服务器之家:专注于服务器技术及软件下载分享
分类导航

PHP教程|ASP.NET教程|Java教程|ASP教程|编程技术|正则表达式|C/C++|IOS|C#|Swift|Android|VB|R语言|JavaScript|易语言|vb.net|

服务器之家 - 编程语言 - Java教程 - Java SQL注入案例教程及html基础入门

Java SQL注入案例教程及html基础入门

2021-10-06 11:31cgblpx Java教程

这篇文章主要介绍了前端开发每天必学之SQL及HTML入门基础知识,介绍了学习web前端开发需要掌握的基础技术,感兴趣的小伙伴们可以参考一下

一,sql注入

–1,需求

–1,利用jdbc查询user的信息,如果信息正确就登录,否则提示错误

–1,创建user表,指定字段id name password,并添加数据

–2,通过jdbc查询user表的数据,根据用户名和密码查

–2,测试

?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
package cn.tedu.test;
import java.sql.*;
import java.util.scanner;
//测试 用户的查询
/*
create table user(
    id int primary key auto_increment,
    name varchar(20),
    password varchar(20)
)
insert into user values(null,'jack','123');
insert into user values(null,'rose','123');
 */
public class test3 {
    public static void main(string[] args) throws exception {
//       method();  //模拟登录
//       method2(); //暴露问题
       method3(); //解决sql攻击问题
    }
    private static void method3() throws exception {
        //1,注册驱动
        class.forname("com.mysql.jdbc.driver");
        //2,获取连接
        string url ="jdbc:mysql:///cgb2105?characterencoding=utf8" ;//简写形式
        connection  conn = drivermanager.getconnection(url, "root", "root");
        //3,获取传输器
//        statement st = conn.createstatement();
//        string sql = "select * from user where name='"+a+"' and password='"+b+"'";
        string a = new scanner(system.in).nextline();//用户名
        string b = new scanner(system.in).nextline();//密码
        //sql骨架,?叫占位符
        string sql = "select * from user where name=? and password=?";
        //preparedstatement把sql骨架和参数分开发送给数据的
        //解决了sql攻击问题:jack'# 只是把#当做普通文本而不是注释符号
        preparedstatement ps = conn.preparestatement(sql);
        //给sql设置参数--指定要给哪个问号赋啥值
        ps.setstring(1,a);
        ps.setstring(2,b);
        //4,执行sql,根据用户名和密码查库
        resultset rs = ps.executequery();
        //5,解析结果集
        if( rs.next() ){ //如果查到了数据next()返回true,就可以登录
            system.out.println("登录成功~~");
        }else{
            system.out.println("登录失败!");
        }
        //6,释放资源
        rs.close();//释放结果集
        ps.close();//释放传输器
        conn.close();//释放连接
    }
    private static void method2() throws exception {
        //1,注册驱动
        class.forname("com.mysql.jdbc.driver");
        //2,获取连接
        string url ="jdbc:mysql:///cgb2105?characterencoding=utf8" ;//简写形式
        connection  conn = drivermanager.getconnection(url, "root", "root");
        //3,获取传输器
        statement st = conn.createstatement();
        //4,执行sql,根据用户名和密码查库
        string a = new scanner(system.in).nextline();//用户名
        string b = new scanner(system.in).nextline();//密码
//sql攻击/sql注入问题:本质是因为用户输入的特殊符号造成sql语义发生了改变。jack'#
        string sql = "select * from user where name='"+a+"' and password='"+b+"'";
        resultset rs = st.executequery(sql);
        //5,解析结果集
        if( rs.next() ){ //如果查到了数据next()返回true,就可以登录
            system.out.println("登录成功~~");
        }else{
            system.out.println("登录失败!");
        }
        //6,释放资源
        rs.close();//释放结果集
        st.close();//释放传输器
        conn.close();//释放连接
    }
    //模拟登录:根据用户名和密码查询user表
    private static void method() throws exception {
        //1,注册驱动
        class.forname("com.mysql.jdbc.driver");
        //2,获取连接
//string url ="jdbc:mysql://localhost:3306/cgb2105?characterencoding=utf8" ;
string url ="jdbc:mysql:///cgb2105?characterencoding=utf8" ;//简写形式
        connection  conn = drivermanager.getconnection(url, "root", "root");
        //3,获取传输器
        statement st = conn.createstatement();
        //4,执行sql,根据用户名和密码查库
        string sql = "select * from user where name='jack' and password='123'";
        resultset rs = st.executequery(sql);
        //5,解析结果集
        if( rs.next() ){ //如果查到了数据next()返回true,就可以登录
            system.out.println("登录成功~~");
        }else{
            system.out.println("登录失败!");
        }
        //6,释放资源
        rs.close();//释放结果集
        st.close();//释放传输器
        conn.close();//释放连接
    }
}

