Beispiel und Lösung für einen SQL-Injection-Sicherheitslückenprozess

öffentliche Klasse JDBCDemo3 {
  öffentliche statische Leere demo3_1(){
    boolean flag = login("aaa' OR ' ","1651561"); //Wenn der Benutzername bekannt ist, kann diese Methode verwendet werden, um sich erfolgreich anzumelden, ohne das Passwort zu kennen if (flag) {
      System.out.println("Anmeldung erfolgreich");
    }anders{
      System.out.println("Anmeldung fehlgeschlagen");
    }

  }
  öffentliche statische Boolesche Anmeldung (String-Benutzername,String-Passwort) {
    Verbindung conn=null;
    Anweisung stat=null;
    Ergebnismenge rs=null;
    Boolesche Flagge=false;
    versuchen {
      conn = JDBCUtils.getConnection();
      String sql="SELECT * FROM user WHERE username='"+username+"'AND password='"+password+"'"; //Dies ist der Schlüssel zur SQL-Injection-Sicherheitslücke. Da es sich um eine Zeichenfolgenverkettung handelt, lautet die Abfrageanweisung: SELECT * FROM user WHERE username='aaa' OR '' AND password='1651561'. Diese Abfrageanweisung kann einen Ergebnissatz abrufen, daher tritt diese Sicherheitslücke aufstat=conn.createStatement();
      rs=stat.executeQuery(sql);
      wenn(rs.next()){
        Flagge=wahr;
      }anders{
        Flagge=falsch;
      }
    } Fang (SQLException e) {
      e.printStackTrace();
    }
    Flagge zurückgeben;
  }

öffentliche statische Leere demo3_1(){
    Boolesche Flagge = login1 ("aaa' ODER ' ","1651561");
    wenn (Flagge) {
      System.out.println("Anmeldung erfolgreich");
    }anders{
      System.out.println("Anmeldung fehlgeschlagen");
    }

  }
  öffentliche statische Boolesche Anmeldung1 (String-Benutzername, String-Passwort) {
    Verbindung conn=null;
    Vorbereitete Anweisung pstat=null;
    Ergebnismenge rs=null;
    Boolesche Flagge=false;

    versuchen {
      conn = JDBCUtils.getConnection();
      String sql="SELECT * FROM user WHERE username=? AND password=?"; //Verwenden Sie ? statt Parameter, voreingestelltes SQL-Format, selbst wenn Sie SQL-Schlüsselwörter eingeben, wird SQL es nicht erkennen pstat=conn.prepareStatement(sql);
      pstat.setString(1,username); //Wert des Fragezeichens festlegen pstat.setString(2,password);
      rs=pstat.executeQuery();
      wenn(rs.next()){
        Flagge=wahr;
      }anders{
        Flagge=falsch;
      }
    } Fang (SQLException e) {
      e.printStackTrace();
    }
    Flagge zurückgeben;
  }
}