠性和能效方面的显著效果,展望了其广阔的应用前景。 适合人群:从事电力系统规划、运行管理的研究人员和技术人员,以及对智能电网感兴趣的学者和学生。 使用场景及目标:适用于希望深入了解电力弹簧技术及其在主动配电网规划和运行优化调度中具体应用的专业人士。目标是掌握电力弹簧技术的工作原理、优势及其在实际项目中的实施方法。 其他说明:本文不仅提供了理论分析,还有具体的案例支持,有助于读者全面理解电力弹簧技术的实际应用价值。
honor_1.145_testgray20250427.apk
嵌入式八股文面试题库资料知识宝典-【开发】嵌入式开源项目&库&资料.zip
内容概要:本文详细介绍了华为推出的面向全场景的分布式操作系统HarmonyOS。HarmonyOS旨在打破设备间的壁垒,实现万物互联,通过分布式软总线和分布式任务调度等核心技术,让不同设备协同工作,如手机、平板、智能家居等设备间无缝流转任务。其应用生态涵盖教育、金融、出行等多个领域,华为通过资金、技术支持和流量扶持吸引开发者,推动生态繁荣。HarmonyOS从2019年首次发布至今,经历了多个版本迭代,性能和安全性不断提升,用户体验更加智能便捷。尽管面临应用生态丰富度不足、市场竞争压力等挑战,华为通过优化开发工具、加强市场推广等策略积极应对。未来,HarmonyOS将在分布式技术、AI融合和隐私安全等方面持续创新,并在智能家居、车联网、工业互联网等领域拓展生态。 适合人群:对操作系统技术感兴趣的专业人士、开发者、科技爱好者。 使用场景及目标:①了解HarmonyOS的技术架构和分布式技术的特点;②探讨HarmonyOS在智能家居、车联网等领域的应用前景;③评估HarmonyOS对现有操作系统市场的潜在影响。 阅读建议:HarmonyOS作为一款面向全场景的操作系统,不仅涉及技术实现,还包括生态建设和用户体验。因此,在阅读过程中,应重点关注其技术优势、应用场景及未来发展潜力,结合自身需求思考其在实际生活和工作中的应用价值。
少儿编程scratch项目源代码文件案例素材-简单杀戮.zip
基于阻抗控制和工艺优化的机器人磨抛技术研究.pdf
少儿编程scratch项目源代码文件案例素材-扛住别被压.zip
内容概要:本文详细介绍了华为自主研发的面向全场景的分布式操作系统——HarmonyOS的架构设计及其在智能家居、智能穿戴、智慧出行等领域的应用。HarmonyOS采用分层架构,包括内核层、系统服务层、框架层和应用层,各层分工明确,协同工作,为用户提供稳定、高效、智能的操作系统。其核心特性包括分布式架构、微内核设计、组件化开发和一次开发多端部署,这些特性使得不同设备能够实现互联互通和资源共享,为用户带来无缝的全场景智能体验。此外,文章还探讨了HarmonyOS面临的生态建设和兼容性挑战,以及未来的发展前景和技术创新方向。 适合人群:对操作系统架构感兴趣的科技爱好者、智能设备开发者及相关行业从业者。 使用场景及目标:①了解HarmonyOS架构设计及其在智能家居、智能穿戴、智慧出行等领域的具体应用;②掌握HarmonyOS的核心特性,如分布式架构、微内核设计、组件化开发和一次开发多端部署;③探讨HarmonyOS面临的挑战及其未来发展方向。 其他说明:HarmonyOS的出现不仅为华为在智能设备领域的发展提供了有力支撑,也为整个行业的创新发展注入了新的活力。作为科技爱好者和关注者,我们应持续关注HarmonyOS的发展,共同见证它在智能设备领域创造更多的辉煌。
嵌入式八股文面试题库资料知识宝典-linux驱动开发.zip
内容概要:本文深入探讨了一款额定功率为4kW的开关磁阻电机,详细介绍了其性能参数如额定功率、转速、效率、输出转矩和脉动率等。同时,文章还展示了利用RMxprt、Maxwell 2D和3D模型对该电机进行仿真的方法和技术,通过外电路分析进一步研究其电气性能和动态响应特性。最后,文章提供了基于RMxprt模型的MATLAB仿真代码示例,帮助读者理解电机的工作原理及其性能特点。 适合人群:从事电机设计、工业自动化领域的工程师和技术人员,尤其是对开关磁阻电机感兴趣的科研工作者。 使用场景及目标:适用于希望深入了解开关磁阻电机特性和建模技术的研究人员,在新产品开发或现有产品改进时作为参考资料。 其他说明:文中提供的代码示例仅用于演示目的,实际操作时需根据所用软件的具体情况进行适当修改。
嵌入式八股文面试题库资料知识宝典-新岸线.zip
基于支持向 量机和余弦相似度的故障诊断方法.pdf
Objective-C+ARKit实现图片识别、平面捕捉、人脸识别+源码,适合毕业设计、课程设计、项目开发。项目源码已经过严格测试,可以放心参考并在此基础上延申使用 ARKit实现图片识别、平面捕捉、人脸识别 ARKit需要ios11 以及 A11处理器或更高版本设备支持 Objective-C+ARKit实现图片识别、平面捕捉、人脸识别+源码,适合毕业设计、课程设计、项目开发。项目源码已经过严格测试,可以放心参考并在此基础上延申使用 ARKit实现图片识别、平面捕捉、人脸识别 ARKit需要ios11 以及 A11处理器或更高版本设备支持~ Objective-C+ARKit实现图片识别、平面捕捉、人脸识别+源码,适合毕业设计、课程设计、项目开发。项目源码已经过严格测试,可以放心参考并在此基础上延申使用 ARKit实现图片识别、平面捕捉、人脸识别 ARKit需要ios11 以及 A11处理器或更高版本设备支持
少儿编程scratch项目源代码文件案例素材-火柴人大战 中世纪战争.zip
嵌入式八股文面试题库资料知识宝典-并行科技笔试题.zip
嵌入式八股文面试题库资料知识宝典-进程线程.zip
嵌入式八股文面试题库资料知识宝典-金山问题.zip
少儿编程scratch项目源代码文件案例素材-火柴人战争.zip