在练习preparstatement过程中，为什么使用了这种方法依然发生了sql注入？

import java.sql.*;
import java.util.*;

public class JDBCTest01 {
    public static void main(String[] args) {
        //初始化界面
        Map<String, String> userLoginInfo = initUO();
        boolean loginSuccess =  login(userLoginInfo);
        System.out.println("登陆成功！");
    }

    /**
     * 用户登录
     * @param userLoginInfo 用户登录信息
     * @return false表示失败，true表示成功
     */
    private static boolean login(Map<String, String> userLoginInfo) {
        //标记
        boolean loginSuccess = false;

        //定义变量
        String loginName = userLoginInfo.get("loginName");
        String loginPwd = userLoginInfo.get("loginPwd");
        Connection connection =null;
        PreparedStatement preparedStatement = null;
        ResultSet resultSet = null;
        ResourceBundle bundle = ResourceBundle.getBundle("jdbc");
        String driver =bundle.getString("driver");
        String url =bundle.getString("url");
        String username =bundle.getString("user");
        String password =bundle.getString("password");
        //JDBC
        try {
            Class.forName(driver);
            connection = DriverManager.getConnection(url,username,password);
            String sql = "select * from t_user where loginName = ? and loginPwd = ?;";
            preparedStatement = connection.prepareStatement(sql);
            preparedStatement.setString(1,loginName);
            preparedStatement.setString(2,loginPwd);
            resultSet = preparedStatement.executeQuery();

            if (resultSet.next()){
                loginSuccess = true;
            }
        } catch (ClassNotFoundException e) {
            e.printStackTrace();
        } catch (SQLException throwables) {
            throwables.printStackTrace();
        } finally {
            if (connection != null) {
                try {
                    connection.close();
                } catch (SQLException throwables) {
                    throwables.printStackTrace();
                }
            }
            if (preparedStatement != null) {
                try {
                    preparedStatement.close();
                } catch (SQLException throwables) {
                    throwables.printStackTrace();
                }
            }
            if (resultSet != null) {
                try {
                    resultSet.close();
                } catch (SQLException throwables) {
                    throwables.printStackTrace();
                }
            }
        }

        return loginSuccess;
    }


    /**
     * 初始化用户界面
     *
     * @return 用户输入的用户名和密码等登录信息
     */
    private static Map<String, String> initUO() {
        Scanner s = new Scanner(System.in);
        System.out.print("用户名：");
        String loginName = s.nextLine();
        System.out.print("密码：");
        String password = s.nextLine();
        Map<String, String> userLoginInfo = new HashMap<>();
        userLoginInfo.put("loginName", loginName);
        userLoginInfo.put("loginPwd", password);
        return userLoginInfo;
    }
}

写回答
好问题 0 提建议
追加酬金
关注问题
分享
邀请回答
编辑收藏删除结题
收藏举报

1条回答默认最新

关注

码龄粉丝数原力等级 --

被采纳

被点赞

采纳率
韩_师兄 2021-02-05 16:44
关注
你传什么参数,发生了sql了注入?这种情况应该没有的

解决无用
评论打赏
分享
举报

评论

按下Enter换行，Ctrl+Enter发表内容

报告相同问题？

关注问题

sleep函数被禁用后怎么进行sql注入？ mysql web安全网络安全
2022-10-06 21:55

回答 2 已采纳通过rpad或repeat构造长字符串，加以计算量大的pattern，通过repeat的参数可以控制延时长短。
在sql中多大的数据才算是大数据？ java mysql 数据库
2022-03-31 17:24

回答 5 已采纳其实没有实际的标准明确定义多少数据量算大数据，不过阿里开发手册中建议，表数据超过500万条时，建议考虑分表，以防影响查询效率，不过我们公司也有单表超过几千万条的数据，效率确实不高，所以理论上百万级别以
在SQL server出现列名不明确是为什么 sql
2021-10-17 16:40

回答 1 已采纳你的 s表以及 sc表中同时存在了 SNo字段所以提示不明确解决方法就是指定就像你的条件s.SNo写法一样
如何防止sql注入？防止sql注入方法介绍
2021-07-21 10:17

nayun123的博客一、什么叫SQL注入攻击？sql注入简介 SQL注入是较为普遍的互联网攻击方法，它并不是通过...也就是说，SQL注入是用户的输入信息，在连接SQL语句的过程中，跨越了数据本身，变成了SQL语句逻辑的一部分，随后被拼凑的SQL
在使用“数据库/ SQL”时如何防止Go中的SQL注入攻击？
2014-10-13 17:12

