目录
- 一,sql注入
- 二,练习preparedstatement
- 三,html
一,sql注入
–1,需求
–1,利用jdbc查询user的信息,如果信息正确就登录,否则提示错误
–1,创建user表,指定字段id name password,并添加数据
–2,通过jdbc查询user表的数据,根据用户名和密码查
–2,测试
package cn.tedu.test;
import java.sql.*;
import java.util.scanner;
//测试 用户的查询
/*
create table user(
id int primary key auto_increment,
name varchar(20),
password varchar(20)
)
insert into user values(null,'jack','123');
insert into user values(null,'rose','123');
*/
public class test3 {
public static void main(string[] args) throws exception {
// method(); //模拟登录
// method2(); //暴露问题
method3(); //解决sql攻击问题
}
private static void method3() throws exception {
//1,注册驱动
class.forname("com.mysql.jdbc.driver");
//2,获取连接
string url ="jdbc:mysql:///cgb2105?characterencoding=utf8" ;//简写形式
connection conn = drivermanager.getconnection(url, "root", "root");
//3,获取传输器
// statement st = conn.createstatement();
// string sql = "select * from user where name='"+a+"' and password='"+b+"'";
string a = new scanner(system.in).nextline();//用户名
string b = new scanner(system.in).nextline();//密码
//sql骨架,?叫占位符
string sql = "select * from user where name=? and password=?";
//preparedstatement把sql骨架和参数分开发送给数据的
//解决了sql攻击问题:jack'# 只是把#当做普通文本而不是注释符号
preparedstatement ps = conn.preparestatement(sql);
//给sql设置参数--指定要给哪个问号赋啥值
ps.setstring(1,a);
ps.setstring(2,b);
//4,执行sql,根据用户名和密码查库
resultset rs = ps.executequery();
//5,解析结果集
if( rs.next() ){ //如果查到了数据next()返回true,就可以登录
system.out.println("登录成功~~");
}else{
system.out.println("登录失败!");
}
//6,释放资源
rs.close();//释放结果集
ps.close();//释放传输器
conn.close();//释放连接
}
private static void method2() throws exception {
//1,注册驱动
class.forname("com.mysql.jdbc.driver");
//2,获取连接
string url ="jdbc:mysql:///cgb2105?characterencoding=utf8" ;//简写形式
connection conn = drivermanager.getconnection(url, "root", "root");
//3,获取传输器
statement st = conn.createstatement();
//4,执行sql,根据用户名和密码查库
string a = new scanner(system.in).nextline();//用户名
string b = new scanner(system.in).nextline();//密码
//sql攻击/sql注入问题:本质是因为用户输入的特殊符号造成sql语义发生了改变。jack'#
string sql = "select * from user where name='"+a+"' and password='"+b+"'";
resultset rs = st.executequery(sql);
//5,解析结果集
if( rs.next() ){ //如果查到了数据next()返回true,就可以登录
system.out.println("登录成功~~");
}else{
system.out.println("登录失败!");
}
//6,释放资源
rs.close();//释放结果集
st.close();//释放传输器
conn.close();//释放连接
}
//模拟登录:根据用户名和密码查询user表
private static void method() throws exception {
//1,注册驱动
class.forname("com.mysql.jdbc.driver");
//2,获取连接
//string url ="jdbc:mysql://localhost:3306/cgb2105?characterencoding=utf8" ;
string url ="jdbc:mysql:///cgb2105?characterencoding=utf8" ;//简写形式
connection conn = drivermanager.getconnection(url, "root", "root");
//3,获取传输器
statement st = conn.createstatement();
//4,执行sql,根据用户名和密码查库
string sql = "select * from user where name='jack' and password='123'";
resultset rs = st.executequery(sql);
//5,解析结果集
if( rs.next() ){ //如果查到了数据next()返回true,就可以登录
system.out.println("登录成功~~");
}else{
system.out.println("登录失败!");
}
//6,释放资源
rs.close();//释放结果集
st.close();//释放传输器
conn.close();//释放连接
}
}
–3,总结
sql 攻击发生的现象是:用户输入了一些sql中的特殊字符,#表示注释
statement工具:无法避免sql注入问题,而且sql复杂需要自己拼接参数,低效
preparedstatement工具:避免了sql攻击的问题,sql简单,高效
–sql简单,先把sql骨架发给数据库,再把参数发给数据库。用?代替参数的位置叫占位符
二,练习preparedstatement
–1,需求
删除id=1的用户信息
–2,测试
package cn.tedu.test;
import java.sql.connection;
import java.sql.preparedstatement;
import java.sql.sqlexception;
public class test4 {
public static void main(string[] args) {
