jdbc预处理

已于 2023-12-19 16:47:31 修改
阅读量403 收藏 5
点赞数 9
文章标签: 数据库
于 2023-12-19 16:47:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/f126735786585288/article/details/135080742
版权

一、什么是预处理 ?

对sql语句进行预编译以达到防止SQL注入的同时操作数据库时提高执行速度。

二、防止SQL注入

1、什么是SQL注入

SQL注入是一种非常常见的数据库攻击手段,SQL注入漏洞也是网络世界中最普遍的漏洞之一;
SQL数据库的操作是通过SQL语句来执行的,而无论是执行代码还是数据项都必须写在SQL语句之中,这就导致如果我们在数据项中加入了某些SQL语句关键字(比如说SELECT、DROP等等),这些关键字就很可能在数据库写入或读取数据时得到执行;

2、SQL注入类型

1、数字型注入

String id = "1 or 1=1 ";
String sql = "select * from table where id = " + id;
String newsql = "select * from table where id =1 or 1=1";

2、字符型注入 

String name = "'y' or 'y'='y' ";
String sql = "select * from table where name = " + name;
String newsql = "select * from table where name = 'y' or 'y'='y'";

3、模糊查询注入

String name = "'%y%' or '%y%'='%y%'";
String sql = "select * from table where name like " + name;
String newsql = "select * from table where name = '%y%' or '%y%'='%y%'";

3、使用预处理预防sql注入 

使用PreparedStatement进行预处理

​
Connection conn = dataSource.getConnection();
String sql = "select * from table where id = ?";
PreparedStatement ps = conn.prepareStatement(sql);
ps.setint(1,001);
ps.executeQuery();

​

(1)编写好sql语句后使用PreparedStatement将sql语句格式固定。

(2)使用set方法为固定好的sql语句添加参数

(3)执行代码

JDBC在处理SQL语句时有一个预编译的过程,而预编译对象就是把一些格式固定的SQL编译后,存放在内存池中即JDBC缓冲池,当我们再次执行相同的SQL语句时就不需要预编译的过程了,所以即使SQL注入特殊的语句,也会只当做参数传进去,不会当做指令执行

三、为什么预处理能提高

1、原理

SQL语句在代码运行前,已经进行了预编译。在程序运行时第一次操作数据库之前,SQL语句已经被数据库分析,编译和优化,然后对应的执行计划也会缓存下来并允许数据库已参数化的形式进行查询。

