[步骤阅读四]SQL注入

按照以上方式开发，确实已经完成了基本的用户登录业务需求，但是这么做的话可以会出现一个比较严重的问题，那就是容易被SQL注入。所谓SQL注入，就是在需要用户填写信息，并且这些信息会生成数据库查询字符串的场景中，恶意输入破坏程序原有业务逻辑的数据库查询字符，最终达到欺骗程序执行恶意的SQL命令。

小博老师现在就为大家演示一下，在刚才开发的登录程序中，通过SQL注入的方式来进行登录：

可见，我们不需要知道数据库中用户表的信息，就可以进行成功登录。这个问题的根本原因在于，我们判断用户是否登录成功，是通过将用户填写的账户名称和密码拼接到查询语句：

select * from users where uname=‘账户名称’ and upwd=’账户密码’;

中执行，并且判断查询的结果集中是否有满足条件的记录。按照上图所示，小博老师不填写账户名称，而在密码中填写 ‘ or ‘1’=’1，那么拼接后的查询语句就变成了：

select * from users where uname=’’ and upwd=’’ or ‘1’ = ‘1’;

这样一来，or关键将where复合条件变为了“或则”的关系，后面跟上了一个恒成立的1=1，那么这个where条件就失去了意义，永远为true。这样一来，查询语句就变成了查询数据表中的所有记录，结果集中当然就会一直有数据存在，逻辑判断登录成功。

[步骤阅读五]参数化查询防止SQL注入

为了防止这种被SQL注入的漏洞存在，我们经常可以使用参数化查询的方式来实现程序的业务逻辑，接下来小博老师就为大家演示参数化查询的使用方式，我们修改原有代码如下：

// 加载JDBC驱动

Driver driver = new Driver();

// 创建数据库连接对象

Connection conn = DriverManager.getConnection( "jdbc:mysql://127.0.0.1:3306/bwf?useUnicode=true&characterEncoding=utf8",

"root","");

// 创建数据库预加载申明对象

PreparedStatement stmt = conn.prepareStatement("select * from users where uname = ? and upwd = ? ");

// 为预加载申明对象 添加 参数(用户填写的账户名称和密码)

stmt.setString(1, txtUname.getText());

stmt.setString(2, txtUpwd.getText());

// 向数据库发送查询语句，查询满足条件的用户记录

ResultSet rs = stmt.executeQuery();

// 判断查询的结果集中是否有满足条件的记录

if(rs.next()){

// 有满足条件的记录，登录成功

JOptionPane.showMessageDialog(getContentPane(), "登录成功！");

}else{

// 没有满足条件的记录，登录失败

JOptionPane.showMessageDialog(getContentPane(), "账户名称或密码错误！请重新填写！");

}

rs.close();

conn.close();

这样一来，我们就可以防止被SQL注入的危险了：