PreparedStatement详解

PreparedStatement详解JDBC初步.主要讲了基本访问数据库的步骤.其中第四步提到了用Statement去执行SQL语句.这里介绍个Statement的子类PreparedStatement.PreparedStatement(预处理执行语句)相比其父类Statement主要有以下几个优点.1.可以防止SQL注入.               2.在特定的驱动数据库下相对效率要高(不绝对)   

大家好,又见面了,我是你们的朋友全栈君。

JDBC初步.主要讲了基本访问数据库的步骤.其中第四步提到了用Statement去执行SQL语句.

这里介绍个Statement的子类PreparedStatement.

PreparedStatement(预处理执行语句)相比其父类Statement主要有以下几个优点.

1.可以防止SQL注入.                2.在特定的驱动数据库下相对效率要高(不绝对)             3.不需要频繁编译.因为已经预加载了

【如果重复执行只有参数不同的sql语句,使用?】

这里2和3的优点就不具体分析.这里主要讲解下防止SQL注入这一用途.

什么叫SQL注入可以阅读下WIKI.这里还是使用上一节总结的DBUtils来讲解.

DBUtils辅助类

复制代码

package
 com.test.jdbc;


import
 java.sql.Connection;

import
 java.sql.DriverManager;

import
 java.sql.ResultSet;

import
 java.sql.SQLException;

import
 java.sql.Statement;

/**

 * 

@author
 Administrator
 * 模板类DBUtils
 

*/


public
 
final
 
class
 DBUtils {

    

//
 参数定义


    
private
 
static
 String url 
=
 

jdbc:mysql://localhost:3306/mytest


//
 数据库地址


    
private
 
static
 String username 
=
 

root


//
 数据库用户名


    
private
 
static
 String password 
=
 

root


//
 数据库密码



    

private
 DBUtils() {

    }
    
//
 加载驱动


    
static
 {

        

try
 {

            Class.forName(


com.mysql.jdbc.Driver

);
        } 

catch
 (ClassNotFoundException e) {

            System.out.println(


驱动加载出错!

);
        }
    }

    
//
 获得连接


    
public
 
static
 Connection getConnection() 
throws
 SQLException {

        

return
 DriverManager.getConnection(url, username, password);
    }

    
//
 释放连接


    
public
 
static
 
void
 free(ResultSet rs, Statement st, Connection conn) {

        

try
 {

            

if
 (rs 
!=
 
null
) {

                rs.close(); 

//
 关闭结果集


            }
        } 

catch
 (SQLException e) {

            e.printStackTrace();
        } 

finally
 {

            

try
 {

                

if
 (st 
!=
 
null
) {

                    st.close(); 

//
 关闭Statement


                }
            } 

catch
 (SQLException e) {

                e.printStackTrace();
            } 

finally
 {

                

try
 {

                    

if
 (conn 
!=
 
null
) {

                        conn.close(); 

//
 关闭连接


                    }
                } 

catch
 (SQLException e) {

                    e.printStackTrace();
                }

            }

        }

    }

}

复制代码

在写sql注入演示类之前看下数据库结构:PreparedStatement详解

上边就是简单的users表.然后看下SQL注入演示类

SQLInner

复制代码

package
 com.test.jdbc;


import
 java.sql.Connection;

import
 java.sql.ResultSet;

import
 java.sql.SQLException;

import
 java.sql.Statement;


public
 
class
 SqlInner {

    

public
 
static
 
void
 main(String[] args) {

        

//
Read(“zhangsan”); 
//
 如果普通查询可以


        Read(

‘ or 1 or’

);
    }
    

public
 
static
 
void
 Read(String name) {

        Statement st 

=
 
null
;
        ResultSet rs 

=
 
null
;
        Connection conn 

=
 
null
;
        

try
 {

            conn 

=
 DBUtils.getConnection();
            st 

=
 conn.createStatement();
            String sql 

=
 

select * from users where lastname = ‘

 
+
 name 
+
 




//
 主要注入发生地


            System.out.println(

sql: 

 
+
 sql); 
//
 打印SQL语句


            rs 
=
 st.executeQuery(sql); 
            System.out.println(


age\tlastname\tfirstname\tid

);
            

while
 (rs.next()) {

                System.out.println(rs.getInt(

1

+
 

\t

 
+
 rs.getString(
2
)
                        

+
 

\t\t

 
+
 rs.getString(
3

+
 

\t\t

 
+
 rs.getString(
4
));
            }
        } 

catch
 (SQLException e) {

            e.printStackTrace();
        } 

finally
 {

            DBUtils.free(rs, st, conn);
        }
    }
}

复制代码

见注释.如果用普通的键zhangsan来查询.会打印

age    lastname    firstname    id

23
    zhangsan        lisi        
3

结果正常.但使用下面的’ or 1 or’结果为

age    lastname    firstname    id

22
    啡        咖        
1


25
    
434
        ni         
2


23
    zhangsan        lisi        
3

把所有结果都打印出来了.打印了一下生成后的SQL语句如下:

sql:
 select * from users where lastname = 
 or 1 or

分析下不难看出.主要问题是用了两个单引号 分别把前后的两个”给封闭了 变成两个空 然后通过or 1即or true就是符合所有条件了.

