运行代码时遇到了一个 “反常识” 的问题:明明数据库里只有用户
hhy(密码111),但输入不存在的用户名lzm和密码1' or '1'='1,程序却提示 “登录成功”。这究竟是道德的沦丧还是人性的泯灭!且接着往下看
1.1 场景 1:正常登录(正确用户名密码)
执行这项工作最重要的两项工作
1、读取输入的数据
2、将其与数据库中的数据进行对比
对应代码如下:
String sql = "select * from user where username = '"+username+"' and password = '"+password+"'";ResultSet set = statement.executeQuery(sql); if (set.next()){ System.out.println("登录成功..."); }else { System.out.println("登录失败...."); }┌─────────────┐ │ 控制台输入账号密码 │ └──────┬──────┘ │ ▼ ┌─────────────┐ │ 拼接SQL语句 │ │ where账号=输入值 │ │ and 密码=输入值 │ └──────┬──
)
