026_jdbc-mysql-PrepareStatement解决sql注入

最新推荐文章于 2023-02-27 16:44:31 发布
最新推荐文章于 2023-02-27 16:44:31 发布
阅读量193 收藏
点赞数
分类专栏: MySql学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/aihiao/article/details/113408604
版权

1. 新建一个JDBCPrepareStatement工程, 使用我们之前的JDBCUtil.java和jdbc.properties属性文件

2. PreparedStatement对象相比较以前的Statement对象, 预先处理给定的sql语句, 对其执行语法检查。 在sql语句里面使用?占位符来替代后续要传递进来的变量。后面不管传递什么进来, 都把它看成是字符串, 不会产生任何的关键字。

3. 使用PreparedStatement对象编写程序

4. 输入任意用户名和密码, 并且sql注入, 登录失败

5. 使用正确的用户名和密码, 登录成功

6. 使用PreparedStatement对象进行插入操作

7. 使用PreparedStatement对象进行更新操作

8. 使用PreparedStatement对象进行删除操作

9. 使用PreparedStatement对象查找所有用户

10. UserDao.java接口代码

package com.lywgames.dao;

public interface UserDao {
	/**
	 * 用户登录方法
	 * @param username
	 * @param password
	 */
	public void login(String username, String password);
	/**
	 * 注册新用户
	 * @param username
	 * @param password
	 * @param registertime
	 */
	public void register(String username, String password, long registertime);
	/**
	 * 修改密码
	 * @param username
	 * @param password
	 */
	public void modifyPassword(String username, String password);
	/**
	 * 删除用户
	 * @param username
	 */
	public void deleteUser(String username);
	/**
	 * 查找所有用户
	 */
	public void findAll();
}

11. UserDaoImpl.java完整代码

package com.lywgames.dao.impl;

import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Timestamp;
import com.lywgames.dao.UserDao;
import com.lywgames.util.JDBCUtil;

public class UserDaoImpl implements UserDao {
	public void login(String username, String password) {
		Connection conn = null; 
//		Statement st = null;
		PreparedStatement ps = null;
		ResultSet rs = null;
		
		try {
			// 1.获取连接对象
			conn = JDBCUtil.getConn(); 
			/**
			 *	// 2.创建statement, 跟数据库打交道, 一定需要这个对象
			 *	st = conn.createStatement();
			 *	// 3.执行查询sql, 获取ResultSet结果集
			 *	rs = st.executeQuery("select * from user where username='"+ username  +"' and password='"+ password +"'");
			 **/
			// 2.PreparedStatement对象相比较以前的Statement对象, 预先处理给定的sql语句, 对其执行语法检查。 在sql语句里面使用?占位符来替代后续要传递进来的变量。
			// 后面不管传递什么进来, 都把它看成是字符串, 不会产生任何的关键字。
			ps = conn.prepareStatement("select * from user where username=?and password=?");
			// 给占位符赋值, 位置从1开始
			ps.setString(1, username);
			ps.setString(2, password);
			// 3.执行查询
			rs = ps.executeQuery();
			// 4.使用ResultSet结果集遍历
			if(rs.next()){
				System.out.println("登录成功");
			}else{
				System.out.println("登录失败");
			}
		} catch (SQLException e) {
			e.printStackTrace();
		} finally {
			// 5.释放资源
			JDBCUtil.release(conn, ps, rs);
		}
	}

	@Override
	public void register(String username, String password, long registertime) {
		Connection conn = null; 
		PreparedStatement ps = null;
		
		try {
			// 1.获取连接对象
			conn = JDBCUtil.getConn(); 
			// 2.PreparedStatement对象相比较以前的Statement对象, 预先处理给定的sql语句, 对其执行语法检查。 在sql语句里面使用?占位符来替代后续要传递进来的变量。
			// 后面不管传递什么进来, 都把它看成是字符串, 不会产生任何的关键字。
			ps = conn.prepareStatement("insert into user (username,password,registertime) values (?,?,?)");
			// 给占位符赋值, 位置从1开始
			ps.setString(1, username);
			ps.setString(2, password);
			ps.setTimestamp(3, new Timestamp(registertime));
			// 3.执行更新
			ps.executeUpdate();
		} catch (SQLException e) {
			e.printStackTrace();
		} finally {
			// 4.释放资源
			JDBCUtil.release(conn, ps);
		}
	}

	@Override
	public void modifyPassword(String username, String password) {
		Connection conn = null; 
		PreparedStatement ps = null;
		
		try {
			// 1.获取连接对象
			conn = JDBCUtil.getConn(); 
			// 2.PreparedStatement对象相比较以前的Statement对象, 预先处理给定的sql语句, 对其执行语法检查。 在sql语句里面使用?占位符来替代后续要传递进来的变量。
			// 后面不管传递什么进来, 都把它看成是字符串, 不会产生任何的关键字。
			ps = conn.prepareStatement("update user set password=? where username=?");
			// 给占位符赋值, 位置从1开始
			ps.setString(1, password);
			ps.setString(2, username);
			// 3.执行更新
			ps.executeUpdate();
		} catch (SQLException e) {
			e.printStackTrace();
		} finally {
			// 4.释放资源
			JDBCUtil.release(conn, ps);
		}
	}

