[英]Can't delete record from MySQL database
您不能以這種方式編寫查詢。 想象一下有人在tfemail
字段中輸入以下文本:
"Joe' OR FALSE"
讓我們看看這會對您的 SQL 查詢產生什么影響:
DELETE FROM user WHERE Name = 'Joe' OR FALSE;
再見,數據庫!
一些 dbs 允許您在運行 db 引擎的服務器上執行一些東西。 這意味着這個技巧可以用來完全破解機器或完全格式化磁盤。 再見,整台機器。
這也意味着需要刪除您的executeQuery
方法 - 抽象('這里有一些 SQL,請運行它')很少有用(因為它不能包含任何用戶輸入),並誘使您編寫安全漏洞。
解決方案是准備好的語句:
PreparedStatement ps = con.prepareStatement("DELETE FROM user WHERE Name = ?");
ps.setString(1, "Joe");
ps.executeUpdate();
這解決了您的問題,並且安全地解決了 - ps.setString(1, "Joe' OR FALSE");
現在不再是問題(DB 引擎或 JDBC 驅動程序保證它會解決問題;效果將是刪除用戶表中字面上讀取“Joe' OR FALSE”的條目)。
此外,將密碼存儲在數據庫中不是一種可接受的策略。 解決方案是例如 bcrypt:使用專門設計用於存儲密碼的散列算法。
String query = "DELETE FROM user WHERE Name ='" + tfemail.getText() + "'"; ^ ^ |___________add___________|
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.