–3,总结

sql 攻击发生的现象是:用户输入了一些sql中的特殊字符,#表示注释

statement工具:无法避免sql注入问题,而且sql复杂需要自己拼接参数,低效

preparedstatement工具:避免了sql攻击的问题,sql简单,高效

–sql简单,先把sql骨架发给数据库,再把参数发给数据库。用?代替参数的位置叫占位符

二,练习preparedstatement

–1,需求

删除id=1的用户信息

–2,测试

?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
package cn.tedu.test;
import java.sql.connection;
import java.sql.preparedstatement;
import java.sql.sqlexception;
public class test4 {
    public static void main(string[] args) {
        connection conn = null;
        preparedstatement ps= null;
        try{
            //调用工具类,,,获取连接
            conn = jdbcutils.getconnection();
            //3,获取传输器 ,利用高级的工具类执行sql
            //先执行sql骨架
            string sql = "delete from user where id=?";
            ps = conn.preparestatement(sql);
            //给第一个问号,设置值是1
            ps.setint(1,1);
            //4,执行sql
            int rows = ps.executeupdate();
            system.out.println("删除成功");
        }catch (exception e){
            system.out.println("执行失败...");
        }finally{ //最终一定会被执行的
            //5,释放资源
           jdbcutils.close(null,ps,conn);
        }
    }
}

–3,制作工具类

?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
package cn.tedu.test;
import java.sql.*;
//提取jdbc重复的代码,提高复用性
public class jdbcutils {
    /**
     * 释放资源
     * @param rs 结果集
     * @param ps 传输器
     * @param conn 数据库的连接
     */
    final static public void close(resultset rs, preparedstatement ps, connection conn){
        if(rs != null){//防止空指针异常
            try {
                rs.close();
            } catch (sqlexception throwables) {
                system.out.println("执行失败...");//项目上线后的
                //throwables.printstacktrace();//程序调试阶段
            }
        }
        if(ps != null){//防止空指针异常
            try {
                ps.close();
            } catch (sqlexception throwables) {
                throwables.printstacktrace();
            }
        }
        if(conn != null) {//防止空指针异常
            try {
                conn.close();
            } catch (sqlexception throwables) {
                throwables.printstacktrace();
            }
        }
    }
    /**
     * 获取和数据库的连接
     * */
    static public connection getconnection() throws exception {
        //1,注册驱动
        class.forname("com.mysql.jdbc.driver");
        //2,获取连接
        string url="jdbc:mysql:///cgb2105?characterencoding=utf8";
        connection conn = drivermanager.getconnection(url,"root","root");
        return conn;
    }
}

三,html

–1,概述

是超文本标记语言,是指可以在网页中加入比文本更丰富的内容。标记有很多,要写开始标记和结果标记 <html></html>

–2,入门案例

?
1
2
3
4
5
6
7
8
html>
    <head>
        <title>hello html~</title>
    </head>
    <body>
        test......
    </body>
</html>

