PreparedStatement详解

PreparedStatement详解JDBC初步.主要讲了基本访问数据库的步骤.其中第四步提到了用Statement去执行SQL语句.这里介绍个Statement的子类PreparedStatement.PreparedStatement(预处理执行语句)相比其父类Statement主要有以下几个优点.1.可以防止SQL注入.               2.在特定的驱动数据库下相对效率要高(不绝对)   

大家好,又见面了,我是你们的朋友全栈君。

JDBC初步.主要讲了基本访问数据库的步骤.其中第四步提到了用Statement去执行SQL语句.

这里介绍个Statement的子类PreparedStatement.

PreparedStatement(预处理执行语句)相比其父类Statement主要有以下几个优点.

1.可以防止SQL注入.                2.在特定的驱动数据库下相对效率要高(不绝对)             3.不需要频繁编译.因为已经预加载了

【如果重复执行只有参数不同的sql语句,使用?】

这里2和3的优点就不具体分析.这里主要讲解下防止SQL注入这一用途.

什么叫SQL注入可以阅读下WIKI.这里还是使用上一节总结的DBUtils来讲解.

DBUtils辅助类

复制代码

package
 com.test.jdbc;


import
 java.sql.Connection;

import
 java.sql.DriverManager;

import
 java.sql.ResultSet;

import
 java.sql.SQLException;

import
 java.sql.Statement;

/**

 * 

@author
 Administrator
 * 模板类DBUtils
 

*/


public
 
final
 
class
 DBUtils {

    

//
 参数定义


    
private
 
static
 String url 
=
 

jdbc:mysql://localhost:3306/mytest


//
 数据库地址


    
private
 
static
 String username 
=
 

root


//
 数据库用户名


    
private
 
static
 String password 
=
 

root


//
 数据库密码



    

private
 DBUtils() {

    }
    
//
 加载驱动


    
static
 {

        

try
 {

            Class.forName(


com.mysql.jdbc.Driver

);
        } 

catch
 (ClassNotFoundException e) {

            System.out.println(


驱动加载出错!

);
        }
    }

    
//
 获得连接


    
public
 
static
 Connection getConnection() 
throws
 SQLException {

        

return
 DriverManager.getConnection(url, username, password);
    }

    
//
 释放连接


    
public
 
static
 
void
 free(ResultSet rs, Statement st, Connection conn) {

        

try
 {

            

if
 (rs 
!=
 
null
) {

                rs.close(); 

//
 关闭结果集


            }
        } 

catch
 (SQLException e) {

            e.printStackTrace();
        } 

finally
 {

            

try
 {

                

if
 (st 
!=
 
null
) {

                    st.close(); 

//
 关闭Statement


                }
            } 

catch
 (SQLException e) {

                e.printStackTrace();
            } 

finally
 {

                

try
 {

                    

if
 (conn 
!=
 
null
) {

                        conn.close(); 

//
 关闭连接


                    }
                } 

catch
 (SQLException e) {

                    e.printStackTrace();
                }

            }

        }

    }

}

复制代码

在写sql注入演示类之前看下数据库结构:PreparedStatement详解

上边就是简单的users表.然后看下SQL注入演示类

SQLInner

复制代码

package
 com.test.jdbc;


import
 java.sql.Connection;

import
 java.sql.ResultSet;

import
 java.sql.SQLException;

import
 java.sql.Statement;


public
 
class
 SqlInner {

    

public
 
static
 
void
 main(String[] args) {

        

//
Read(“zhangsan”); 
//
 如果普通查询可以


        Read(

‘ or 1 or’

);
    }
    

public
 
static
 
void
 Read(String name) {

        Statement st 

=
 
null
;
        ResultSet rs 

=
 
null
;
        Connection conn 

=
 
null
;
        

try
 {

            conn 

=
 DBUtils.getConnection();
            st 

=
 conn.createStatement();
            String sql 

=
 

select * from users where lastname = ‘

 
+
 name 
+
 




//
 主要注入发生地


            System.out.println(

sql: 

 
+
 sql); 
//
 打印SQL语句


            rs 
=
 st.executeQuery(sql); 
            System.out.println(


age\tlastname\tfirstname\tid

);
            

while
 (rs.next()) {

                System.out.println(rs.getInt(

1

+
 

\t

 
+
 rs.getString(
2
)
                        

+
 

\t\t

 
+
 rs.getString(
3

+
 

\t\t

 
+
 rs.getString(
4
));
            }
        } 

catch
 (SQLException e) {

            e.printStackTrace();
        } 

finally
 {

            DBUtils.free(rs, st, conn);
        }
    }
}

复制代码

见注释.如果用普通的键zhangsan来查询.会打印

age    lastname    firstname    id

23
    zhangsan        lisi        
3

结果正常.但使用下面的’ or 1 or’结果为

age    lastname    firstname    id

22
    啡        咖        
1


25
    
434
        ni         
2


23
    zhangsan        lisi        
3

把所有结果都打印出来了.打印了一下生成后的SQL语句如下:

sql:
 select * from users where lastname = 
 or 1 or

分析下不难看出.主要问题是用了两个单引号 分别把前后的两个”给封闭了 变成两个空 然后通过or 1即or true就是符合所有条件了.

