PreparedStatement类对SQL注入问题的解决

最新推荐文章于 2023-07-23 15:29:20 发布
最新推荐文章于 2023-07-23 15:29:20 发布
阅读量845 收藏 1
点赞数
分类专栏: Java 文章标签: jdbc
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LOVE_Me__/article/details/104647217
版权
1.Satement对象每执行一条SQL语句都会先将这条SQL语句发送给数据库编译,数据库再执行。
  如果有1万条类似的SQL语句,数据库需要编译1万次,执行1万次,显然效率就低了。
  并且statement执行的是静态的sql语句
2.prepareStatement()会先将SQL语句发送给数据库预编译。PreparedStatement会引用着预编译后的结果。可以多次传入不同的参数给PreparedStatement对象并执行。
  相当于调用方法多次传入不同的参数
 
3.PreparedSatement的好处
prepareStatement()会先将SQL语句发送给数据库预编译。
PreparedStatement会引用着预编译后的结果。
可以多次传入不同的参数给PreparedStatement对象并执行。
减少SQL编译次数,提高效率。
 
安全性更高,没有SQL注入的隐患。
 
提高了程序的可读性
 
PreparedSatement使用步骤? 1.获取连接 2.先写SQL语句带?的 3.获取PreparedStatement,预编译 4.设置参数 5.执行SQL 6.关闭资源
PreparedSatement实现增删查改使用哪个方法? executeUpdate(); 执行增删改 exexuteQuery(); 执行查询 
/*
*
* sql注入:数据库对用户传入的参数进行了编辑,改变了原本的sql的结构
*       预编译:在用户传入参数之前先进行编译,确定sql的结构,在传入用户的参数执行
*       1.select count(*) from user where username = ? and password = ?;
*       对于参数部分使用占位符?
*       2.编译完毕之后,确定了结构才传入参数
*       3.对于用户传入的特殊字符参数,使用转义,变成没有实际意义的字符
* 
* 预编译操作对象的获取api:
*       PreparedStatement prepareStatement(String sql) 创建一个 PreparedStatement对象,用于将参数化的SQL语句发送到数据库。
* */

1.executeQuery()方法,主要用DQL语句
public class LoginDemo {
    public static void main(String[] args) throws SQLException {
       

        Connection connection = JdbcUtil.getConnection();

        String sql = "SELECT count(*) FROM USER WHERE username = ? AND password = ? ;";
       
        //1.在用户传入参数之前先进行编译,确定sql的结构
        PreparedStatement statement = connection.prepareStatement(sql);

        //2.预编译完毕之后,再传入用户的参数
        statement.setString(1,username);
        statement.setString(2,password);

        //3.执行sql即可
        ResultSet resultSet = statement.executeQuery(); //注意:预编译时,sql不用再传,之前已经传递过了

        int count = 0;
        while (resultSet.next()) {
            count = resultSet.getInt("count(*)");
        }
        System.out.println(count >0 ? "登录成功" :" 登录失败");

        JdbcUtil.release(resultSet,statement,connection);
    }
}


2.executeUpdate()方法,主要用于DML语句(update,delete,insert)
public class CRUDDemo {
    @Test
    public void insertTest() throws SQLException {

        Connection connection = JdbcUtil.getConnection();
        //使用预编译进行数据的插入
        String sql = "INSERT  into USER  VALUES (?,?,?)";

        PreparedStatement statement = connection.prepareStatement(sql);

        statement.setInt(1,6);
        statement.setString(2,"liubei");
        statement.setString(3,"123456");

        int executeUpdate = statement.executeUpdate();
        System.out.println(executeUpdate);

        JdbcUtil.release(null,statement,connection);
    }
}

 

