[步骤阅读四]SQL注入
按照以上方式开发,确实已经完成了基本的用户登录业务需求,但是这么做的话可以会出现一个比较严重的问题,那就是容易被SQL注入。所谓SQL注入,就是在需要用户填写信息,并且这些信息会生成数据库查询字符串的场景中,恶意输入破坏程序原有业务逻辑的数据库查询字符,最终达到欺骗程序执行恶意的SQL命令。
小博老师现在就为大家演示一下,在刚才开发的登录程序中,通过SQL注入的方式来进行登录:
可见,我们不需要知道数据库中用户表的信息,就可以进行成功登录。这个问题的根本原因在于,我们判断用户是否登录成功,是通过将用户填写的账户名称和密码拼接到查询语句:
select * from users where uname=‘账户名称’ and upwd=’账户密码’;
中执行,并且判断查询的结果集中是否有满足条件的记录。按照上图所示,小博老师不填写账户名称,而在密码中填写‘or‘1’=’1,那么拼接后的查询语句就变成了:
select * from users where uname=’’and upwd=’’or‘1’=‘1’;
这样一来,or关键将where复合条件变为了“或则”的关系,后面跟上了一个恒成立的1=1,那么这个where条件就失去了意义,永远为true。这样一来,查询语句就变成了查询数据表中的所有记录,结果集中当然就会一直有数据存在,逻辑判断登录成功。
[步骤阅读五]参数化查询防止SQL注入
为了防止这种被SQL注入的漏洞存在,我们经常可以使用参数化查询的方式来实现程序的业务逻辑,接下来小博老师就为大家演示参数化查询的使用方式,我们修改原有代码如下:
// 加载JDBC驱动
Driverdriver=newDriver();
// 创建数据库连接对象
Connectionconn= DriverManager.getConnection("jdbc:mysql://127.0.0.1:3306/bwf?useUnicode=true&characterEncoding=utf8",
"root","");
// 创建数据库预加载申明对象
PreparedStatementstmt=conn.prepareStatement("select * from users where uname = ? and upwd = ? ");
// 为预加载申明对象 添加 参数(用户填写的账户名称和密码)
stmt.setString(1,txtUname.getText());
stmt.setString(2,txtUpwd.getText());
// 向数据库发送查询语句,查询满足条件的用户记录
ResultSetrs=stmt.executeQuery();
// 判断查询的结果集中是否有满足条件的记录
if(rs.next()){
// 有满足条件的记录,登录成功
JOptionPane.showMessageDialog(getContentPane(),"登录成功!");
}else{
// 没有满足条件的记录,登录失败
JOptionPane.showMessageDialog(getContentPane(),"账户名称或密码错误!请重新填写!");
}
rs.close();
conn.close();
这样一来,我们就可以防止被SQL注入的危险了:
