关闭 java中预处理PrepareStatement为什么能起到防止SQL注入的作用

最新推荐文章于 2023-08-24 14:40:21 发布
最新推荐文章于 2023-08-24 14:40:21 发布
阅读量553 收藏
点赞数 1
分类专栏: java

  大家都知道,java中JDBC中,有个预处理功能,这个功能一大优势就是能提高执行速度尤其是多次操作数据库的情况,再一个优势就是预防SQL注入,严格的说,应该是预防绝大多数的SQL注入。

       用法就是如下边所示:

[java]  view plain  copy
  1. String sql="update cz_zj_directpayment dp"+  
  2.  "set dp.projectid = ? where dp.payid= ?";  
  3. try {  
  4.     PreparedStatement pset_f = conn.prepareStatement(sql);  
  5.     pset_f.setString(1,inds[j]);  
  6.     pset_f.setString(2,id);  
  7.     pset_f.executeUpdate(sql_update);  
  8. }catch(Exception e){  
  9.     //e.printStackTrace();  
  10.     logger.error(e.message());  
  11. }  


       那为什么它这样处理就能预防SQL注入提高安全性呢?其实是因为SQL语句在程序运行前已经进行了预编译,在程序运行时第一次操作数据库之前,SQL语句已经被数据库分析,编译和优化,对应的执行计划也会缓存下来并允许数据库已参数化的形式进行查询,当运行时动态地把参数传给PreprareStatement时,即使参数里有敏感字符如 or '1=1'也数据库会作为一个参数一个字段的属性值来处理而不会作为一个SQL指令,如此,就起到了SQL注入的作用了!

转载请注明—作者:Java我人生(陈磊兴)   原文出处:http://blog.csdn.net/chenleixing/article/details/44024095

 

xlj3
关注
专栏目录
预编译SQL防止SQL注入
shengyin714959的博客
12-09 1377
回顾一下全文,当我们说“预编译”的时候,其实这个功能来自于数据库的支持,它的原理是先编译带有占位符的 SQL 模板,然后在传入参数让数据库自动替换 SQL 占位符并执行,在这个过程,由于预编译好的 SQL 模板本身语法已经定死,因此后续所有参数都会被视为不可执行的非 SQL 片段被转义,因此能够防止 SQL 注入。当我们通过 JDBC 使用执行预编译 SQL 的时候,此处的预编译实际上是假的预编译(至少 MySQL 是如此,不过其他数据库仍待确认),
A1 代码审计之 SQL 注入
发哥微课堂
04-09 512
0x00:SQL 注入危害 SQL 注入不像以前那么多了,但是依然存在,原因一句话总结就是没有对用户输入进行防护,造成 SQL 解析器不能区分代码和数据。而其危害如下: 1,敏感信息泄露,例如拖库等操作。2,数据完整性问题,SQL 注入可以对数据库进行恶意的修改、增加和删除。3,权限提升,SQL 注入问题同样可以造成提权的问题。4,获取后台的访问权限,利用 SQLMAP 甚至可以上传文件 get...
connection 和 preparedstatement关闭问题
01-29
什么时候用statement,什么时候用preparedstatement
java预处理PrepareStatement为什么能起到防止SQL注入作用??!!
iteye_6274的博客
03-02 550
大家都知道,javaJDBC,有个预处理功能,这个功能一大优势就是能提高执行速度尤其是多次操作数据库的情况,再一个优势就是预防SQL注入,严格的说,应该是预防绝大多数的SQL注入。 用法就是如下边所示: String sql="update cz_zj_directpayment dp"+ "set dp.projectid = ? where dp.payid= ?"; try {...
java preparedstatement 关闭_java - 如果基础连接已关闭,为什么isClosed()方法对PreparedStatements不返回true? - 堆栈内存溢出...
weixin_30647853的博客
02-24 465
就像标题所说的那样,我想知道为什么准备好的语句.isClosed()方法在关闭基础流(使用JDBC)后将返回false。public void someTest() throws SQLException, InterruptedException {Connection conn = DBHelper.newConnection();PreparedStatement statement = c...
Java使用PreparedStatementStatement实现批处理
田野上的风筝
05-16 5334
批处理就是将一批一批SQL语句的处理,而不是一条一条语句进行处理。如当你有多条SQL语句要执行时,一次向服务器发送一条语句,这样虽然也可以达到效果,但是效率很差,而处理这个问题就可以使用批处理(即是一次向服务器发送多条SQL语句,然后让服务器一次性处理),批处理只针对更新语句(新增、删除、修改),所有批处理跟查询没有关系。 批处理:如通过多次调用PreparedStatement类的addBat...
java springboot sql防注入的6种方式
最新发布
qq_34874784的博客
08-24 4571
4. 使用ORM框架提供的查询构造器(Query Builder):ORM框架通常提供查询构造器或查询构造API,这些API可以帮助我们构建数据库查询语句,而无需手动编写SQL语句。1. 参数绑定:通过使用参数绑定,将用户输入的数据作为参数传递给SQL语句,而不是将其直接拼接到SQL语句。6. 使用安全的编码方式:在将用户输入插入到SQL语句时,确保使用合适的编码方式进行转义,例如使用转义函数或参数化查询。5. 输入验证和过滤:对于用户输入的数据,应该进行验证和过滤,确保其符合预期的格式和类型。
MySQL如何对SQL做prepare预处理(解决IN查询SQL预处理仅能查询出一条记录的问题)
segegefe的博客
08-02 777
多次执行一条SQL语句时,如果每次都处理该SQL语句,生成执行计划,必然会浪费一定的时间。SQL预处理(Prepare),是一种特殊的SQL处理方式;预处理不会直接执行SQL语句,而是先将SQL语句编译,生成执行计划,然后通过Execute命令携带SQL参数执行SQL语句。Prepare的使用十分广泛,绝大多数ORM框架都有API支持;Prepare既可以提升SQL执行性能,还能防止SQL注入引发的安全问题;...
关于SQL语句prepareStatement预编译"?"占位符问题
weixin_41342104的博客
11-03 2682
关于SQL语句prepareStatement预编译"?"占位符问题Connection的createStatement和 prepareStatement区别为什么会有占位符"?"(重点到了)请看下方结语 Connection的createStatement和 prepareStatement区别 首先说下为什么常用的是PreparedStatement,因为Prepared...
SQL查询与字符串拼接的艺术:Java字符串与数据库交互的安全实践
[SQL查询与字符串拼接的艺术:Java字符串与数据库交互的安全实践](https://www.144d.com/content/uploadfile/202303/ba701679838119.png) # 1. Java字符串操作基础 在Java,字符串是使用最多的数据类型之一。...
java PreparedStatement需要关闭,不然会内存溢出
急速虫子
03-28 9456
“第三方的数据库连接池,使用的时候,获取到Connection之后,使用完成,调用的关闭方法(close()) ,并没有将Connection关闭,只是放回到连接池,如果调用的这个方法,而没有手动关闭PreparedStatement等,则这个PreparedStatement并没有关闭,这样会使得开发的程序内存急速增长,java的内存回收机制可能跟不上速度,最终造成Out of memory
oracle JDBC PreparedStatement 内存释放BUG?
再强大肥壮的青虫也不是蝴蝶
11-14 780
oracle JDBC PreparedStatement 内存释放BUG? 楼主fita(天外飞仙)2004-06-23 17:28:27 在 Java / J2SE / 基础类 提问 我用oracle 9.2 的OCI JDBC驱动以及oracle9.2客户端,访问 oracle 8i 数据库服务器,发现一个问题: 当用 conn.pre...
JDBC - 第3章:使用PreparedStatement实现CRUD操作
Syntactic Sugar
07-29 266
使用PreparedStatement实现CRUD操作 1 操作和访问数据库 数据库连接被用于向数据库服务器发送命令和 SQL 语句,并接受数据库服务器返回的结果。其实一个数据库连接就是一个Socket连接。 在 java.sql 包有 3 个接口分别定义了对数据库的调用的不同方式: ●Statement:用于执行静态 SQL 语句并返回它所生成结果的对象。 ●PrepatedStatement:SQL 语句被预编译并存储在此对象,可以使用此对象多次高效地执行该语句。 ●CallableStateme
java statement 关闭_Java 关闭PreparedStatement Statement
weixin_39569112的博客
02-16 548
展开全部这样写不对,因为除了 Statement,还有 Connection 也需要关闭。另外,关闭应该全部要在 finally 里面关闭,因为程序里e69da5e6ba9062616964757a686964616f31333332623335面可以发生任何意想不到的事,会在程序执行某一行之前就出错,所以,只有 finally 才会一定被执行到。正确写法:Connectionconn=nu...
PrepareStatement的isColsed()方法
wungmc的专栏
06-18 1066
一次在部署j2ee项目的时候,在本地运行正常,放到服务器上却报异常:NoSuchMethodException:ps.isClosed()Z 这是因为PrepareStatement的isClosed()方法是从jdk1.6才有的,正好我的开发环境是1.6,服务器上是1.5,所以报错。   这个方法是检测PrepareStatement是否关闭的。我原来的写法是: if (ps !
PDO预处理防止SQL注入
06-02
是的,PDO预处理可以有效地防止SQL注入预处理是一种在执行SQL语句之前先将SQL语句和参数分离的机制。在分离后,PDO会将SQL语句和参数分别发送到数据库,从而避免了SQL注入攻击。 使用PDO预处理的方式,可以将输入...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值