Question

我需要使用JSP创建登录，因此我需要使用mysql-connector-java。

我将文件jar：mysql-connector-java-5.1.38-bin.jar插入 WEB-INF / lib

我将此代码用于jsp文件：

<%@ 
        page import="java.sql.*"
    %>

<%
    String DRIVER = "com.mysql.jdbc.Driver";
    String URL_mioDB = "jdbc:mysql://localhost:3306/ditta";

    try
    {
       Class.forName(DRIVER);
    } 
    catch (ClassNotFoundException e) 
    {
       System.err.println("Driver not found" + e);
    } 

    Connection connessione = null;
    try
    {
       // apro la connesione verso il database.
       connessione = DriverManager.getConnection(URL_mioDB,"root","");
    } 
    catch (Exception e)
    {
       System.err.println("Error during connection with db : " + e);
    } 

    String mail="",pass="",send="",query="";

    try
    {
        mail=request.getParameter("email");
        pass=request.getParameter("password");
        send=request.getParameter("send");

        out.println("<FORM name='F1' method='post' action='login.jsp'>");
            out.println("Email: <INPUT type='text' name='email' value='' placeholder='mariorossi@gmail.com'><BR><BR>");
            out.println("Password: <INPUT type='password' name='password' value=''><BR><BR>");
            out.println("<INPUT type='submit' name='send' value='Invia'>&nbsp;&nbsp;&nbsp;&nbsp;<INPUT type='reset' name='reset' value='Reset'>");
        out.println("</FORM>");
    }
    catch (Exception e)
    {
       System.err.println(e);  
    } 

    if(send!=null && mail!="" && pass!="")
    {
        query="SELECT * FROM dipendenti WHERE email="+ mail + " AND password=" + pass + "";

        Statement statement = connessione.createStatement();
        ResultSet resultSet = statement.executeQuery(query);
        ResultSetMetaData rsmd = resultSet.getMetaData();

        for(int i=0;i<=rsmd.getColumnCount();i++)
        {
            out.println(resultSet.getString(i));
            }
    }

%>

之后，当我点击发送按钮时，页面会给我这个错误：

errors image

Answer 1

在这里猜一下......

我想这可能是关于如何将参数值传递给查询的。所以，如果邮件是＆＃34; a@a.com"密码是＆＃34; a＆＃34;，然后您的查询最终成为：

SELECT * FROM dipendenti WHERE email=a@a.com AND password=a

这不是一个合适的SQL。你错过了引号/撇号。我尝试达到这样的查询：

SELECT * FROM dipendenti WHERE email='a@a.com' AND password='a'

需要对您的定义进行简单的更改

query=...

与此同时，我知道这不是你在这里问的问题，但我强烈建议你阅读SQL Injection on Wikipedia。你在这里做的不是接受用户输入你的后端程序并最终进入数据库的正确方法。

对于这个非常具体的用例，JDBC（和数据库）有一个Prepared Statements的概念： http://docs.oracle.com/javase/tutorial/jdbc/basics/prepared.html

所以你会从类似的东西开始：

    // not tested
    query="SELECT * FROM dipendenti WHERE email=? AND password=?";
    PreparedStatement statement = connessione.prepareStatement(query);

    statement.setString(1, mail);
    statement.setString(2, pass);

    ResultSet resultSet = statement.executeQuery();

如何在jsp中使用mysql-connector-driver

1 个答案: