1、JDBC字符串拼接
1.1 JDBC是什么
JDBC的全称是Java Database Connectivity,翻译过来就是java数据库连接,是java程序访问数据库的标准接口
1.2 JDBC连接数据库
-
jdbc接口是java库自带的,通过引入 java.sql这个库就可
-
需要jdbc驱动,这个需要自己配置(在idea里面第一次配置的时候会提示缺少驱动,然后让你下载)
-
jdbc连接(一种TCP连接)
jdbc的连接语句
jdbc:mysql://<hostname>:<port>/<db>?key1=value1&key2=value2//一个java通过jdbc连接数据库的实例 conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/Demo", "root", "root"); //展开来看 // JDBC连接的URL, 不同数据库有不同的格式: String JDBC_URL = "jdbc:mysql://localhost:3306/test"; String JDBC_USER = "root"; String JDBC_PASSWORD = "password"; // 获取连接: Connection conn = DriverManager.getConnection(JDBC_URL, JDBC_USER, JDBC_PASSWORD); // TODO: 访问数据库... // 关闭连接: conn.close();
1.3 数据通过jdbc接口与数据库交互
java代码与数据库交互的三个步骤
-
创建一个Statement对象,通过调用
createStatement()方法
-
Statement对象执行sql语句,这是通过调用
executeQuery()方法
-
调用返回结果的
next()
方法读取每一行的数据,注意通过方法getLong()、getInt、getString()获取列的时候,下标从1开始
String sql = "select * from user where id ="+req.getParameter("id");
Statement st = conn.createStatement();
ResultSet rs = st.executeQuery(sql);
while (rs.next()){
out.println("<br>Result: "+ rs.getObject("name"));
}
1.4 sql注入与预防
1.4.1 sql注入
在执行executeQuery()方法时,如果没有对输入的数据进行提前处理,而是直接拼接到sql语句中,就可能造成sql注入,可以看做executeQuery()就是执行sql语句,而不会进行任何检查
String sql = "select * from user where id ="+req.getParameter("id");
1.4.2 预防sql注入
PrepareStatement 会对SQL语句进行预编译,通过?占位符来代替数据的位置,注意先预编译再拼接数据,而不是拼接完数据之后再预编译(这样的预编译不起作用)
Statement 每次执行都会编译一遍
正确的预编译方式
String sql = "select * from user where id = ?";
PreparedStatement pstt = this.conn.prepareStatement(sql);
pstt.setInt(1, Integer.parseInt(req.getParameter("id")));
ResultSet rs = pstt.executeQuery();
//反例
String sql = "select * from user where id =" + req.getParameter("id");
PreparedStatement pst = this.conn.prepareStatement(sql);
ResultSet rs = pst.executeQuery();
预编译防止SQL注入原理:一条sql语句会经历生成语法树
,执行计划优化
,执行
这几个阶段,在预编译的过程中,数据库首先接收到的是带有占位符(?)的语句,解析生成语法树,并且缓存在cache中,然后接受对应的参数信息,从cache中取出语法树,设置参数,再执行优化和执行操作,因为参数传入执行时,语法树的结构已经生成了,执行的语法结构就不会因为参数而改变,因此也就不存在sql注入
2、框架使用不当造成的注入
ORM(Object/Relation Mapping 对象关系映射),这种模式是为了解决面向对象与关系型数据互相不匹配是现象
Mybatis
# 与 ${}
- # 会进行预编译
- ${} 只是进行字符串的替换
Hibernate
HQL(Hibernate Query Language)是hibernate专门用于查询数据的语句,有别于SQL,HQL 更接近于面向对象的思维方式
3、预编译的限制
3.1 表名作为变量名,使用拼接
select * from `user`
select * from 'user' #错误
3.2 order by 后面需要使用拼接,预编译加引号会造成语义改变
select * from user order by name
select * from user order by 'name'