这就是SQL注入的一种.为了避免这种情况可以使用特殊符号替换 但只是亡羊补牢. 下面就引出了PreparedStatement

 

复制代码

package
 com.test.jdbc;


import
 java.sql.Connection;

import
 java.sql.PreparedStatement;

import
 java.sql.ResultSet;

import
 java.sql.SQLException;


public
 
class
 SqlInner {

    

public
 
static
 
void
 main(String[] args) {

        Read(


‘ or 1 or’

);
    }
    

public
 
static
 
void
 Read(String name) {

        PreparedStatement st 

=
 
null
;
        ResultSet rs 

=
 
null
;
        Connection conn 

=
 
null
;
        

try
 {

            conn 

=
 DBUtils.getConnection();
            String sql 

=
 

select * from users where lastname = ?


//
 这里用问号        


            st 
=
 conn.prepareStatement(sql);
            st.setString(

1
,name); 
//
 这里将问号赋值


            rs 
=
 st.executeQuery(); 
            System.out.println(


age\tlastname\tfirstname\tid

);
            

while
 (rs.next()) {

                System.out.println(rs.getInt(

1

+
 

\t

 
+
 rs.getString(
2
)
                        

+
 

\t\t

 
+
 rs.getString(
3

+
 

\t\t

 
+
 rs.getString(
4
));
            }
        } 

catch
 (SQLException e) {

            e.printStackTrace();
        } 

finally
 {

            DBUtils.free(rs, st, conn);
        }
    }
}

复制代码

见注释.PreparedStatement用?代替变量.然后加载后setString给赋值.由于PreparedStatement内置了字符过滤

那么就相当于 where name = ‘ or 1 or ‘显然没有对应记录.所以数据结果为空.这就体现了PreparedStatement的防注入功能

所以提倡大家只要是动态参数就是用PreparedStatement去代替Statement.况且效率也不错.优化的很好.

其余JDBC介绍文章待续.

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/136875.html原文链接:https://javaforall.cn

【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛

【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...

(0)


相关推荐

  • 每天一个JavaScript实例-递归实现反转数组字符串

    每天一个JavaScript实例-递归实现反转数组字符串

    2021年12月14日
  • java运行环境_如何搭建Java运行环境?

    java运行环境_如何搭建Java运行环境?前言对于运行一个Java程序,我们首先需要有一个运行Java程序的平台程序,这个平台程序就是Java虚拟机。本篇文章将介绍如何在Windows系统上搭建一个Java程序的运行环境,主要分为两个步骤:安装JDK,配置环境变量。Windows系统Java运行环境配置下载JDK并安装首先我们需要下载java开发工具包JDK,JDK中包含了JRE(Java运行环境)和一些官方提供给我们的工具,在oracl…

  • Python获取时间戳_python爬虫时间戳

    Python获取时间戳_python爬虫时间戳获取时间戳importtimedefget_time_stamp()->str:_t=time.localtime()time_stamp=f”{str(_t.tm_mon).zfill(2)}{str(_t.tm_mday).zfill(2)}”+\f”-{str(_t.tm_hour).zfill(2)}{str(_t.tm_min).zfill(2)}{str(_t.tm_sec).zfill(2)}”returntime

  • dlopen静态库_opensubwnd脚本函数的作用

    dlopen静态库_opensubwnd脚本函数的作用1、dlopen动态库失败原因,我碰到主要是以下几点(碰到新问题之后再完善,先打个点)①动态库位置没有放对地方,dlopen时候找不到你想操作的动态库解决办法:放到指定目录。②头文件没有包全,有不能识别的函数或者标识符解决办法:加一条打印信息,程序运行到这里,会输出不能识别标识符。if((handle=dlopen(myso,RTLD_NOW))==NULL){

  • VB.NET章鱼哥出品—怎样解决MDI子窗口被父窗口中的控件覆盖的问题

    VB.NET章鱼哥出品—怎样解决MDI子窗口被父窗口中的控件覆盖的问题

  • 电脑开机错误代码0xc0000428_状态为0xc0000428

    电脑开机错误代码0xc0000428_状态为0xc0000428吴川华南区技术负责人概要有用户反馈电脑启动时,屏幕突然出现错误码0xc0000428,无法进入系统。本文将针对这个问题,分析出现错误码0xc0000428的原因,并为大家提供解决方案。一、关于错误码0xc0000428当电脑启动出现错误码0xc0000428时,屏幕上一般会出现以下错误信息:“Windows无法验证此文件的数字签名:\Windows\System32\winload.ex…

发表回复

您的电子邮箱地址不会被公开。

关注全栈程序员社区公众号