@夜魅
关注
专栏目录
【JAVA高级】——吃透JDBC中的SQL注入问题解决方案
不迁怒,不贰过。小知识,大智慧。
10-26 1万+
吃透JDBC中的SQL注入问题解决方案
用PreparedStatement 预编译的 SQL 就不会有被 SQL 注入的风险?
数字化小李的博客
12-07 734
当我们说到关于持久层框架的功能,必然需要先想想这个功能的源头到底是不是直接通过数据库提供的。实际上和事务一样,SQL 预编译的功能也是需要数据库提供底层支持的。以 MySQL 为例,在 MySQL 中,所谓预编译其实是指先提交带占位符的 SQL 模板,然后为其指定一个 key,MySQL 先将其编译好,然后用户再拿着 key 和占位符对应的参数让 MySQL 去执行,用法有点像 python 中的 format 函数。一个标准的预编译 SQL 的用法如下:先通过 设置一个 SQL 模板,然后通过 提交参
使用PrepareStatement,防止SQL注入
Ant_in_IT的博客
03-11 390
* 模拟sql注入,使用preparedstatment防止sql注入 import java.sql.Connection; import java.sql.DriverManager; import java.sql.PreparedStatement; import java.sql.ResultSet; import java.sql.SQLException; import java....
JDBC用PrepareStatement解决SQL注入
qq_46534049的博客
01-31 2432
setXxx()方法有两个参数,第一个参数是要设置的SQL语句中的参数的索引(从1开始),第二个是设置的SQL语句中的参数的值。SQL注入(SQL injection)是因为应用程序在执行SQL语句的时候没有正确的处理用户输入字符串,将用户输入的恶意字符串拼接到了SQL语句中执行,从而导致了SQL注入。这个代码中1=1永远都是对的,#后面的成了注释,所以这条语句会将表中所有的数据查询出来,然后再做数据判断的时候,就会得到正确结果,从而说用户名和密码正确,登录成功。这是查询一条数据的运行结果。
mysql prestatement_mysql无法插入,PreparedStatement ps=con.prepareStatement(sql)这句报错
weixin_34863212的博客
01-19 2424
连接数据publicclassDBCon{privatestaticConnectionconn=null;publicstaticConnectiongetConn(){try{Class.forName("com.mysql.jdbc.Driver");Stringuser="fmf";Stringpwd="123";St...连接数据public class DBCon {private...
PreparedStatement实现对数据库表的操作
Yajyaj123的博客
01-26 794
PreparedStatement实现对数据库表的操作,来看看吧!
java preparestatement sql注入_浅析Statement和PreparedStatementSQL注入
weixin_30950075的博客
03-06 2687
一、SQL注入所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。上述语句摘自百度百科,可能对于有些人来说晦涩难懂,那么我举个最简单的例子,来体验这一过程;假设有一个登录表单,后台数据校验sql为select * from user where username = 'XXX' and password = 'XXX',...
SQL注入原理以及Spring Boot如何防止SQL注入(含详细示例代码)
最新发布
12-29
SQL注入是一种严重的安全威胁,它允许攻击者通过在应用程序的输入字段中插入恶意SQL代码来执行未经授权的数据库操作。攻击者通常寻找没有适当验证和过滤的用户输入,然后利用这些漏洞来构造能改变原始SQL语句意图的...
SQL注入原理与解决方法代码示例
09-09
总之,SQL注入是Web应用程序安全的一个重要问题,开发者需要对用户输入进行严格控制,并采用预编译语句等安全措施来防止此攻击。同时,定期进行安全审计和更新安全策略也是保持系统安全的关键。
如何解决sql注入问题
07-22
### 如何解决SQL注入问题:全面解析与防范策略 #### SQL注入概述 SQL注入是一种常见的安全漏洞,攻击者通过在应用程序的输入字段中插入恶意SQL语句,利用这些语句来操控数据库,获取未授权的数据访问,修改或破坏...
PreparedStatement ps = conn.prepareStatement(sql);在eclipse中跑不通的问题,http报错500
热门推荐
XRN的博客
05-20 3万+
博主在eclipse中运行tomcat跑web项目进行学习的时候,愣是发现老是报错500,500不是404这种连不上数据库的问题。百度了好多都是说标题这句话传的是空指针导致错误,可是我感觉我的问题跟这个空指针有点不一样的。具体代码如下public class UserDAO { //用户名、密码、手机号 //数据的插入 //sql // insert into 表名(字段名1,字段名2,....
PreparedStatement的用法与SQL注入分析
weixin_33877092的博客
03-20 123
表示预编译的 SQL 语句的对象。SQL 语句被预编译并存储在 PreparedStatement 对象中。然后可以使用此对象多次高效地执行该语句。Statement是PreparedStatement的父接口,不进行预编译操作,减少了进行预编译的开销.单次运行PreparedStatement要比Statement要慢一些.PreparedStatement可以实现Stat...
JDBC系列】- 核心API之preparedstatement用法
qq_43843951的博客
07-23 530
上一篇jdbc系列文章中介绍了概念与statement的使用,但是statement会有一些缺处,所以这篇来学习一下preparedstatement这个API的用法。
SQL注入问题&&PreparedStatement
详情请看注释
11-27 911
SQL注入问题 我们来看账号登录程序(点击)的代码,我们表中的数据为: 我们运行输入如下数据: 竟然运行成功了。 我们思考,上面输入的数据用户名一看就是瞎写的,但是密码看起来貌似和很有章法,or 和单引号都容易让我们想到sql语句中的判断语句 所以我们观察代...
JDBC~Java中的JDBC概述、连接数据库的注意点、利用PreparedStatement实现增删改
zxc的博客
05-14 513
文章目录JDBC概述步骤连接数据库的几种方式利用JDBC操作数据库利用JDBC实现添加(insert)利用JDBC实现删除(delete)包装相同的代码,实现修改(update)利用JDBC实现一个方法增删改 JDBC概述 JDBC是JAVA提供的一组API,可以用来访问不同的数据库 这组接口是sun公司提供的,不同的数据库厂商会针对这组接口提供不同的实现,这些实现就是每个数据库的驱动 步骤 必须有的对象:ConnectionStatement 中间执行SQL语句 使用完成后关闭资源 连接数据库
SQL注入及PreparedStatement
qq_52722789的博客
01-12 458
1. Statement 在连接建立后,需要对数据库进行访问,执行命名或是SQL语句,可以通过 Statement[存在SQL注入] PreparedStatement[预处理] CallableStatement[存储过程] 2.SQL注入 1=1永远成立 Statement stmt = conn.createStatement(); ResultSet rs = stmt.executeQuery("SELECT * FROM stu where sno ='1' or
JDBC的PreparedStatement接口
cccccccmmm的博客
08-19 1390
继承自 Statement 接口,由 preparedStatement方法创建。PreparedStatement具有预编译SQL语句能力,所以PreparedStatement 对象比 Statement 对象的效率更高,由于实现了动态的参数绑定,所以可以防止 SQL 注入,所以我们一般都使用 PreparedStatement。PreparedStatement执行sql语句的编写顺序:1、获取Connection对象2、编写sql语句。
JDBC操作2:PreparedStatement对象、实现获取自动增长的值、批处理以及事务操作
weixin_43498449的博客
05-21 979
Statement对象 1、Statement对象主要作用执行sql语句的 2、Statement对象缺点: (1)sql语句拼接 @Test public void test01() { Connection conn = null; Statement statement = null; ResultSet rs = null; try { Class.forName("com.mysql.jdbc.Driver"); co
【很有料】浅析Statement和PreparedStatementSQL注入
daobuxinzi的博客
10-19 496
因为SQL语句在程序运行前已经进行了预编译,在程序运行时第一次操作数据库之前,SQL语句已经被数据库分析,编译和优化,对应的执行计划也会缓存下来并允许数据库已参数化的形式进行查询,当运行时动态地把参数传给PreprareStatement时,即使参数里有敏感字符如 or '1=1'也数据库会作为一个参数一个字段的属性值来处理而不会作为一个SQL指令,如此,就起到了SQL注入的作用了!这就是一个最简单sql注入的例子,输入包含sql命令的内容,欺骗服务器执行破坏数据。,直接删除了数据表,十分的危险。
Java使用PreparedStatement与Filter防止SQL注入
2. 使用PreparedStatement:PreparedStatement不仅提高了代码的可读性和性能,更重要的是它对特殊字符进行了转义处理,自动防止了SQL注入。当设置参数时,PreparedStatement会正确处理引号和其他特殊字符,从而阻止...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值