这就是SQL注入的一种.为了避免这种情况可以使用特殊符号替换 但只是亡羊补牢. 下面就引出了PreparedStatement

 

复制代码

package
 com.test.jdbc;


import
 java.sql.Connection;

import
 java.sql.PreparedStatement;

import
 java.sql.ResultSet;

import
 java.sql.SQLException;


public
 
class
 SqlInner {

    

public
 
static
 
void
 main(String[] args) {

        Read(


‘ or 1 or’

);
    }
    

public
 
static
 
void
 Read(String name) {

        PreparedStatement st 

=
 
null
;
        ResultSet rs 

=
 
null
;
        Connection conn 

=
 
null
;
        

try
 {

            conn 

=
 DBUtils.getConnection();
            String sql 

=
 

select * from users where lastname = ?


//
 这里用问号        


            st 
=
 conn.prepareStatement(sql);
            st.setString(

1
,name); 
//
 这里将问号赋值


            rs 
=
 st.executeQuery(); 
            System.out.println(


age\tlastname\tfirstname\tid

);
            

while
 (rs.next()) {

                System.out.println(rs.getInt(

1

+
 

\t

 
+
 rs.getString(
2
)
                        

+
 

\t\t

 
+
 rs.getString(
3

+
 

\t\t

 
+
 rs.getString(
4
));
            }
        } 

catch
 (SQLException e) {

            e.printStackTrace();
        } 

finally
 {

            DBUtils.free(rs, st, conn);
        }
    }
}

复制代码

见注释.PreparedStatement用?代替变量.然后加载后setString给赋值.由于PreparedStatement内置了字符过滤

那么就相当于 where name = ‘ or 1 or ‘显然没有对应记录.所以数据结果为空.这就体现了PreparedStatement的防注入功能

所以提倡大家只要是动态参数就是用PreparedStatement去代替Statement.况且效率也不错.优化的很好.

其余JDBC介绍文章待续.

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/136875.html原文链接:https://javaforall.cn

【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛

【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...

(0)
blank

相关推荐

  • matlab vargin_matlab varargin

    matlab vargin_matlab varargin写了一个函数:functiontest(varargin)  那么在这个函数里,varargin就是一个cell数组,它包含了用户输入的参数。下面是一个例子:functiontest(varargin)disp([‘narginis’num2str(nargin)]);forv=1:numel(varargin)      disp([‘vararg

  • MVC三层架构各层含义[通俗易懂]

    MVC三层架构各层含义[通俗易懂]1.模拟架构图:2.Action/Service/DAO简介:Action是管理业务(Service)调度和管理跳转的。Service是管理具体的功能的。Action只负责管理,而Service负责实施。DAO只完成增删改查,虽然可以1-n,n-n,1-1关联,模糊、动态、子查询都可以。但是无论多么复杂的查询,dao只是封装增删改查。至于增删查改如何去实现一个功能,dao是不管…

  • 新学C#线程使用总结建议收藏

    这两天在项目上需要使用多线程技术,研究了半天,碰到了一些问题,现在简要总结下。线程的使用其实很简单,和JAVA里面差不多,但是还是有很多特别的地方,在C#中的线程,如果要对非线程创建的控件进行操作的话

    2021年12月20日
  • SQL实例整理

    SQL实例整理

    2020年11月12日
  • 基于Android点餐系统的设计与实现

    基于Android点餐系统的设计与实现该APP是一个包含前端用户点餐App和后端餐厅管理网页的系统,主要实现菜品相关的修改和展示、个人信息的管理、点餐预约等。

  • 超简单部署使用Maven私库 Nexus

    超简单部署使用Maven私库 Nexusdocker拉取:dockerpulldocker.io/sonatype/nexus3运行容器:dockerrun-d-p8085:8081–namenexusdocker.io/sonatype/nexus,映射到本地的8085端口,等一会儿就好了,用dockerps-a命令查看访问地址:http://192.64.23.111:8085/)…

发表回复

您的电子邮箱地址不会被公开。

关注全栈程序员社区公众号