Java 从键盘比较密码的sql注入_Java_Sql_Jdbc_Sql Injection

Java 从键盘比较密码的sql注入

java sql jdbc

Java 从键盘比较密码的sql注入,java,sql,jdbc,sql-injection,Java,Sql,Jdbc,Sql Injection,我正在努力实现我的java应用程序，我一直在与安全性作斗争，因为我对这一点还不熟悉。因此，为了避免身份验证中的sql注入，直接从键盘比较密码所以我想知道是否有任何可能的方法我们仍然可以在这段代码中进行sql注入 login = in.readLine(); pass = in.readLine(); resultat = conn.getConnexion().createStatement( ResultSet.TYPE_SCROLL_INSENSITIVE,Res

我正在努力实现我的java应用程序，我一直在与安全性作斗争，因为我对这一点还不熟悉。因此，为了避免身份验证中的sql注入，直接从键盘比较密码

所以我想知道是否有任何可能的方法我们仍然可以在这段代码中进行sql注入

login = in.readLine();
pass = in.readLine();
resultat = conn.getConnexion().createStatement(
            ResultSet.TYPE_SCROLL_INSENSITIVE,ResultSet.CONCUR_READ_ONLY).executeQuery("SELECT * FROM users_frontale WHERE login ='"+login+"'");

                if(resultat.first())    
                    if(resultat.getString("password").equals(pass))
                        connexion=true;
            } catch (SQLException e) {
                e.printStackTrace();

是的，您可以像

一样输入登录名；删除表格用户(u frontale);---无需重新发明轮子：使用预先准备好的语句。为了避免SQL注入，请阅读OWASP SQL注入指南。除了明显的SQL注入问题外，您正在未加密地存储密码，这也是一个安全缺陷。您是否想过使用Hibernate
而不是JDBC