SQL注入

请添加图片描述

Statement详解

基本介绍

statement是一个接口（interface statement）

Statement对象，用于执行静态SQL语句并返回其生成的结果的对象
在连接建立后，需要对数据库进行访问，执行命令或是SQL语句，可以通过

Statemetn【存在SQL注入问题】
PreparedStatement【预处理】
CallableStatement【存储过程】

Statement对象执行SQL语句，存在SQL注入风险
SQL注入是利用某些系统没有对用户输入的数据进行充分的检查，而在用户输入数据中注入非法的SQL语句段或命令，恶意攻击数据库
要防范SQL注入，只要用PreparedStatement（从Statement扩展而来）取代Statement就可以了

Navicat演示SQL注入

-- 演示sql 注入
-- 创建一张表
Create table admin (	-- 管理员表
Name varchar(32) not null unique,
pwd varchar(32) not null default ''
) character set utf8;

-- 添加数据
Insert into admin values('tom','123');

-- 查找某个管理是否存在

-- select * from admin where name = 'taotao' and pwd = '123';

-- SQL
-- 输入用户名 为 1 ' or
-- 输入密码 为 or '1' = '1
select * from admin where name = '1 ' or' and pwd = 'or '1' = '1';

JDBC演示SQL注入

package com.taotao.jdbc.statement;

import java.io.FileInputStream;
import java.io.FileNotFoundException;
import java.io.IOException;
import java.sql.*;
import java.util.Properties;
import java.util.Scanner;

/**
 * Create By 刘鸿涛
 * 2022/3/1 15:45
 */
@SuppressWarnings({"all"})
public class Statement_ {
    public static void main(String[] args) throws IOException, ClassNotFoundException, SQLException {
        Scanner sc = new Scanner(System.in);

        //让用户输入管理员和密码
        System.out.print("请输入管理员姓名：");
        String admin_name = sc.nextLine();  //nextline回车键代表此数据结束
        System.out.print("请输入管理员密码：");
        String admin_pwd = sc.nextLine();

        //通过Properties对象获取配置文件的信息
        Properties properties = new Properties();
        properties.load(new FileInputStream("src\\mysql.properties"));

        //获取账号密码
        String user = properties.getProperty("user");
        String password = properties.getProperty("password");

        //获取驱动
        String url = properties.getProperty("url");

        //1.加载Driver类
        Class.forName("com.mysql.cj.jdbc.Driver");

        //2.连接SQL
        Connection connection = DriverManager.getConnection(url, user, password);

        //3.得到statement，然后执行增删改查
        Statement statement = connection.createStatement();

        //4.组织SQL
        String sql = "select name,pwd from admin where name = '" + admin_name + "' and pwd = '"+ admin_pwd  +"'";

        ResultSet resultSet = statement.executeQuery(sql);
        if (resultSet.next()){  //如果查询到一条记录，则说明该管理存在
            System.out.println("恭喜，登陆成功");
        }else {
            System.out.println("登录失败");
        }

        //5.关闭连接资源
        resultSet.close();
        statement.close();
        connection.close();

    }
}

请添加图片描述

PreparedStatement详解

基本介绍

PreparedStatement执行的SQL语句中的参数用问号（？）来表示，调用PreparedStatement对象的setXxx（）方法来设置这些参数.setXxx()方法有两个参数，第一个参数是要设置的SQL语句中的参数的索引（从1开始），第二个是设置的SQL语句中的参数的值
调用executeQuery（），返回ResultSet对象
调用executeUpdate（），执行更新，包括增、删、修改

预处理好处

不再使用 + 拼接sql语句，减少语法错误
有效的解决了sql注入问题！
大大减少了编译次数，效率较高

预处理案例（selete语句）

package com.taotao.jdbc.preparedstatement;

import java.io.FileInputStream;
import java.io.IOException;
import java.sql.*;
import java.util.Properties;
import java.util.Scanner;

/**
 * Create By 刘鸿涛
 * 2022/3/1 16:54
 */
@SuppressWarnings({"all"})
public class PreparedStatement_ {
    public static void main(String[] args) throws IOException, ClassNotFoundException, SQLException {
        Scanner sc = new Scanner(System.in);

        //让用户输入管理员和密码
        System.out.print("请输入管理员姓名：");
        String admin_name = sc.nextLine();  //nextline回车键代表此数据结束
        System.out.print("请输入管理员密码：");
        String admin_pwd = sc.nextLine();

        //通过Properties对象获取配置文件的信息
        Properties properties = new Properties();
        properties.load(new FileInputStream("src\\mysql.properties"));

        //获取账号密码
        String user = properties.getProperty("user");
        String password = properties.getProperty("password");

