亚洲国产成人乱码精品女人久久久不卡 ,亚洲精品无码激情AV,在线亚洲97se亚洲综合在线

下面是自己以前初學(xué)JDBC時候?qū)懙拇a，存在sql注入漏洞。

不安全因素：statement。。。應(yīng)該用Preparedstatement來代替statement，這樣我們就可以使用占位符作為實參來定義sql語句，從而避免sql注入的攻擊。

當(dāng)然也可以用statement，你得注意你的sql的寫法，要是下例肯定不行。還得對url惡意傳入?yún)?shù)進行過濾(SQL元字符處理)。。。這樣就比較麻煩了，而且也無法保證絕對的安全。

我們在用hibernate等框架的時候(hql語句)，避免sql注入攻擊也是一樣的，關(guān)鍵是不要用string來構(gòu)造sql語句，不管什么框架，還是純JDBC，只要用Preparedstatement就OK。。。一定要用占位符作為實參來構(gòu)造sql（或hql）語句。

package cn.zhd;
import java.io.*;
import org.apache.log4j.*;
import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.SQLException;
import java.sql.Statement;
import java.sql.ResultSet;

public class LoginDemo {

   public void execute(String user,String pass){
       boolean foo=false;
       try{
           Class.forName("com.mysql.jdbc.Driver");
           Connection con=DriverManager.getConnection("jdbc:mysql://localhost/students","root","");
           Statement stam=con.createStatement();
            //存在注入攻擊漏洞:select * from login where user='' or'x'='x' or 'x'='' and '1'
            ResultSet rs=stam.executeQuery("select * from login where user='" + user + "' and pass='"+ pass + "'");
           while(rs.next()){

                   foo=true;

           }
           if(foo){
               System.out.println("登陸成功");
           }
           else
           {
               System.out.println("用戶名密碼錯誤");
           }

       }catch(ClassNotFoundException e){
           e.printStackTrace();
       }catch(SQLException e){
           e.printStackTrace();
       }

   }
   public static void main(String[] args){
       Logger log=Logger.getLogger(LoginDemo.class);
       try{
           LoginDemo ld=new LoginDemo();
           BufferedReader bf=new BufferedReader(new InputStreamReader(System.in));
           log.info("請輸入用戶名");
           String bf_str=bf.readLine();
           log.info("請輸入密碼");
           String bf2_str=bf.readLine();
           bf.close();
           ld.execute(bf_str,bf2_str);
       }catch(IOException e){
           e.printStackTrace();
       }

   }
}

當(dāng)輸入用戶名的時候輸入:' or 'x'='x' or '2'='
密碼隨便輸.....
成功登陸了吧.....

posted on 2007-04-20 13:51 張金鵬閱讀(359) 評論(0) 編輯收藏所屬分類: 數(shù)據(jù)庫編程

新用戶注冊刷新評論列表


只有注冊用戶登錄后才能發(fā)表評論。




網(wǎng)站導(dǎo)航: 博客園 IT新聞 Chat2DB C++博客博問管理
相關(guān)文章: 連接各種數(shù)據(jù)庫方式速查表(JDBC) MySQL導(dǎo)出導(dǎo)入命令的用例存在sql注入式攻擊的最差實踐代碼（Java新手注意了）

細心!用心!耐心!

常用鏈接

留言簿(5)

隨筆分類

文章分類

文章檔案

收藏夾

搜索

最新評論