抱着学习娱乐的心态写的这篇博客 如果有错误 请回复指出

Java服务端

1 http请求

GET  GET方法是默认的HTTP请求方法, 但是相对来说携带的数据长度有限的 速度比POST快 用于查询合适

POST  POST方法是GET方法的一个替代方法，它主要是向Web服务器提交表单数据，尤其是大批量的数据。安全性也会比GET高

如果用户输入的数据不是中文字符而且包含敏感数据，那么还是使用 post为好。

2 防止SQL注入

@WebServlet("/Login")

public class LoginServlet extends HttpServlet {

public LoginServlet()

{

}

@Override

protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {

// TODO Auto-generated method stub

String UserName=req.getParameter("UserName");

String PassWord=req.getParameter("PassWord");

resp.setContentType("text/html;charset=utf-8");

User s=new User(UserName,PassWord);

PrintWriter out=resp.getWriter();

try {

if(s.isExist())

{

//resp.sendRedirect("/JMZ/MyServlet");

out.print("登录成功");

}

else

{

//resp.sendRedirect("/JMZ/Error");

out.print("登录失败");

}

} catch (SQLException e) {

// TODO Auto-generated catch block

e.printStackTrace();

out.print("登录出错了！");

}

out.close();

}

@Override

protected void doPost(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {

// TODO Auto-generated method stub

doGet(req, resp);

}

}

为了方便自己测试 写成了GET 但是实际项目中 把处理移到POST 

为了防止sql注入 用的Java 提供的PreparedStatement

public boolean isExist() throws SQLException

{

Connection conn=DButil.getConn();

String sql = "select * from user  where UserName=? and PhoneNumber=?";

        PreparedStatement  pstmt = conn.prepareStatement(sql);

        pstmt.setString(1,UserName);

        pstmt.setString(2,PassWord);

  System.out.println(sql);

ResultSet rs = pstmt.executeQuery();

int rowCount = 0;

while(rs.next()) {

rowCount++;

}

rs.close();

pstmt.close();

//stmt.close();

conn.close();

System.out.println(rowCount+"");

if(rowCount==1)

{

return true;

}

return false;

}

上文中只是判断数据库中有没有这条数据而已 一般来说还要解析表的数据返回给前端

在数据库中SQL语句可以写成

select * from user where username='xxxx' and password=md5('xxxx')

如果 用户输入 or 1=1# 密码随便输入 会等价于

select * from users where username='' or 1=1#" and password=md5('xxxx')

#注释掉了后面的 and password=md5('xxxx')语句 因为1=1永远是都是成立的，即where子句总是为真，将该sql进一步简化之后，等价于如下select语句：

select * from users 没错，该sql语句的作用是检索users表中的所有字段

还有更恶意的操作 用户输入any_value' and pw = ''; DROP TABLE users#

等价于

select * from users where username=''any_value' and pw = ''; DROP TABLE users#" and password=md5('xxxx')

虽然第一句sql是不会执行成功  但是第二句太可怕了 。

3 事物的回滚

一般在后端的处理中 这个是经常用到的

@Override

protected void doGet(HttpServletRequest req, HttpServletResponse resp) {

// TODO Auto-generated method stub

Connection conn=DButil.getConn();

String sql = "select * from AbpUsers where UserName=? and PhoneNumber=?";

String UserName=req.getParameter("UserName");

String PassWord=req.getParameter("PassWord");

PreparedStatement pstmt=null;

try {

pstmt = conn.prepareStatement(sql);

pstmt.setString(1,UserName);

pstmt.setString(2,PassWord);

conn.setAutoCommit(false);//开启事务

pstmt.addBatch();

int rowCount= pstmt.executeUpdate(); 

conn.commit();//事务提交

} catch (SQLException e) {

// TODO Auto-generated catch block

e.printStackTrace();

    if(pstmt!=null)

    {

    try {

conn.rollback();//回滚

} catch (SQLException e1) {

// TODO Auto-generated catch block

e1.printStackTrace();

}

    }

}

}

这只是在演示写法 一般来说执行两条以上的sql语句 要么全部执行成功 要么全部执行失败

Android 端

private void Login()

{

new Thread(new Runnable() {

@Override

        public void run() {

          String  url="http://xxx.xxx.xxx.xxx:8080/JMZ/Login?UserName=xxx&PassWord=xxxxx";

            String  request=submitGetData(url,new HashMap(),"UTF-8");

            Log.e("request",request);

        }

}).start();

}

记得加上网络权限 下面是Log

05-08 09:53:35.275 7383-7402/? E/返回结果：response=: 200

05-08 09:53:35.276 7383-7402/? E/request: 登录成功