        //获取驱动
        String url = properties.getProperty("url");

        //1.加载Driver类
        Class.forName("com.mysql.cj.jdbc.Driver");

        //2.连接SQL
        Connection connection = DriverManager.getConnection(url, user, password);

        //3.得到PreparedStatement
        //3.1.组织SQL,sql语句的 ？ 就相当于占位符
        String sql = "select name,pwd from admin where name =?  and pwd =? ";
        //3.2 preparedStatement 对象实现了 PreparedStatement 接口的实现类的对象
        PreparedStatement preparedStatement = connection.prepareStatement(sql);
        //3.3给 ？ 赋值
        preparedStatement.setString(1,admin_name);
        preparedStatement.setString(2,admin_pwd);

        //4.执行select 语句使用 executeQuery
        // 如果执行的是dml（update，insert，delete） executeUpdate()
        // 这里执行 executeQuery，不要再写 sql，因为已经被preparedStatement.setString语句处理过了
        ResultSet resultSet = preparedStatement.executeQuery();
        if (resultSet.next()){  //如果查询到一条记录，则说明该管理存在
            System.out.println("恭喜，登陆成功");
        }else {
            System.out.println("登录失败");
        }

        //5.关闭连接资源
        resultSet.close();
        preparedStatement.close();
        connection.close();

    }
}

预处理案例（insert语句）

package com.taotao.jdbc.preparedstatement;

import java.io.FileInputStream;
import java.io.IOException;
import java.sql.*;
import java.util.Properties;
import java.util.Scanner;

/**
 * Create By 刘鸿涛
 * 2022/3/1 16:54
 */
@SuppressWarnings({"all"})
public class PreparedStatement_ {
    public static void main(String[] args) throws IOException, ClassNotFoundException, SQLException {
        Scanner sc = new Scanner(System.in);

        //让用户输入管理员和密码
        System.out.print("请输入添加用户姓名");
        String admin_name = sc.nextLine();  //nextline回车键代表此数据结束
        System.out.print("请输入添加用户密码");
        String admin_pwd = sc.nextLine();

        //通过Properties对象获取配置文件的信息
        Properties properties = new Properties();
        properties.load(new FileInputStream("src\\mysql.properties"));

        //获取账号密码
        String user = properties.getProperty("user");
        String password = properties.getProperty("password");

        //获取驱动
        String url = properties.getProperty("url");

        //1.加载Driver类
        Class.forName("com.mysql.cj.jdbc.Driver");

        //2.连接SQL
        Connection connection = DriverManager.getConnection(url, user, password);

        //3.得到PreparedStatement
        //3.1.组织SQL,sql语句的 ？ 就相当于占位符
        String sql = "insert into admin values(?,?) ";
        //3.2 preparedStatement 对象实现了 PreparedStatement 接口的实现类的对象
        PreparedStatement preparedStatement = connection.prepareStatement(sql);
        //3.3给 ？ 赋值
        preparedStatement.setString(1,admin_name);
        preparedStatement.setString(2,admin_pwd);

        //4.执行select 语句使用 executeQuery
        // 如果执行的是dml（update，insert，delete） executeUpdate()
        // 这里执行 executeQuery，不要再写 sql，因为已经被preparedStatement.setString语句处理过了
        int i = preparedStatement.executeUpdate();

        System.out.println("创建用户" + (i == 1 ? "成功":"失败" ));

        //5.关闭连接资源
        preparedStatement.close();
        connection.close();

    }
}

预处理案例（update语句）

package com.taotao.jdbc.preparedstatement;

import java.io.FileInputStream;
import java.io.IOException;
import java.sql.*;
import java.util.Properties;
import java.util.Scanner;

/**
 * Create By 刘鸿涛
 * 2022/3/1 16:54
 */
@SuppressWarnings({"all"})
public class PreparedStatement_ {
    public static void main(String[] args) throws IOException, ClassNotFoundException, SQLException {
        Scanner sc = new Scanner(System.in);

        //让用户输入管理员和密码
        System.out.print("请输入管理员姓名");
        String admin_name = sc.nextLine();  //nextline回车键代表此数据结束
        System.out.print("请输入新的密码");
        String admin_pwd = sc.nextLine();

        //通过Properties对象获取配置文件的信息
        Properties properties = new Properties();
        properties.load(new FileInputStream("src\\mysql.properties"));

        //获取账号密码
        String user = properties.getProperty("user");
        String password = properties.getProperty("password");

        //获取驱动
        String url = properties.getProperty("url");

        //1.加载Driver类
        Class.forName("com.mysql.cj.jdbc.Driver");

        //2.连接SQL
        Connection connection = DriverManager.getConnection(url, user, password);

        //3.得到PreparedStatement
        //3.1.组织SQL,sql语句的 ？ 就相当于占位符
        String sql = "update admin set pwd = ? where name = ?";
        //3.2 preparedStatement 对象实现了 PreparedStatement 接口的实现类的对象
        PreparedStatement preparedStatement = connection.prepareStatement(sql);
        //3.3给 ？ 赋值
        preparedStatement.setString(2,admin_name);
        preparedStatement.setString(1,admin_pwd);

        //4.执行select 语句使用 executeQuery
        // 如果执行的是dml（update，insert，delete） executeUpdate()
        // 这里执行 executeQuery，不要再写 sql，因为已经被preparedStatement.setString语句处理过了
        int i = preparedStatement.executeUpdate();

        System.out.println("修改用户密码" + (i == 1 ? "成功":"失败" ));

        //5.关闭连接资源
        preparedStatement.close();
        connection.close();
    }
}

预处理案例（delete语句）

package com.taotao.jdbc.preparedstatement;

import java.io.FileInputStream;
import java.io.IOException;
import java.sql.*;
import java.util.Properties;
import java.util.Scanner;

/**
 * Create By 刘鸿涛
 * 2022/3/1 16:54
 */
@SuppressWarnings({"all"})
public class PreparedStatement_ {
    public static void main(String[] args) throws IOException, ClassNotFoundException, SQLException {
        Scanner sc = new Scanner(System.in);

        //让用户输入管理员和密码
        System.out.print("请输入要删除的管理员姓名");
        String admin_name = sc.nextLine();  //nextline回车键代表此数据结束

        //通过Properties对象获取配置文件的信息
        Properties properties = new Properties();
        properties.load(new FileInputStream("src\\mysql.properties"));

        //获取账号密码
        String user = properties.getProperty("user");
        String password = properties.getProperty("password");

        //获取驱动
        String url = properties.getProperty("url");

        //1.加载Driver类
        Class.forName("com.mysql.cj.jdbc.Driver");

        //2.连接SQL
        Connection connection = DriverManager.getConnection(url, user, password);

        //3.得到PreparedStatement
        //3.1.组织SQL,sql语句的 ？ 就相当于占位符
        String sql = "delete from admin where name = ?";
        //3.2 preparedStatement 对象实现了 PreparedStatement 接口的实现类的对象
        PreparedStatement preparedStatement = connection.prepareStatement(sql);
        //3.3给 ？ 赋值
        preparedStatement.setString(1,admin_name);

        //4.执行select 语句使用 executeQuery
        // 如果执行的是dml（update，insert，delete） executeUpdate()
        // 这里执行 executeQuery，不要再写 sql，因为已经被preparedStatement.setString语句处理过了
        int i = preparedStatement.executeUpdate();

        System.out.println("删除用户成功" + (i == 1 ? "成功":"失败" ));

        //5.关闭连接资源
        preparedStatement.close();
        connection.close();
    }
}

预处理案例（create表）

package com.taotao.jdbc.preparedstatement;

import java.io.FileInputStream;
import java.io.IOException;
import java.sql.*;
import java.util.Properties;
import java.util.Scanner;

/**
 * Create By 刘鸿涛
 * 2022/3/1 16:54
 */
@SuppressWarnings({"all"})
public class PreparedStatement_ {
    public static void main(String[] args) throws IOException, ClassNotFoundException, SQLException {
        Scanner sc = new Scanner(System.in);

        //让用户输入管理员和密码
        System.out.print("请输入要创建的表名称");
        String table_Name = sc.nextLine();  //nextline回车键代表此数据结束

        //通过Properties对象获取配置文件的信息
        Properties properties = new Properties();
        properties.load(new FileInputStream("src\\mysql.properties"));

        //获取账号密码
        String user = properties.getProperty("user");
        String password = properties.getProperty("password");

        //获取驱动
        String url = properties.getProperty("url");

        //1.加载Driver类
        Class.forName("com.mysql.cj.jdbc.Driver");

        //2.连接SQL
        Connection connection = DriverManager.getConnection(url, user, password);

        //3.得到PreparedStatement
        //3.1.组织SQL,sql语句的 ？ 就相当于占位符
        String sql = "create table "+table_Name+"(id int)";
        //3.2 preparedStatement 对象实现了 PreparedStatement 接口的实现类的对象
        PreparedStatement preparedStatement = connection.prepareStatement(sql);

        //4.创建表要用execute，并且返回的布尔值
        boolean execute = preparedStatement.execute(sql);

        System.out.println("创建表" + (execute == false ? "成功":"失败" ));

        //5.关闭连接资源
        preparedStatement.close();
        connection.close();
    }
}