[步驟閱讀四]SQL注入

按照以上方式開發，確實已經完成了基本的用戶登錄業務需求，但是這么做的話可以會出現一個比較嚴重的問題，那就是容易被SQL注入。所謂SQL注入，就是在需要用戶填寫信息，并且這些信息會生成數據庫查詢字符串的場景中，惡意輸入破壞程序原有業務邏輯的數據庫查詢字符，最終達到欺騙程序執行惡意的SQL命令。

小博老師現在就為大家演示一下，在剛才開發的登錄程序中，通過SQL注入的方式來進行登錄：

可見，我們不需要知道數據庫中用戶表的信息，就可以進行成功登錄。這個問題的根本原因在于，我們判斷用戶是否登錄成功，是通過將用戶填寫的賬戶名稱和密碼拼接到查詢語句：

select * from users where uname=‘賬戶名稱’ and upwd=’賬戶密碼’;

中執行，并且判斷查詢的結果集中是否有滿足條件的記錄。按照上圖所示，小博老師不填寫賬戶名稱，而在密碼中填寫?‘?or?‘1’=’1，那么拼接后的查詢語句就變成了：

select * from users where uname=’’?and upwd=’’?or?‘1’?=?‘1’;

這樣一來，or關鍵將where復合條件變為了“或則”的關系，后面跟上了一個恒成立的1=1，那么這個where條件就失去了意義，永遠為true。這樣一來，查詢語句就變成了查詢數據表中的所有記錄，結果集中當然就會一直有數據存在，邏輯判斷登錄成功。

[步驟閱讀五]參數化查詢防止SQL注入

為了防止這種被SQL注入的漏洞存在，我們經常可以使用參數化查詢的方式來實現程序的業務邏輯，接下來小博老師就為大家演示參數化查詢的使用方式，我們修改原有代碼如下：

// 加載JDBC驅動

Driver?driver?=?new?Driver();

// 創建數據庫連接對象

Connection?conn?= DriverManager.getConnection( "jdbc:mysql://127.0.0.1:3306/bwf?useUnicode=true&characterEncoding=utf8",

"root","");

// 創建數據庫預加載申明對象

PreparedStatement?stmt?=?conn.prepareStatement("select * from users where uname = ? and upwd = ? ");

// 為預加載申明對象 添加 參數(用戶填寫的賬戶名稱和密碼)

stmt.setString(1,?txtUname.getText());

stmt.setString(2,?txtUpwd.getText());

// 向數據庫發送查詢語句，查詢滿足條件的用戶記錄

ResultSet?rs?=?stmt.executeQuery();

// 判斷查詢的結果集中是否有滿足條件的記錄

if(rs.next()){

// 有滿足條件的記錄，登錄成功

JOptionPane.showMessageDialog(getContentPane(),?"登錄成功！");

}else{

// 沒有滿足條件的記錄，登錄失敗

JOptionPane.showMessageDialog(getContentPane(),?"賬戶名稱或密碼錯誤！請重新填寫！");

}

rs.close();

conn.close();

這樣一來，我們就可以防止被SQL注入的危險了：