connection conn = null;
preparedstatement ps= null;
try{
//调用工具类,,,获取连接
conn = jdbcutils.getconnection();
//3,获取传输器 ,利用高级的工具类执行sql
//先执行sql骨架
string sql = "delete from user where id=?";
ps = conn.preparestatement(sql);
//给第一个问号,设置值是1
ps.setint(1,1);
//4,执行sql
int rows = ps.executeupdate();
system.out.println("删除成功");
}catch (exception e){
system.out.println("执行失败...");
}finally{ //最终一定会被执行的
//5,释放资源
jdbcutils.close(null,ps,conn);
}
}
}
–3,制作工具类
package cn.tedu.test;
import java.sql.*;
//提取jdbc重复的代码,提高复用性
public class jdbcutils {
/**
* 释放资源
* @param rs 结果集
* @param ps 传输器
* @param conn 数据库的连接
*/
final static public void close(resultset rs, preparedstatement ps, connection conn){
if(rs != null){//防止空指针异常
try {
rs.close();
} catch (sqlexception throwables) {
system.out.println("执行失败...");//项目上线后的
//throwables.printstacktrace();//程序调试阶段
}
}
if(ps != null){//防止空指针异常
try {
ps.close();
} catch (sqlexception throwables) {
throwables.printstacktrace();
}
}
if(conn != null) {//防止空指针异常
try {
conn.close();
} catch (sqlexception throwables) {
throwables.printstacktrace();
}
}
}
/**
* 获取和数据库的连接
* */
static public connection getconnection() throws exception {
//1,注册驱动
class.forname("com.mysql.jdbc.driver");
//2,获取连接
string url="jdbc:mysql:///cgb2105?characterencoding=utf8";
connection conn = drivermanager.getconnection(url,"root","root");
return conn;
}
}
三,html
–1,概述
是超文本标记语言,是指可以在网页中加入比文本更丰富的内容。标记有很多,要写开始标记和结果标记 <html></html>
–2,入门案例
html> <head> <title>hello html~</title> </head> <body> test...... </body> </html>
–3,使用工具
<!doctype html> <!-- 声明这是一个html文件 --> <html> <!-- html根标签--> <head> <!-- 头部信息,设置网页的标题,编码。。。--> <meta charset="utf-8"> <!-- 设置网页的编码 --> <title> html测试 </title> <!-- 设置网页的标题 --> </head> <body> <!-- 体信息,设置网页中要显示的内容 --> <!-- 这是html的注释,hbuilder复制粘贴一行ctrl c/ctrl v ,剪切ctrl x,调整位置ctrl ↑↓ --> 你好 html~ 你好html~ <br/> <!-- br可以在网页中实现换行--> 你 好html~ <!-- 可以在网页中实现空格--> 你好html~ 你好html~ 你好html~ </body> </html>
–4,测试
四,测试常用标签
<!doctype html> <html> <head> <meta charset="utf-8"> <title>常用标签</title> </head> <body> <!-- 1. 标题标签 h1 h2 h3...h6 --> <h1> 1级标签 </h1> <h2> 2级标签 </h2> <h3> 3级标签 </h3> <h4> 4级标签 </h4> <h5> 5级标签 </h5> <h6> 6级标签 </h6> <!-- 2. 列表标签, ul+li无序列表 ol+li有序列表 --> <ol> <li> 全国新冠疫苗接种剂次超13亿 </li> <li> 刘伯明神七出舱曾遇险情 </li> <li> 中国成功发射风云三号05星 </li> <li> 江苏女生中考757分8门满分 </li> </ol> <!-- 3. 图片标签,在网页中插入一个图片 src属性用来指定图片的路径 width属性用来指定图片的宽度,单位是像素px height属性用来指定图片的高度,单位是像素px --> <img src="a/2.jpg" width="200px" height="500px"/> <img src="2.jpg" width="200px" height="500px"/> <img src="2.jpg" width="200px" height="500px"/> <!-- 4. 超链接标签 href属性用来指定点击时要跳转的路径 target属性用来指定是否打开新窗口 --> <a href="http://www.baidu.com" target="_blank">点我</a> <!-- 锚定,返回顶部--> <a name="top">北京市富婆通讯录</a> <h1>18518518515</h1> <h1>123</h1> <h1>123</h1> <h1>123</h1> <h1>123</h1> <h1>123</h1> <h1>123</h1> <h1>123</h1> <h1>123</h1> <h1>123</h1> <h1>123</h1> <!-- href指定要回到的位置,通过#获取上面name的值 --> <a href="#top">点我,回到顶部</a> <!-- 5. input标签 --> <br /> <input type="text" /> <!-- 普通文本类型--> <input type="number" /> <!-- 数字类型--> <input type="password" /> <!-- 密码,自动加密--> <input type="date" /> <!-- 年月日--> <input type="week" /> <!-- 周--> <input type="radio" />男 <!-- 单选框--> <input type="checkbox" />杨幂 <!-- 多选框--> <input type="button" value="点我"/> <!-- 按钮 --> <input type="submit" /> <!-- 提交按钮 --> <br /><br /><br /><br /><br /><br /> </body> </html>
总结
本篇文章就到这里了,希望能给你带来帮助,也希望您能够多多关注www.887551.com的更多内容!
黄山市民网:https://www.huangshanshimin.com/
