用户输入的数据中,有sql关键字或语法并且参与了sql语句的编译,导致sql编译后的条件为true,一直得到正确结果,这种现象称为sql注入。
如下例:
-- 创建表单
CREATE TABLE admin(-- 管理员表
`name` VARCHAr(32) NOT NULL UNIQUE,
pwd VARCHAr(32) NOT NULL DEFAULT''
)CHARACTER SET utf8;
-- 添加数据
INSERT INTO admin VALUES('jack','123456')
-- "SELECt*FROM admin WHERe name = '"+ username +"`AND pwd='" + password + "'";
-- 正常查询用例 username = 张三; password = 1234
SELECt*FROM admin WHERe name='张三' AND pwd='1234'
-- sql注入
-- 万能密码为 123'OR'1'='1
SELECt*FROM admin WHERe name='张三' AND pwd= '123'OR'1'='1'
如何避免
代码中的sql语句是在用户输入数据整合后再进行编译,想要将之避免,我们要在用户输入数据之前,就编译好sql语句,输入数据后,再进行填充数据
JDBC中,java提供了一些工具类,可以解决如同上面遇到的那些问题。
比如使用preparedstatement类,就可以避免上面的 通过字符串拼接形成的sql语句形成sql注入的问题。
public class Demo6 {
public static void main(String[] args) {
try(Connection conn = JDBCUtils.getConnection();) {
// 准备控制台输入
Scanner console = new Scanner(System.in);
// 执行登录
// 1.输入账号密码
System.out.println("请输入账号: ");
String username = console.nextLine();
System.out.println("请输入密码: ");
String password = console.nextLine();
// 2.将账号密码和数据库对比(查询)
String sql = "select * from users where username=? and password = ?";
// 获得预编译的 语句块 : 就将sql语句发送给数据库
PreparedStatement stmt = conn.prepareStatement(sql);
// 执行sql语句之前, 需要确定 ? 的具体内容: 设置参数
stmt.setString(1, username);
stmt.setString(2, password);
// 执行sql语句, 不需要再次发送sql语句给数据库
ResultSet rs = stmt.executeQuery();
if (rs.next()) {
System.out.println("欢迎" + username + "登录");
} else {
System.out.println("账号/密码错误");
}
} catch (SQLException e) {
e.printStackTrace();
}
}
}