回答 2 已采纳 As long as you're using Prepare or Query, you're safe. // this is safe db.Query("SELECT name FROM
MySQL在hive使用的过程中的作用是什么？ mysql
2019-03-07 10:29

回答 3 已采纳资源库的角色。hive不也是属于数据仓库嘛，他的数据文件是放在HDFS上，但是他的配置信息是放在资源库上，也就是mysql。比如说表结构等等。相当于'后宫'，我是这么理解的。
MS_SQL的存储过程中，如何判断update语句执行成功？ asp.net java mysql python sql
2019-06-10 19:50

回答 3 已采纳 ![图片说明](https://img-ask.csdn.net/upload/201906/11/1560232266_416274.png) 如图，叫做“妮瑪”的网友的写法给了我一丝希望。但是，
SQL注入是什么，怎么防止SQL注入？
2021-08-09 18:15

丿兔子先生丶的博客 SQL注入是什么，怎么防止SQL注入？一、什么是SQL注入？ SQL注入是比较常见的网络攻击方式之一，它不是利用操作系统的BUG来实现攻击，而是针对程序员编程时的疏忽，通过SQL语句，实现无帐号登录，甚至篡改数据库。 ...
sqlserver中使用explain找不到存储过程 mysql 有问必答
2021-03-31 22:56

回答 5 已采纳 explain 是 MySQL的，你这个是sqlserver
PreparedStatement防止sql注入的一些疑问? sql
2018-11-08 10:20

回答 1 已采纳 PreparedStatement并不使用字符串拼接来调用参数，所以根本不存在添加单引号一说。再说，添加单引号就不能注入了么？ SELECT * FROM employees WHERE salar
Sql语句中in在C#的linq语句中如何使用 asp.net c# sql
2018-12-25 10:38

回答 1 已采纳 update没法直接用linq，但是in等效的是contains 你可以分为2步 int[] arr = {1,2,3,4,5,6}; var query = dbContext.Users.W
究竟什么是SQL注入？
2020-06-03 20:39

Sisyphus」的博客 SQL注入是Web安全层面最高危的漏洞之一，长期霸榜OWASP Top10首位，但是究竟什么事SQL注入？SQL注入又是怎么产生的？接下来本篇文章将详细介绍SQL注入产生的原理。本篇文章并没有描述具体的注入方法，而是侧重于对...
SQL中的内联查询一般在什么时候会使用？ sql
2016-04-24 02:32

回答 1 已采纳一般是在两张表拥有共同的部分时候才会用到内联查询。例如：两个相交的集合，需要取出它们的共同部分。
mybatis如何防止SQL注入？
2022-05-17 22:59

lsz冲呀的博客 sql注入发生的时间，sql注入发生的阶段在sql预编译阶段，当编译完成的sql不会产生sql注入 一、采用jdbc操作数据时候 String sql = "update ft_proposal set id = "+id; PreparedStatement prepareStatement = conn....
什么是SQL注入？
2019-05-02 19:16

尹成诺的博客有人的地方就有江湖，有数据库存在的地方就可能存在 SQL 注入漏洞。什么是SQL 注入？ SQL 注入是一种非常常见...SQL 注入其实就是恶意用户通过在表单中填写包含 SQL 关键字的数据来使数据库执行非常规代码的过程...
没有解决我的问题, 去提问

悬赏问题

¥15 我的住宅ip和vps的地址都是法国可是在whoer里面一直查询我的位置是美国这种ip不符合是什么问题导致的怎么解决手机电脑换电脑用whoer查询都是美国用别的查询都是在法国
¥15 关于游戏验证码滑块问题
¥15 Unity 2022.3.34版本安卓打包apk失败，gradle配置问题，用的是mono2x
¥15 R语言中安装bibliometrix 后运行biblioshiny出现问题
¥20 关于#android#的问题：用开发助手发现找不到控件(autojs)
¥15 dir815漏洞反弹shell失败
¥15 支付宝小程序云函数登录获取user_id失败
¥50 python for 循环速度慢
¥15 CubeMX生成的代码用keil编译有报错
¥15 Stata链式中介效应代码修改

在练习preparstatement过程中，为什么使用了这种方法依然发生了sql注入？

1条回答 默认 最新

悬赏问题

1条回答默认最新