Java SQL注入案例教程及html基础入门_Java教程

一，sql注入

–1，需求

–1，利用jdbc查询user的信息，如果信息正确就登录，否则提示错误

–1，创建user表，指定字段id name password，并添加数据

–2，通过jdbc查询user表的数据，根据用户名和密码查

–2，测试

				?

									package cn.tedu.test;

									import java.sql.*;

									import java.util.scanner;

									//测试 用户的查询

									/*

									create table user(

									    id int primary key auto_increment,

									    name varchar(20),

									    password varchar(20)

									)

									insert into user values(null,'jack','123');

									insert into user values(null,'rose','123');

									 */

									public class test3 {

									    public static void main(string[] args) throws exception {

									//       method();  //模拟登录

									//       method2(); //暴露问题

									       method3(); //解决sql攻击问题

									    }

									    private static void method3() throws exception {

									        //1,注册驱动

									        class.forname("com.mysql.jdbc.driver");

									        //2,获取连接

									        string url ="jdbc:mysql:///cgb2105?characterencoding=utf8" ;//简写形式

									        connection  conn = drivermanager.getconnection(url, "root", "root");

									        //3,获取传输器

									//        statement st = conn.createstatement();

									//        string sql = "select * from user where name='"+a+"' and password='"+b+"'";

									        string a = new scanner(system.in).nextline();//用户名

									        string b = new scanner(system.in).nextline();//密码

									        //sql骨架，?叫占位符

									        string sql = "select * from user where name=? and password=?";

									        //preparedstatement把sql骨架和参数分开发送给数据的

									        //解决了sql攻击问题：jack'# 只是把#当做普通文本而不是注释符号

									        preparedstatement ps = conn.preparestatement(sql);

									        //给sql设置参数--指定要给哪个问号赋啥值

									        ps.setstring(1,a);

									        ps.setstring(2,b);

									        //4,执行sql，根据用户名和密码查库

									        resultset rs = ps.executequery();

									        //5,解析结果集

									        if( rs.next() ){ //如果查到了数据next()返回true,就可以登录

									            system.out.println("登录成功~~");

									        }else{

									            system.out.println("登录失败！");

									        }

									        //6,释放资源

									        rs.close();//释放结果集

									        ps.close();//释放传输器

									        conn.close();//释放连接

									    }

									    private static void method2() throws exception {

									        //1,注册驱动

									        class.forname("com.mysql.jdbc.driver");

									        //2,获取连接

									        string url ="jdbc:mysql:///cgb2105?characterencoding=utf8" ;//简写形式

									        connection  conn = drivermanager.getconnection(url, "root", "root");

									        //3,获取传输器

									        statement st = conn.createstatement();

									        //4,执行sql，根据用户名和密码查库

									        string a = new scanner(system.in).nextline();//用户名

									        string b = new scanner(system.in).nextline();//密码

									//sql攻击/sql注入问题：本质是因为用户输入的特殊符号造成sql语义发生了改变。jack'#

									        string sql = "select * from user where name='"+a+"' and password='"+b+"'";

									        resultset rs = st.executequery(sql);

									        //5,解析结果集

									        if( rs.next() ){ //如果查到了数据next()返回true,就可以登录

									            system.out.println("登录成功~~");

									        }else{

									            system.out.println("登录失败！");

									        }

									        //6,释放资源

									        rs.close();//释放结果集

									        st.close();//释放传输器

									        conn.close();//释放连接

									    }

									    //模拟登录：根据用户名和密码查询user表

									    private static void method() throws exception {

									        //1,注册驱动

									        class.forname("com.mysql.jdbc.driver");

									        //2,获取连接

									//string url ="jdbc:mysql://localhost:3306/cgb2105?characterencoding=utf8" ;

									string url ="jdbc:mysql:///cgb2105?characterencoding=utf8" ;//简写形式

									        connection  conn = drivermanager.getconnection(url, "root", "root");

									        //3,获取传输器

									        statement st = conn.createstatement();

									        //4,执行sql，根据用户名和密码查库

									        string sql = "select * from user where name='jack' and password='123'";

									        resultset rs = st.executequery(sql);

									        //5,解析结果集

									        if( rs.next() ){ //如果查到了数据next()返回true,就可以登录

									            system.out.println("登录成功~~");

									        }else{

									            system.out.println("登录失败！");

									        }

									        //6,释放资源

									        rs.close();//释放结果集

									        st.close();//释放传输器

									        conn.close();//释放连接

									    }

									}

–3，总结

sql 攻击发生的现象是：用户输入了一些sql中的特殊字符，#表示注释

statement工具：无法避免sql注入问题，而且sql复杂需要自己拼接参数，低效

preparedstatement工具：避免了sql攻击的问题，sql简单，高效

–sql简单，先把sql骨架发给数据库，再把参数发给数据库。用?代替参数的位置叫占位符

二，练习preparedstatement

–1，需求

删除id=1的用户信息

–2，测试

				?

									package cn.tedu.test;

									import java.sql.connection;

									import java.sql.preparedstatement;

									import java.sql.sqlexception;

									public class test4 {

									    public static void main(string[] args) {

									        connection conn = null;

									        preparedstatement ps= null;

									        try{

									            //调用工具类，，，获取连接

									            conn = jdbcutils.getconnection();

									            //3，获取传输器 ，利用高级的工具类执行sql

									            //先执行sql骨架

									            string sql = "delete from user where id=?";

									            ps = conn.preparestatement(sql);

									            //给第一个问号，设置值是1

									            ps.setint(1,1);

									            //4,执行sql

									            int rows = ps.executeupdate();

									            system.out.println("删除成功");

									        }catch (exception e){

									            system.out.println("执行失败...");

									        }finally{ //最终一定会被执行的

									            //5,释放资源

									           jdbcutils.close(null,ps,conn);

									        }

									    }

									}

–3,制作工具类

				?

									package cn.tedu.test;

									import java.sql.*;

									//提取jdbc重复的代码，提高复用性

									public class jdbcutils {

									    /**

									     * 释放资源

									     * @param rs 结果集

									     * @param ps 传输器

									     * @param conn 数据库的连接

									     */

									    final static public void close(resultset rs, preparedstatement ps, connection conn){

									        if(rs != null){//防止空指针异常

									            try {

									                rs.close();

									            } catch (sqlexception throwables) {

									                system.out.println("执行失败...");//项目上线后的

									                //throwables.printstacktrace();//程序调试阶段

									            }

									        }

									        if(ps != null){//防止空指针异常

									            try {

									                ps.close();

									            } catch (sqlexception throwables) {

									                throwables.printstacktrace();

									            }

									        }

									        if(conn != null) {//防止空指针异常

									            try {

									                conn.close();

									            } catch (sqlexception throwables) {

									                throwables.printstacktrace();

									            }

									        }

									    }

									    /**

									     * 获取和数据库的连接

									     * */

									    static public connection getconnection() throws exception {

									        //1，注册驱动

									        class.forname("com.mysql.jdbc.driver");

									        //2，获取连接

									        string url="jdbc:mysql:///cgb2105?characterencoding=utf8";

									        connection conn = drivermanager.getconnection(url,"root","root");

									        return conn;

									    }

									}

三，html

–1,概述

是超文本标记语言，是指可以在网页中加入比文本更丰富的内容。标记有很多，要写开始标记和结果标记 <html></html>

–2,入门案例

				?

									html>

									    <head>

									        <title>hello html~</title>

									    </head>

									    <body>

									        test......

									    </body>

									</html>

–3,使用工具

Java SQL注入案例教程及html基础入门

				?

									<!doctype html> <!-- 声明这是一个html文件 -->

									<html>  <!-- html根标签-->

									    <head> <!-- 头部信息，设置网页的标题，编码。。。-->

									        <meta charset="utf-8"> <!-- 设置网页的编码 -->

									        <title> html测试 </title> <!-- 设置网页的标题 -->

									    </head>

									    <body> <!-- 体信息，设置网页中要显示的内容 -->

									        <!-- 这是html的注释，hbuilder复制粘贴一行ctrl c/ctrl v  ，剪切ctrl x，调整位置ctrl ↑↓ -->

									        你好      html~

									        你好html~ <br/>  <!-- br可以在网页中实现换行-->

									        你&nbsp; &nbsp; &nbsp; &nbsp;好html~  <!-- &nbsp;可以在网页中实现空格-->

									        你好html~

									        你好html~

									        你好html~

									    </body>

									</html>

–4，测试

Java SQL注入案例教程及html基础入门

四，测试常用标签

				?

									<!doctype html>

									<html>

									    <head>

									        <meta charset="utf-8">

									        <title>常用标签</title>

									    </head>

									    <body>

									        <!-- 1. 标题标签 h1 h2 h3...h6 -->

									            <h1> 1级标签 </h1>

									            <h2> 2级标签 </h2>

									            <h3> 3级标签 </h3>

									            <h4> 4级标签 </h4>

									            <h5> 5级标签 </h5>

									            <h6> 6级标签 </h6>

									        <!-- 2. 列表标签， ul+li无序列表   ol+li有序列表 -->

									            <ol>

									                <li> 全国新冠疫苗接种剂次超13亿 </li>

									                <li> 刘伯明神七出舱曾遇险情 </li>

									                <li> 中国成功发射风云三号05星 </li>

									                <li> 江苏女生中考757分8门满分 </li>

									            </ol>

									        <!-- 3. 图片标签，在网页中插入一个图片 

									                src属性用来指定图片的路径

									                width属性用来指定图片的宽度,单位是像素px

									                height属性用来指定图片的高度,单位是像素px

									        -->

									            <img src="a/2.jpg" width="200px" height="500px"/>

									            <img src="2.jpg" width="200px" height="500px"/>

									            <img src="2.jpg" width="200px" height="500px"/>

									        <!-- 4. 超链接标签 

									            href属性用来指定点击时要跳转的路径

									            target属性用来指定是否打开新窗口

									        -->

									            <a href="http://www.baidu.com" target="_blank">点我</a>

									        <!-- 锚定，返回顶部-->

									            <a name="top">北京市富婆通讯录</a>

									                <h1>18518518515</h1>

									                <h1>123</h1>

									                <h1>123</h1>

									                <h1>123</h1>

									                <h1>123</h1>

									                <h1>123</h1>

									                <h1>123</h1>

									                <h1>123</h1>

									                <h1>123</h1>

									                <h1>123</h1>

									                <h1>123</h1>

									            <!-- href指定要回到的位置，通过#获取上面name的值 -->

									            <a href="#top">点我，回到顶部</a>

									        <!-- 5. input标签   -->

									        <br />

									            <input type="text" />  <!-- 普通文本类型-->

									            <input type="number" />  <!-- 数字类型-->

									            <input type="password" />  <!-- 密码，自动加密-->

									            <input type="date" />  <!-- 年月日-->

									            <input type="week" /> <!-- 周-->

									            <input type="radio" />男  <!-- 单选框-->

									            <input type="checkbox" />杨幂  <!-- 多选框-->

									            <input type="button" value="点我"/>  <!-- 按钮 -->

									            <input type="submit" />   <!-- 提交按钮 -->

									            <br /><br /><br /><br /><br /><br />

									    </body>

									</html>