Mysql 的sql注入是什么?怎么解决?

sql注入的原因
语句和用户输入的内容举行拼接，发送给数据库编译的时候，数据库将用户输入的内容当成sql语句编译了。从而从根本上改变了我们开发者所盼望sql语句原有的寄义。导致步伐受到sql攻击。
sql注入的代码
这案例用户名暗码均错误也可以登岸,就是发生了sql注入

1. public static void main(String[] args) throws Exception {        //假设这里的用户名和暗码是前端页面通报过来的。        String username = "admin' -- ";        String password = "1234";        //注册驱动        Class.forName("com.mysql.jdbc.Driver");        //获取毗连        Connection con = DriverManager.getConnection("jdbc:mysql://localhost:3306/day05", "root", "123");        //创建statement对象        Statement statement = con.createStatement();        //向数据库发送sql语句，查察该用户是否存在。这条sql语句查询的该用户名和暗码的用户有多少个。        String sql = "select count(*) from user where name = '" + username + "' and password = '" + password + "'";        ResultSet rs = statement.executeQuery(sql);        int count = 0;        while (rs.next()) {            //获取count(*)的值            count = rs.getInt(1);        }        if(count==1){            //只有一个同时满足用户名和暗码的用户，可以登录            System.out.println("登录乐成");        }else if(count==0){            //不存在该用户            System.out.println("不能登录");        }            }

复制代码

执行代码，可以发现用户名为 admin’ – ，暗码为 1234 这样的用户是不存在的，但是尽然可以登录乐成。那么这是什么原因造成的呢？
将字符串拼接后的sql语句放在可视化工具中查察发现如下情况，可以发现，反面暗码的验证被注释掉了。这样岂不是谁都可以登录了？

管理方法
首先将sql语句所代表的寄义确定下来，然后再向编译好的sql语句中填充用户输入的内容。这样用户输入的内容就不会再被编译了。所以需要我们学习preparedStatement向数据库发送预编译的sql语句。
就是preparedStatement + 占位符 ?搭配使用（先编译再传参数）
管理sql注入之后的代码

1. public static void main(String[] args) throws Exception {                String username = "wangwu' -- ";                String password = "5555";                //注册驱动                Class.forName("com.mysql.jdbc.Driver");                //获取毗连                Connection con = DriverManager.getConnection("jdbc:mysql://localhost:3306/day09_1","root","123");                //创建preparedStatement对象                //要让sql语句举行预编译，需要保证sql语句的完整。所以需要首先使用?来占位。                String sql = "select count(*) from user where username=? and password=?";                PreparedStatement ps = con.prepareStatement(sql);                //将用户填写的值填充到编译好的sql语句中                ps.setString(1, username);                ps.setString(2, password);                //执行sql语句                ResultSet rs = ps.executeQuery();                int count = 0;                while(rs.next()){                         count = rs.getInt(1);                }                if(count==1){                        System.out.println("登录乐成");                }else{                        System.out.println("登录不乐成");                }                rs.close();                ps.close();                con.close();        }

复制代码

PreparedStatement管理sql注入的原理
PreparedStatement 管理SQL注入原理，运行在SQL中参数以?占位符的方式表示
select * from user where username = ? and password = ? ;
将带有 ? 的SQL 发送给数据库完成编译 （不能执行的SQL 带有?的SQL 举行编译 叫做预编译），在SQL编译后发现缺少两个参数
PreparedStatement 可以将? 取代参数 发送给数据库服务器，因为SQL已经编译过，参数中特殊字符不会当做特殊字符编译，无法到达SQL注入的目标
** PreparedStatement优点**
相对于Statement对象而言：
1、PreperedStatement可以制止SQL注入的问题。
2、Statement对象每次执行SQL语句时，都会对其举行编译。当相同的SQL语句被执行被执行多次时，Statement对象就会使数据库频仍编译相同的SQL语句，从而低沉数据库的效率。
PreparedStatement对象可对SQL语句举行预编译。也就是说，当相同的SQL语句再次执行时，数据库只需使用缓冲区中的数据，而不需要对SQL语句在次编译，从而提高访问效率。
3、并且PreperedStatement对于sql中的参数，允许使用占位符的形式举行替换，简化sql语句的编写。可读性变强。

来源：https://blog.csdn.net/weixin_43548518/article/details/111959914
免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！