	@Override
	public void deleteUser(String username) {
		Connection conn = null; 
		PreparedStatement ps = null;
		
		try {
			// 1.获取连接对象
			conn = JDBCUtil.getConn(); 
			// 2.PreparedStatement对象相比较以前的Statement对象, 预先处理给定的sql语句, 对其执行语法检查。 在sql语句里面使用?占位符来替代后续要传递进来的变量。
			// 后面不管传递什么进来, 都把它看成是字符串, 不会产生任何的关键字。
			ps = conn.prepareStatement("delete from user where username=?");
			// 给占位符赋值, 位置从1开始
			ps.setString(1, username);
			// 3.执行更新
			ps.executeUpdate();
		} catch (SQLException e) {
			e.printStackTrace();
		} finally {
			// 4.释放资源
			JDBCUtil.release(conn, ps);
		}
	}

	@Override
	public void findAll() {
		Connection conn = null; 
		PreparedStatement ps = null;
		ResultSet rs = null;
		
		try {
			// 1.获取连接对象
			conn = JDBCUtil.getConn(); 
			// 2.PreparedStatement对象相比较以前的Statement对象, 预先处理给定的sql语句, 对其执行语法检查。 在sql语句里面使用?占位符来替代后续要传递进来的变量。
			// 后面不管传递什么进来, 都把它看成是字符串, 不会产生任何的关键字。
			ps = conn.prepareStatement("select * from user");
			// 3.执行查询
			rs = ps.executeQuery();
			// 4.使用ResultSet结果集遍历
			while(rs.next()){
				System.out.println(rs.getInt(1) + " " + rs.getString(2) + " " + rs.getString(3) + " " + rs.getTimestamp(4));
			}
		} catch (SQLException e) {
			e.printStackTrace();
		} finally {
			// 5.释放资源
			JDBCUtil.release(conn, ps, rs);
		}
	}
}

 

自由与束缚JavaJavaScript
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java之MySQL中prepareStatement的基本使用
qq_45920729的博客
02-18 3284
1.什么是prepareStatement prepareStatement是表示预编译的 SQL 语句的对象。 2.为什么使用prepareStatement 1.以前的statement的执行,是先拼接sql语句然后在一起执行。在这种情况下,如果sql语句中的变量带有了数据库的关键字,那么一并认为是是关键字,而不是普通的字符串。 2.使用prepareStatement时,预先处理给定的S...
MySQL JDBC PrepareStatement基本的两种模式&客户端空间占用的源码分析
xieyuooo的专栏
08-31 7554
关于预编译(PrepareStatement),对于所有的JDBC驱动程序来讲,有一个共同的功能,就是“防止SQL注入”,类似Oracle还有一种“软解析”的概念,它非常适合应用于OLTP类型的系统中。在JDBC常见的操作框架中,例如ibatis、jdbcTemplate这些框架对JDBC操作时,默认会走预编译(jdbcTemplate如果没有传递参数,则会走createStatement),这貌
JDBC编程---JDBC基础以及连接MySql数据库
全栈工程师
07-22 377
一:JDBC基础 JDBC全称为 Java Database Connectivity。即为java数据库连接,它是一种可执行SQL语句的API。程序可通过JDBC连接到关系型数据库,并且使用结构化查询语言(SQL数据库标准的查询语言)来完成对数据库的查询和更新。 与其他数据库编程环境相比,JDBC为数据库提供了标准的API。所以使用JDBC的数据库可以跨平台开发,如果全部使用标准的SQL语句,也可以说夸数据库开发。也就是说,如果使用一个JDBC开发一个数据库应用,那么该应用既可以在windows..
mysql 中prepare statement(预处理)
果汁华的博客
08-18 6805
  今天前同事问了一个sql语法优化问题,后来查资料的过程中,发现了一个prepare statement 这玩意。使用并测试了下性能,感觉未来能用上。记录下。 当时我在解决一个大表,分页问题。目前的分页sql一般有这几种(原文): --方法1: 直接使用数据库提供的SQL语句 ---语句样式: MySQL中,可用如下方法: SELECT * FROM 表名称 LIMIT M,N ---适...
java prepare mysql_MySQL_(Java)使用preparestatement解决SQL注入的问题
weixin_42361026的博客
01-21 219
importjava.sql.Connection;importjava.sql.DriverManager;importjava.sql.PreparedStatement;importjava.sql.ResultSet;importjava.sql.SQLException;importjava.sql.Statement;public classJDBC01 {public static ...
JDBC.txt是链接mysql数据库的源码,复制粘贴即可,需要mysql.jar包
04-05
PreparedStatement ptmt=conn.prepareStatement(sql); ResultSet rs= ptmt.executeQuery(); //查看结果 while(rs.next()){ System.out.println( rs.getString("name")); //资源回收 } rs.close(); ptmt....
完美的myeclipse连接mysql代码和最新驱动包JDBC
05-10
pstmt = conn.prepareStatement(sql); pstmt.setObject(1, id); pstmt.setObject(2, name); pstmt.setObject(3, classname); pstmt.setObject(4, sex); pstmt.setObject(5, age); pstmt...
MySQL数据库
02-13
statement = connection.prepareStatement(sql); for (int i = 0; i ; i++) { statement.setString(1, "name"+i); statement.setString(2, "admin"+i); //添加到批量操作 statement.addBatch(); if(i ==0){ ...
MySQL面试题
01-19
执行对象PrepareStatement 执行sql语句 如果是查询操作,获取结果集ResultSet,处理结果集 讲一下数据库的左连接右连接 ? 左连接又称为左外连接,是外连接中的一种,他的关键字是 left join on/left outter join on ...
MySQL预编译功能
04-07
PreparedStatement pstmt = con.prepareStatement(sql); pstmt.setString(1, "b1"); ResultSet rs = pstmt.executeQuery(); 在使用 PreparedStatement 时,需要在 URL 中添加参数 useServerPrepStmts=true,例如: ...
如何获得PreparedStatement最终执行的sql语句
03-24
NULL 博文链接:https://huiminchen.iteye.com/blog/1097332
用PreparedStatement解决SQL注入问题
平安喜乐
02-27 827
使用PreparedStatement预编译SQL语句并执行,预防SQL注入问题。
jdbc mysql语法_JDBC PreparedStatement导致MySQL语法错误
weixin_26741799的博客
01-27 337
我收到错误消息 “您的SQL语法有错误;请检查与您的MySQL服务器版本相对应的手册,以找到在第1行的“ orderr”附近使用的正确语法”-因此,我认为错误是用了两个 ‘, 但是在我的代码中我没有用 ‘ 。注意,该表实际上被命名为订购者。public void insertIntoDatabase(String table, Object... entries) { // take ...
sql注入问题解决——PrepareStatement
LeeBingNing的博客
01-16 4145
SQL注入攻击 -- 早年登录逻辑,就是把用户在表单中输入的用户名和密码 带入如下sql语句. 如果查询出结果,那么 认为登录成功. SELECT * FROM USER WHERE NAME='xxxx' AND PASSWORD='xxx'; -- sql注入: 请尝试以下 用户名和密码. /* 用户名:    密码: xxx */ -- 将用户名和密
用java PreparedStatement就不用担心sql注入了吗?
weixin_33757911的博客
09-15 1207
     先感慨下,好久没写博客了,一是工作太忙,二是身体不太给力,好在终于查清病因了,趁着今天闲下来,迫不及待与读者交流,最后忠告一句:身体是活着的本钱!      言归正传,对java有了解的同学基本上都体验过JDBC,基本都了解PreparedStatement,PreparedStatement相比Statement基本解决SQL注入问题,而且效率也有一定提升。      关于Pre...
jdbc mysql 缓存_JDBC操作MySQL(1)—PreparedStatement
weixin_34792402的博客
01-27 518
JDBC作为JAVA访问数据库的一套规范与标准,统一了数据库操作的API,大大简化了程序开发工作。不过由于历史原因,MySQLJDBC默认的实现与规范定义或者说其它数据库如Oracle并不一致,为了更完整记录这些差异,计划抽空写个系列,整理下这些可能会误解的常用功能。第一篇首先聊聊PreparedStatementMySQL JDBC PreparedStatementPrepare SQL的...
Mysql-jdbc-PreparedStatement对象
A_Fierce的博客
11-22 320
PrepareedStatement 可以防止SQL注入..........其他的类似,只需要改sql语句和手动给参即可。删除类似:更新:..............
SQL注入
weixin_43817702的博客
12-18 559
一提起SQL注入,大家想到的肯定是不安全,有漏洞,需要避免,但是今天这个文章是要记录一下我在学习过程中遇到的需要使用SQL注入的场景。 首先先来简单看一下SQL注入所带来的安全漏洞: package com.xzh.jdbc; import java.sql.*; import java.util.HashMap; import java.util.Map; import java.util.Scanner; /* 模拟实现用户登录功能 */ public class T...
JDBCMySql (四)java的DAO模式及其MySql代码实现、用PreparedStatement优化Statement
PizAn的博客
12-16 454
具体什么是DAO模式,请看 java中Dao模式 1、java的DAO模式: Data Access Object(数据存取对象) 这个也是设计模式之一,在数据库中用的比较多,也是java多态的一种体现,接口+实现类+工具类,将数据和代码分开,网上的解释都很专业,反正你只需要知道这个代码结构更加花哨更加鲁棒就行了 DAO模式的组成部分 DAO接口 DAO实现类 实体类(测试类) 数据库连接和关...
mysql连接jdbc增删改_JDBC----用JDBC连接Mysql并进行增删改查操作
最新发布
06-06
好的,我可以为您解答JDBC连接MySQL并进行增删改查操作的问题。 首先,您需要确保已经安装了MySQL数据库和Java开发环境。然后,您需要下载MySQL提供的JDBC驱动程序,将其添加到您的Java项目中。 接下来,您可以...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值