–3,使用工具

Java SQL注入案例教程及html基础入门

Java SQL注入案例教程及html基础入门

Java SQL注入案例教程及html基础入门

Java SQL注入案例教程及html基础入门

?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
<!doctype html> <!-- 声明这是一个html文件 -->
<html>  <!-- html根标签-->
    <head> <!-- 头部信息,设置网页的标题,编码。。。-->
        <meta charset="utf-8"> <!-- 设置网页的编码 -->
        <title> html测试 </title> <!-- 设置网页的标题 -->
    </head>
    <body> <!-- 体信息,设置网页中要显示的内容 -->
        <!-- 这是html的注释,hbuilder复制粘贴一行ctrl c/ctrl v  ,剪切ctrl x,调整位置ctrl ↑↓ -->
        你好      html~
        你好html~ <br/>  <!-- br可以在网页中实现换行-->
        你&nbsp; &nbsp; &nbsp; &nbsp;好html~  <!-- &nbsp;可以在网页中实现空格-->
        你好html~
        你好html~
        你好html~
    </body>
</html>

–4,测试

Java SQL注入案例教程及html基础入门

四,测试常用标签

?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
<!doctype html>
<html>
    <head>
        <meta charset="utf-8">
        <title>常用标签</title>
    </head>
    <body>
        <!-- 1. 标题标签 h1 h2 h3...h6 -->
            <h1> 1级标签 </h1>
            <h2> 2级标签 </h2>
            <h3> 3级标签 </h3>
            <h4> 4级标签 </h4>
            <h5> 5级标签 </h5>
            <h6> 6级标签 </h6>
        <!-- 2. 列表标签, ul+li无序列表   ol+li有序列表 -->
            <ol>
                <li> 全国新冠疫苗接种剂次超13亿 </li>
                <li> 刘伯明神七出舱曾遇险情 </li>
                <li> 中国成功发射风云三号05星 </li>
                <li> 江苏女生中考7578门满分 </li>
            </ol>
        <!-- 3. 图片标签,在网页中插入一个图片
                src属性用来指定图片的路径
                width属性用来指定图片的宽度,单位是像素px
                height属性用来指定图片的高度,单位是像素px
        -->
            <img src="a/2.jpg" width="200px" height="500px"/>
            <img src="2.jpg" width="200px" height="500px"/>
            <img src="2.jpg" width="200px" height="500px"/>
        <!-- 4. 超链接标签
            href属性用来指定点击时要跳转的路径
            target属性用来指定是否打开新窗口
        -->
            <a href="http://www.baidu.com" target="_blank">点我</a>
        <!-- 锚定,返回顶部-->
            <a name="top">北京市富婆通讯录</a>
                <h1>18518518515</h1>
                <h1>123</h1>
                <h1>123</h1>
                <h1>123</h1>
                <h1>123</h1>
                <h1>123</h1>
                <h1>123</h1>
                <h1>123</h1>
                <h1>123</h1>
                <h1>123</h1>
                <h1>123</h1>
            <!-- href指定要回到的位置,通过#获取上面name的值 -->
            <a href="#top">点我,回到顶部</a>
        <!-- 5. input标签   -->
        <br />
            <input type="text" />  <!-- 普通文本类型-->
            <input type="number" />  <!-- 数字类型-->
            <input type="password" />  <!-- 密码,自动加密-->
            <input type="date" />  <!-- 年月日-->
            <input type="week" /> <!-- 周-->
            <input type="radio" />男  <!-- 单选框-->
            <input type="checkbox" />杨幂  <!-- 多选框-->
            <input type="button" value="点我"/>  <!-- 按钮 -->
            <input type="submit" />   <!-- 提交按钮 -->
            
            <br /><br /><br /><br /><br /><br />
    </body>
</html>

总结

本篇文章就到这里了,希望能给你带来帮助,也希望您能够多多关注服务器之家的更多内容!

原文链接:https://blog.csdn.net/u012932876/article/details/118485088

延伸 · 阅读

精彩推荐