PreparementStatement接口

最新推荐文章于 2024-07-27 14:38:28 发布
最新推荐文章于 2024-07-27 14:38:28 发布
阅读量3.9k 收藏 2
点赞数
分类专栏: Java学习 Java读书笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/luckyzhoustar/article/details/46533841
版权

 

  在敲机房收费系统的时候,就曾经遇到过SQL注入的问题,也写过一篇博客。而在学习java的过程中,有一次遇到了,不错的是,JDBC为我们提供了一个PreparementStatement接口,可以防止SQL的注入,下面介绍一下。


  1.SQL注入问题

在以前过程中,总是采取拼接SQL语句的方式,来实现数据的增删改查!

String Sql=select * from user where username="" and password=""

由于没有对拼接的字符进行检查,很容易遭受到恶意的攻击,例如变成如下操作。

select * from user where username='老李' or '1'='1' and password=";

        由此及产生了SQL注入的问题。


  2.Preparement

PreparedStatement 解决SQL注入原理,运行在SQL中参数以?占位符的方式表示

select * from user where username = ? andpassword = ? ;

将带有?的SQL 发送给数据库完成编译(不能执行的SQL 带有?的SQL 进行编译 叫做预编译),在SQL编译后发现缺少两个参数

PreparedStatement 可以将? 代替参数发送给数据库服务器,因为SQL已经编译过,参数中特殊字符不会当做特殊字符编译,无法达到SQL注入的目的

                      主要是采取预编译

  3.Demo演示

<span style="font-family:SimSun;font-size:18px;"><strong>// 使用PreparedStatement来解决登录操作,可以解决sql注入
	public User findUserByUserNameAndPassword(String username, String password) {

		String sql = "select * from user where username=? and password=?";

		Connection con = null;
		PreparedStatement pst = null;
		ResultSet rs = null;
		try {
			// 1.得到连接对象
			con = JdbcUtils.getConnection();

			// 2.获取操作sql语句对象
			pst = con.prepareStatement(sql); // 将sql语句进行预加载.

			// 需要对占位符进行传参数
			pst.setString(1, username);
			pst.setString(2, password);

			// 3.操作sql语句
			rs = pst.executeQuery();// 注意无参数

			// 4.操作结果集
			if (rs.next()) {
				User user = new User();
				user.setId(rs.getInt("id"));
				user.setUsername(rs.getString("username"));
				user.setPassword(rs.getString("password"));
				return user;
			}
		} catch (ClassNotFoundException e) {
			e.printStackTrace();
		} catch (SQLException e) {
			e.printStackTrace();
		}

		return null;
	}</strong></span>

  


  4.批处理操作

另外PreparementStatement还支持批量SQL语句的操作,有兴趣的可以查一下相关的API,主要方法如下

addBatch(); 添加sql到批处理

executeBatch();执行批处理



  5.Demo演示

//PreparedStatement批处理
public class PreparedStatementBatchTest {

	public static void main(String[] args) throws ClassNotFoundException,
			SQLException {

		String sql = "insert into user values(?,?)";
		// 1.得到Connection
		Connection con = JdbcUtils.getConnection();

		// 2.得到PreparedStatement 对象
		PreparedStatement pst = con.prepareStatement(sql);

		// 3.执行批处理
		long l1=System.currentTimeMillis();
		for (int i = 1; i <= 10000; i++) {

			pst.setInt(1, i);
			pst.setString(2, "name" + i);

			pst.addBatch(); //添加批处理
			
			if(i%1000==0){
				pst.executeBatch();
				pst.clearBatch(); //清空批处理语句.
			}
		}
		
		System.out.println(System.currentTimeMillis()-l1);
		
		pst.executeBatch();
		
		//4.关闭资源
		pst.close();
		con.close();
	}

LuckyZhouStar
关注
专栏目录
JDBC中PreparedStatement用法代码示例
iTED
01-17 2496
为了防止用户使用sql语句注入攻击数据库,可以使用Statement接口的子接口 java.sql.PreparedStatement extends Statement接口表示预编译的 SQL 语句的对象,SQL 语句被预编译并存储在 PreparedStatement 对象中。然后可以使用此对象多次高效地执行该语句。  如何获取PreparedStatement的实现类对象呢?
Eclipse中java向数据库中添加数据,更新数据,删除数据
HiterCoder
10-22 459
Eclipse中java向数据库中添加数据,更新数据,删除数据 前面详细写过如何连接数据库的具体操作,下面介绍向数据库中添加数据。 注意事项:如果参考下面代码,需要 改包名,数据库名,数据库账号,密码,和数据表(数据表里面的信息) 1 package com.ningmeng; 2 3 import java.sql.*; ...
JDBC中Statement和Preparement的使用讲解
08-26
今天小编就为大家分享一篇关于JDBC中Statement和Preparement的使用讲解,小编觉得内容挺不错的,现在分享给大家,具有很好的参考价值,需要的朋友一起跟随小编来看看吧
Statement 和 PreparedStatement 详解
最新发布
yjp1240201821的博客
07-27 520
本节主要讲解Statement和preparedStatement,从其相关的定义,优缺点和区别等等帮助理解。
PreparedStatement实现对数据库表的操作
Yajyaj123的博客
01-26 783
PreparedStatement实现对数据库表的操作,来看看吧!
PreparedStatement的用法
Dracocc的博客
02-18 7850
一个PreparedStatement是从java.sql.connection对象和所提供的sql字符串得到的,sql字符串中包含问号(?),这些问号标明变量的位置,然后提供变量的值,最后执行语句,例如: String sql = "select id,name from student where id=? andname=?"; PreparedStatement ps =conn.
在eclipse中添加数据到mysql_Eclipse中java向数据库中添加数据
weixin_27038245的博客
01-30 1769
前面详细写过如何连接数据库的具体操作,下面介绍向数据库中添加数据。注意事项:如果参考下面代码,需要改包名,数据库名,数据库账号,密码,和数据表(数据表里面的信息)1 packagecom.ningmeng;23 import java.sql.*;45 /**6 * 1:向数据库中添加数据7 *@authorbiexiansheng8 *9 */10 public classTest01 {11...
Mybatis学习笔记(一)
sonpam的博客
10-23 248
前言 一、框架 框架是软件开发中的一套解决方案,不同的框架解决不同的问题。 框架封装了很多细节,使软件开发者可以用极简的方式实现功能,提高开发效率。 二、三层架构 表现层:用于展示数据。 业务层:处理业务需求。 持久层:和数据库交互。 三、持久层技术解决方案 JDBC技术:Connection,PreparedStatement,ResultSet。 Spring中的JdbcTemplate:对J...
preparestatment获取sql_使用PreparedStatement时,输出完整的SQL语句
weixin_39702799的博客
12-19 1223
packagecom.zhh.function.util;importjava.io.InputStream;importjava.io.Reader;importjava.math.BigDecimal;importjava.net.URL;importjava.sql.Array;importjava.sql.Blob;importjava.sql.Clob;importja...
PreparedStatement ps = conn.prepareStatement(sql);在eclipse中跑不通的问题,http报错500
XRN的博客
05-20 2万+
博主在eclipse中运行tomcat跑web项目进行学习的时候,愣是发现老是报错500,500不是404这种连不上数据库的问题。百度了好多都是说标题这句话传的是空指针导致错误,可是我感觉我的问题跟这个空指针有点不一样的。具体代码如下public class UserDAO { //用户名、密码、手机号 //数据的插入 //sql // insert into 表名(字段名1,字段名2,....
JDBC快速入门(五)--PreparedStatement用法
weixin_44415928的博客
12-27 339
回顾JDBC快速入门(四)中写的登录案例 会有一个sql注入的问题,如果我的用户名是随便输入的,密码这么输入a' or 'a' == 'a也会登陆成功: 通过打印出sql我们可以发现username = ‘abcdefg’ and password = 'a’是错误的,但是or 后边的‘a’ = 'a’是正确的,所以后边的逻辑就是永真,这样一来,就会查询所有的数据,然后自然会登录成功 用Prep...
statement 、prepareStatement的用法和解释
bit-cafe
09-06 2万+
一、prepareStatement 的用法和解释 1.PreparedStatement是预编译的,对于批量处理可以大大提高效率. 也叫JDBC存储过程 2.使用 Statement 对象。在对数据库只执行一次性存取的时侯,用 Statement 对象进行处理。PreparedStatement 对象的开销比Statement大,对于一次性操作并不会带来额外的好处。 3.stateme
statement和preparedment的区别
weixin_40601536的博客
12-06 1517
Statemen和PreparedStatement都可以用于把sql语句从java程序中发送到指定数据库,并执行sql语句,但是他们也存在区别: 1、直接使用Statement,驱动程序一般不会对sql语句作处理而直接交给数据库;使用PreparedStamen,形成预编译的过程,并且会对语句作字符集的转换(至少在sql server)中如此。 如此,有两个好处:对于多次重复执行的语句,使用Pr...
PreparedStatement
顺其自然~专栏
12-02 759
总之, 对于预先准备语句,我们应该使用参数化的查询。这样允许数据库重用已经存在的访问方案,从而减轻数据库的负担。这样的缓冲区是这个数据库范围的,所以你可以安排你所有的应用程序,使用相似的参数化的 SQL,就会提高这样的缓冲区方案的效率,因为一个应用程序 可以使用另一个应用程序的语句。一个应用服务器的优势也在于此,因为访问数据库的逻辑应该集中在数据访问层上(OR映射,实体bean或者直接JDBC),最后, 预先准备语句的正确使用也让你利用应用程序服务器的预先准备语句的缓冲区的好处。
PreparedStatement接口
qq_37692470的博客
08-31 1791
  一般开发中使用preparedStatement,不使用Statement。preparedStatementStatement的子接口,继承了Statement的所有功能。preparedStatement有两大特点: 1.当使用Statement多次执行同一条Sql语句时,将会影响执行效率。使用PreparedStatement的对象可以对Sql语句进行预编译。执行速度高于State...
Statement 和 PreparedStatement之间的关系和区别
热门推荐
suwu150
10-06 6万+
关系:PreparedStatement继承自Statement,都是接口 区别:PreparedStatement可以使用占位符,是预编译的,批处理比Statement效率高表示预编译的 SQL 语句的对象。 接口:public interface PreparedStatement extends Statement之间的继承关系 SQL 语句被预编译并存储在 PreparedStatement 对象中。然后可以使用此对象多次高效地执行该语句。 注:用于设置 IN 参数值的设置方法(setShort
jdbc之Statement和Preparement
rainzero520的博客
06-22 530
Jdbc DML 操作 2 Statement:静态SQL操作 3 每次操作都会将sql语句提交到数据库执行一次,性能比较低 4 // 1.加载驱动程序 5 Class.forName(driverName); 6 // 2.获取数据库连接 7 Connection conn = DriverManager.getConnection(url, user, password); 8 // 3.构建SQL语句 9 String sql = “insert int
SQL注入问题&&PreparedStatement
详情请看注释
11-27 874
SQL注入问题 我们来看账号登录程序(点击)的代码,我们表中的数据为: 我们运行输入如下数据: 竟然运行成功了。 我们思考,上面输入的数据用户名一看就是瞎写的,但是密码看起来貌似和很有章法,or 和单引号都容易让我们想到sql语句中的判断语句 所以我们观察代...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值