java 项目简单操作 mysql

来源:转载

首先建立表,和插入数据:

CREATE TABLE users (userId INT PRIMARY KEY,username VARCHAR(20),passwd VARCHAR(20),grade INT);INSERT INTO `users` (`userId`, `username`, `passwd`, `grade`) VALUES('1','admin','123','1');INSERT INTO `users` (`userId`, `username`, `passwd`, `grade`) VALUES('2','hou','123','2');INSERT INTO `users` (`userId`, `username`, `passwd`, `grade`) VALUES('3','test','123','3');

java 文件中只显示 username 和 passwd,自己可以更改。

import java.sql.*;public class Mysql { public static void main(String[] args){ String driver = "com.mysql.jdbc.Driver"; String url = "jdbc:mysql://127.0.0.1:3306/db_hou"; String user = "root"; String password = "123456"; try { Class.forName(driver); Connection conn = DriverManager.getConnection(url, user, password); if(!conn.isClosed()) System.out.println("Succeeded connecting to the Database!"); Statement statement = conn.createStatement(); String sql = "select * from users"; ResultSet rs = statement.executeQuery(sql); System.out.println("-----------------"); System.out.println("result"); System.out.println("-----------------"); System.out.println("name" + "/t" + " passwd"); System.out.println("-----------------"); String name = null; while(rs.next()) { name = rs.getString("passwd"); name = new String(name.getBytes("ISO-8859-1"),"GB2312"); System.out.println(rs.getString("username") + "/t" + name); } rs.close(); conn.close(); } catch(ClassNotFoundException e) { System.out.println("Sorry,can`t find the Driver!"); e.printStackTrace(); } catch(SQLException e) { e.printStackTrace(); } catch(Exception e) { e.printStackTrace(); } } }

这里需要引入依赖包:mysql-connector-java-5.1.6-bin.jar,项目右键 properties,java build path,add external jars。


关于sql 注入漏洞:对于之前的表和数据,查询语句可以是:

SELECT * FROM users WHERE username='admn' AND passwd='123';
这样只能显示这一个用户,且如果密码或者用户名输入错误,就不能查询到任何信息,但如果,密码加上一段话  OR 1='1'

SELECT * FROM users WHERE username='admn' AND passwd='564' OR 1='1';
这样就算你输入错误的用户名,也能查询到所有用户的信息。

比如在登录项目中:点击打开链接

用户名随便输入,密码输入 ' OR 1='1 就可以进入到 welcome 页面下。


分享给朋友:
您可能感兴趣的文章:
随机阅读: