PrepareStatement用法(附源码解析)

已于 2022-08-12 13:59:11 修改
阅读量5.4k 收藏 55
点赞数 7
文章标签: java 数据库 mysql
于 2022-08-11 09:46:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Sherlock1020/article/details/126278923
版权

PrepareStatement 基本用法

1. 加载驱动

首先在pom.xml 中引入 mysql 依赖

<dependency>
    <groupId>mysql</groupId>
    <artifactId>mysql-connector-java</artifactId>
    <version>8.0.23</version>
</dependency>

通过以下代码加载驱动

Class.forName("com.mysql.cj.jdbc.Driver");

2. 获取 Connection 对象

数据库连接需要数据库链接、用户名、密码三个参数,建议配置在application.properties 中,方便统一管理(当然也可以直接在使用的地方用字符串变量)

#PrepareStatement
#数据库链接
pstmt.dbUrl="jdbc:mysql://localhost:3306/mydb?serverTimezone=UTC&characterEncoding=utf8&useUnicode=true"
#用户名
pstmt.dbUser=root
#密码
pstmt.dbPwd=123456

通过以下代码获取connection

Connection connection = DriverManager.getConnection(dbUrl,dbUser,dbPwd);

3. 获取 PrepareStatement 对象

根据需求创建Sql语句字符串,在需要加入参数的地方用 ? 占位符代替

//查询符合指定年龄和性别的员工姓名
String sql = "SELECT a.name FROM staff_info a WHERE a.age = ? and a.sex = ?";

接下来,创建 PrepareStatement对象对sql进行预编译

PreparedStatement pstmt = connection.prepareStatement(sql);

4. 设置参数

PrepareStatement对象提供多种参数类型方法,使用时依据数据库字段类型一一对应,设置时需注意第一个参数为占位符? 的索引且从 1 开始,例如之前sql的设置应为

pstmt.setInt(1,35);
pstmt.setString(2,"男");

5. SQL执行

单条语句执行

//单次查询
pstmt.executeQuery();
//单次更新
pstmt.executeUpdate();

批量执行

若一次要插入大量数据,应尽量减少jdbc的调用次数,使用批量执行来优化

//第一批
pstmt.setInt(1,35);
pstmt.setString(2,"男");
//加入批次
pstmt.addBatch();

//第二批
pstmt.setInt(1,24);
pstmt.setString(2,"女");
pstmt.addBatch();

//统一批量执行
pstmt.executeBatch();

6. 完整示例

@Component
public class PrepareStatementUtils {
    private  final Logger LOGGER = LoggerFactory.getLogger(PrepareStatementUtils.class);

    @Value("${pstmt.dbUrl}")
    private  String dbUrl;

    @Value("${pstmt.dbUser}")
    private  String dbUser;

    @Value("${pstmt.dbPwd}")
    private  String dbPwd;

    public void prepareStatementExecute() {
        try {
            //加载 mysql 驱动
            Class.forName("com.mysql.cj.jdbc.Driver");
            //获取链接
            Connection connection = DriverManager.getConnection(dbUrl,dbUser,dbPwd);
            //获取preparestatement对象
            String sql = "SELECT a.name FROM staff_info a WHERE a.age = ? and a.sex = ?";
            PreparedStatement pstmt = connection.prepareStatement(sql);

            //单次执行
            pstmt.setInt(1,35);
            pstmt.setString(2,"男");
            ResultSet rs = pstmt.executeQuery();

            //批量执行
            String sql2 = "insert into staff_info(staff_id,staff_name,staff_age,staff_sex) values(?,?,?,?)";
            PreparedStatement pstmt1 = connection.prepareStatement(sql2);
            //第一批
            pstmt1.setString(1,"001");
            pstmt1.setString(2,"小谭");
            pstmt1.setInt(3,35);
            pstmt1.setString(4,"男");
            //加入批次
            pstmt1.addBatch();

            //第二批
            pstmt1.setString(1,"002");
            pstmt1.setString(2,"小高");
            pstmt1.setInt(3,24);
            pstmt1.setString(4,"女");
            pstmt1.addBatch();

            //统一执行
            pstmt1.executeBatch();

        } catch (ClassNotFoundException | SQLException e) {
            LOGGER.error(e.getMessage());
        }
    }
}

SQL注入攻击(附源码解析)

SQL注入攻击: 通过将恶意的 Sql 查询或添加语句插入到应用的输入参数中,再在后台 Sql 服务器上解析执行进行的攻击,它是目前黑客对数据库进行攻击的最常用手段之一。

1. Statement 发生 SQL 注入的情况

现存在以下语句查询指定年龄的职工信息,其中age为入参

String sql = "SELECT * FROM staff_info a WHERE a.staff_age ="+age;
ResultSet rs = statement.executeQuery(sql);

若age值为24 or 1=1

String age = "24 or 1=1";

最后的拼接语句为

SELECT * FROM staff_info a WHERE a.staff_age = 36 OR 1=1;

会返回该表的所有职工信息;常见的SQL注入还存在于恶意删表,例如:

String age = "24; drop table staff_info";

该语句会删除职工信息表,造成严重后果,因此防止SQL注入是必备操作。

2. PrepareStatement 防止SQL注入源码解析

同样存在以下语句查询指定年龄和性别的职工信息,其中age和sex为入参

String sql = "SELECT * FROM staff_info a WHERE a.staff_age = ? and a.staff_sex = ?";
PreparedStatement pstmt = connection.prepareStatement(sql);

同样以SQL注入的形式设置sex参数为 male' or 1='1

pstmt.setInt(1,36); 
pstmt.setString(2,"male' or 1='1");

打印一下看看PrepareStatement预编译的语句,

System.out.println(pstmt);

从以下结果可知,PrepareStatement会在占位符的两侧加上 ' ,但你可能已经发现到目前为止预编译拼接的sql仍然是存在SQL注入风险的sql,若被直接执行,也会返回表的全部信息,别着急,我们接着看;

接下来执行SQL;

ResultSet rspre = pstmt.executeQuery();

通过 debug 进入 com.mysql.cj.jdbc.ClientPreparedStatementexecuteQuery()方法

可以看出,在 fillSendPacket() 方法将sql转换为字节的过程中,给占位符中包含的单引号',额外加上一个单引号 ' ,最后执行的sql就变为了:

SELECT * FROM staff_info a WHERE a.staff_age =  36 and a.staff_sex = 'male'' or 1=''1'

该查询返回信息为空,避免了SQL注入;接下来我们继续debug,到底是哪个操作加上了单引号'

找到 buligComQuery()方法,有如下代码,其中:

  1. staticSqlStrings[] :存储的是以占位符? 划分开的sql语句转换的字节数组,不包含参数,即
  • staticSqlStrings[0]= SELECT * FROM staff_info a WHERE a.staff_age =
  • staticSqlStrings[1] = and a.staff_sex =
  1. bindValues[] :绑定的参数数组

从以上源码可以看出,sql语句和参数共同组装成 sendPacket 发给远程数据库做执行,而防SQL注入的处理,肯定就在 writeAsText() 流程中;

我们继续往下,来到 com.mysql.cj.protocol.a.StringValueEncoder 类中,该类用于处理String参数,于是可以定位到在将参数转换为字节数组的 getBytes() 方法中对输入的字符串进行了 StringUtils.escapeString() 处理:

在这里插入图片描述

既然已经发现字符串的工具类调用,不出意外我们马上就要找到答案了
在这里插入图片描述

果然,功夫不负有心人,我们终于找到了它。

可以看到方法中对各类特殊字符都做了转义处理,常规的添加斜杠 \ 如换行符\n ;而我们这里涉及的单引号 ' ,转义时会再添加一个 ', 这也解释了上述最终执行sql 的生成。

Ps:最近干活用到PrepareStatement,网上提到的PrepareStatement源码解析多为老驱动(做法为添加斜杠\ ),实际使用时发现转义后其实添加的是单引号' ,正好就顺道学习下源码,也借此回顾一下SQL注入。

欢迎访问个人博客:DunkingCurry’ s Blog

DunkingCurry
关注
  • 7
    点赞
  • 55
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JDBC----Statement安全问题与PrepareStatement
mqingo的博客
11-26 976
1. Statement执行 ,其实是拼接sql语句的。  先拼接sql语句,然后在一起执行。          String sql = "select * from user where username='"+ username  +"' and password='"+ password +"'";         UserDao dao = new UserDaoImpl();  ...
JAVA【JDBC】【使用PreparedStatement操作数据库
芊樱烛渊的博客
08-07 4717
这里我们是先连接到了我们上述的数据表,然后将数据表中的user和password的内容独取出来,然后编成sql语句,交给我们的mysql,并且如果查询失败就返回用户名不存在或者密码错误,如果查询成功就返回登陆成功。针对于不同的表我们想要获取到的查询数据的结构一定是不同的,所以我们需要在查询的时候将我们查询的结构传入,然后利用反射机制构造出对应的对象,然后将对应的对象返回。原来我们想表达的是 xx and xx是一个并且的关系,也就是我们的use和password同时正确的时候才返回结果。...
MySQL Prepared语句(Prepared Statements)
最新发布
Vincent的博客
04-17 1331
数据库应用中,很多SQL语句都会重复执行很多次,每次执行可能只是where条件中的变量值不同,但MySQL依然会解析SQL语法并生成执行计划。对于这类情况,可以利用prepared语句来避免重复解析SQL的开销。
JDBC中PreparedStatement详解及应用场景介绍
weixin_62079735的博客
03-20 5963
Java中,当需要向数据库中执行SQL语句并传递参数时,我们通常会使用PreparedStatement接口。PreparedStatement继承自Statement接口,用于预编译SQL语句并执行参数化查询,这样可以提高执行效率并防止SQL注入攻击。
JDBC连接Mysql数据库过程之代码实战【一条命途多舛的SQL】
一不小心的程序员
06-25 532
上一篇我们已经了解了JDBC连接Mysql数据库操作的过程,那这一篇我们就来一下实战。 话不多说,就是干,拿起你的手,撸一下 我们先定义一些变量,这样便于后期的维护和管理,此处需要修改自己的数据库的地址和账户密码 private static final String DRIVER_CLASS_NAME = "com.mysql.jdbc.Driver"; /** * 数据库连接地址 * 如果出现中文乱码,请添加 【?useUnicode=true&characterEnc
PreparedStatement
Han_Lin-的博客
10-14 837
/** * 定义一个数据库连接对象,这里的引用必须是 java.sql 包中的。 * 因为只有这个包中才代表了 Java 提供的 JDBC 接口,这只是一套规范,具体实现则由数据库驱动来提供。 */ Connection conn = null; /** * 如果使用Statement,那么就必须在SQL语句中,实际地去嵌入值,比如之前的insert语句中values必须使用硬编码 ...
PreparedStatement的使用
muweichang的博客
08-30 438
PreparedStatementStatement的子接口,它可以预编译 SQL 语句并将预编译后的SQL语句存储在PreparedStatement对象中。由于 PreparedStatement 对象已预编译过,所以其执行速度要快于 Statement对象。 大白话: 我们在执行查询或者更新数据表数据的时候,拼写SQL语句是一个很费力并且容易出错的事情,PreparedStatement可以简化这样的一个过程....
解析Json保存到数据库
04-21
PreparedStatement pstmt = conn.prepareStatement("INSERT INTO users (name, age, city) VALUES (?, ?, ?)"); pstmt.setObject(1, user.getName()); pstmt.setObject(2, user.getAge()); pstmt.setObject(3, user....
Java数据库连接池c3p0过程解析
08-18
PreparedStatement ps = conn.prepareStatement("select * from user"); //结果集 ResultSet rs = ps.executeQuery(); while(rs.next()) { rs.getInt(1);//获取的行的第一列 rs.getString("id");//获取行的id...
parastatement的方法
03-01
首先,通过Connection对象的`prepareStatement()`方法创建PreparedStatement对象,传入SQL语句作为参数。例如: ```java Connection conn = ...; // 获取数据库连接 String sql = "INSERT INTO employees (name,...
Mybatis注解手写源码
02-28
在执行SQL时,Executor会根据不同的注解调用相应的JDBC API,如`prepareStatement`、`executeQuery`等,来与数据库进行交互。 然后,我们来讨论结果处理。Mybatis支持两种结果处理方式:ResultMap和自动映射。...
java使用javacsv读取csv文件 导入Mysql数据库
06-08
try (PreparedStatement pstmt = conn.prepareStatement(sql)) { for (int i = 0; i ; i++) { pstmt.setString(i + 1, record[i]); } pstmt.executeUpdate(); } } ``` 最后,将读取CSV文件和插入数据的过程...
如何将PreparedStatement查询得到的结果集存储起来--方法一:采用对象数组
青松之竹_Java博客
10-04 8737
如何将PreparedStatement查询得到的结果集存储起来--方法一:采用对象数组
JDBC之PreparedStatement对象使用
weixin_44594041的博客
09-02 1432
文章目录前言一、为什么选择PreparedStatement?二、创建PreparedStatement对象三、带参数的SQL语句2.读入数据总结 前言 这里大概整理一下对于PreparedStatement的理解 一、为什么选择PreparedStatementStatement对象在每次执行SQL语句时都将该语句传给数据库。这样,多次执行同一个语句时效率较低。为了提高语句的执行效率,可以使用PreparedStatement接口对象。 二、创建PreparedStatement对象 使用Prepa
使用PreparedStatement执行批量插入sql的三种方式以及效率
weixin_45861045的博客
08-01 4996
jdbc学习
怎样使用PreparedStatement在执行添加语句后,获得生成的主键值
iteye_18067的博客
11-21 314
传送给数据库的 SQL 语句通过一个包含两个步骤的过程来返回结果。首先准备它们,然后处理它们。借助 Statement 对象,这两个阶段对应用程序而言变成一个阶段。PreparedStatement 允许将这两个步骤分开。准备步骤在创建对象时发生,而处理步骤在对 PreparedStatement 对象调用 executeQuery、executeUpdate 或 execute 方法...
批量插入
博客的博客
03-28 4509
目录 一、批量插入数据 ⚪JDBC的批量处理语句的方法 二、高效的批量插入 1.举例:向goods表中插入20000条数据 ⭐goods表的创建 方式一:使用Statement 方式二:使用PreparedStatement替换Statement 🌙方式一与方式二的对比 方式三: 相关方法的调用 方式四: 设置连接不允许自动提交数据 一、批量插入数据 PreparedStatement可以实现更高效的批量操作 update、delete本身就具有批量操作的效果 此时的批量操.
PreparedStatement预编译原理及基础使用
qq_71443736的博客
12-01 797
是 JDBC 中的一个接口,用于执行预编译的 SQL 语句。与普通的Statement不同,的 SQL 语句在执行之前已经经过编译,因此更高效且安全,同时可以防止 SQL 注入攻击。通常用于执行多次相似的 SQL 查询或更新,只需编译一次,多次执行。对象所代表的 SQL 语句中的参数用问号来表示,调用对象的setXxx()方法来设置这些参数.setXxx()方法有两个参数,第一个参数是要设置的 SQL 语句中的参数的索引(从 1 开始),第二个是设置的 SQL 语句中的参数的值。
Java中JDBC的PreparedStatement用法
热门推荐
午-夜
07-17 6万+
PreparedStatement l  它是Statement接口的子接口; l  强大之处: Ø  防SQL攻击; Ø  提高代码的可读性、可维护性; Ø  提高效率! l  学习PreparedStatement用法: Ø  如何得到PreparedStatement对象: ¨      给出SQL模板! ¨      调用Connection的PreparedState
PrepareStatement
05-28
PrepareStatementJava中的一个接口,用于执行预编译的SQL语句。与Statement不同,PrepareStatement可以避免SQL注入攻击,并且在执行多次相同的SQL语句时性能更好。 使用PrepareStatement的步骤如下: 1. 创建PrepareStatement对象,通过Connection的prepareStatement方法实现。 2. 设置SQL语句的参数,通过PrepareStatement的setXXX方法实现,其中XXX表示参数的类型,如setString、setInt等。 3. 执行SQL语句,通过PrepareStatement的execute方法实现。 4. 处理结果集,通过PrepareStatement的getResultSet方法获取结果集。 示例代码如下: ``` String sql = "SELECT * FROM users WHERE username = ? AND password = ?"; PreparedStatement pstmt = conn.prepareStatement(sql); pstmt.setString(1, "user"); pstmt.setString(2, "password"); ResultSet rs = pstmt.executeQuery(); while (rs.next()) { System.out.println(rs.getString("username") + " " + rs.getString("password")); } ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值