如同各地的加盟店一样,若是所有购买的商品都直接从总部发货势必会大大加强总部的压力,而如果有了加盟店,货物就近由加盟店发货,从而达到减轻总部压力,大大加快速度。

唐大饼pyr<1nm
关注
  • 9
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
JDBC使用预编译SQL的好处
乘风破浪的博客
05-12 2216
1. 执行效率 PreparedStatement可以尽可能的提高访问数据库的性能,数据库在处理SQL语句时都有一个预编译的过程,而预编译对象就是把一些格式固定的SQL编译后,存放在内存池中即数据库缓冲池,当我们再次执行相同的SQL语句时就不需要预编译的过程了,只需DBMS运行SQL语句。所以当你需要执行Statement对象多次的时候,PreparedStatement对象将会大大降低运行时间
Java学习日志(三十三): JDBC预处理对象,连接池C3P0
12-14
JavaEE学习日志持续更新—-> 必看!JavaEE学习路线(文章总汇) Java学习日志(三十三)JDBC预处理对象登陆注册案例模拟:用户注入攻击数据库解决用户注入式攻击PreparedStatement对象对数据库表进行增删改查连接池连接池的原理连接池的规范接口DataSource创建并测试C3P0连接池的工具类带XML配置文件的C3P0连接池工具类 JDBC预处理对象 登陆注册案例模拟:用户注入攻击数据库 首先创建一张用户表 -- 创建数据库day04 CREATE DATABASE day04; -- 使用数据库day04 USE day04; -- 创建用户表users 字段:
Jdbc预处理
仓爸爸java成长过程中的分享
07-13 3291
大家都知道,Java中JDBC中,有个预处理功能,这个功能一大优势就是能提高执行速度尤其是多次操作数据库的情况,再一个优势就是预防SQL注入,严格的说,应该是预防绝大多数的SQL注入。 用法就是如下边所示: [java]view plaincopy Stringsql="updatecz_zj_directpaymentdp"+ "setdp.proj
MySQL中JDBC预处理(防止sql语句的注入问题)
不会飞的王
03-17 660
首先来看一下未经预处理的小程序,这个小程序是注册和登录功能,静态的sql 语句,语法不确定性,通过 stmt 执行【Statement stmt 创建】,但这样的话可能会给懂的一些语言的人轻松破解你账户的机会,所以MySQL为了防止这种方式的发生,提供了一种预处理的机制PreparedStatement pstmt package 未预处理的结果; import java.sql.Conne...
需要预处理JDBC
tao0801的博客
02-23 278
public static void main(String[] args) {     Connection conn = null;// 特定的数据库链接对象     try {       // 通过DriverManager与Connection的连接       conn = DriverManager.getConnection(       &amp;amp;quot;jdbc:oracle:thin:@lo...
java使用JDBC动态创建数据表及SQL预处理的方法
08-29
Java 使用 JDBC 动态创建数据表及 SQL 预处理的方法 Java 使用 JDBC 动态创建数据表及 SQL 预处理的方法是 Java 语言中常用的数据库操作技术。该方法主要涉及到 JDBC 操作数据库的连接、创建表、添加数据、查询等...
预处理例子
06-06
- **加载驱动**:通过`Class.forName()`加载MySQL JDBC驱动。 - **捕获异常**:使用`try-catch`结构来处理可能发生的异常,如`ClassNotFoundException`或`SQLException`。 ### 5. 输出结果与显示表格 最后,在JSP...
jdbc封装包
08-27
- SQL语句的预处理和参数化,提高安全性和效率。 - 异常处理机制,确保错误时能正确回滚事务并记录日志。 6. **如何使用封装包**: - 引入封装包的依赖。 - 配置数据库连接参数,如URL、用户名、密码。 - 调用...
java之jdbc总结
11-08
总结,Java的JDBC提供了与数据库交互的标准接口,通过理解并熟练掌握JDBC的基本操作流程、注意事项、预处理语句以及存储过程的调用,能够更安全、高效地实现数据库操作。同时,了解分页技术有助于在大量数据时提高...
JDBC预处理查询,防止SQL注入的利器
大河之犬的博客
08-20 1408
在实际使用的时候会引发sql注入的问题,因此我们在开发时常用。预处理sql语句以预防sql注入行为。
JDBC使用预处理的方法链接MySQL数据库的主要步骤
BGnv5
09-17 289
JDBC使用字符串拼接的方式链接MySQL数据库 public void login(String username,String password) throws ClassNotFoundException, SQLException { //1.注册驱动 Class.forName("com.mysql.jdbc.Driver"); //2.获取连接 Connection...
JDBCJDBC如何实现预处理SQL?
后端研发工程师Marion的博客
03-20 868
2. 在PreparedStatement对象上调用setXXX()方法,为SQL语句中的参数设置值。其中XXX表示Java数据类型,例如setString()用于设置字符串类型参数,setInt()用于设置整型参数等等。首先创建了一个预处理语句对象pstmt,然后使用setInt()方法设置第一个参数为1,最后执行executeQuery()方法获取查询结果。3. 在PreparedStatement对象上调用executeQuery()或executeUpdate()方法来执行SQL语句。
JDBC接口———PreparedStatement预处理
weixin_42472048的博客
09-24 896
PreparedStatement * 它是Statement接口的子接口; * 强大之处: - 防SQL攻击; - 提高代码的可读性、可维护性; - 提高效率! * 学习PreparedStatement的用法: - 给出SQL模板! - 调用Connection的PreparedState...
JDBC预处理执行技术
程麒阁的博客
07-24 1055
JDBC预处理执行 预处理执行就是我先不执行它,在我需要的时候再执行它 我们先准备一个数据库 这个数据库是下面JDBC代码运行基础 只需要复制到你的mysql上执行下,刷新下就好 /* SQLyog Ultimate v11.24 (32 bit) MySQL - 5.6.39 : Database - af_school ********************************************************************* */ /*!40101 SET NAMES
数据库技术四:JDBC预处理对象,JDBC事务控制
bier_zm的博客
08-24 585
JDBC概述 什么是JDBC JDBC (Java Data Base Connectivity) 是 Java 访问数据库的标准规范。是一种用于执行 SQL 语句的 Java API,可以为多种关系数据库提供统一访问,它由一组用 Java 语言编写的类和接口组成。是 Java 访问数据库的标准规范。 JDBC原理 JDBC 是接口,驱动是接口的实现,没有驱动将无法完成数据库连接,从而不能操作数据库。每个数据库厂商都需要提供自己的驱动,用来连接自己公司的数据库,也就是说驱动一般都由数据库
Java笔记4.4--JDBC简单预处理批处理防SQL注入
lfanchenyu的博客
08-05 144
预处理批处理语法: PreparedStatement pstmt; String query = "insert into student valuse (?,?)"; pstmt = connection.prepareStatement(query); pstmt.setString(1,"1"); pstmt.setString(2,"Peter"); pstmt.addBatch(); pstmt.executeBatch(); 项目中一般PreparedStatement比Statemen
JDBC 动态创建数据表 及 SQL预处理
一不小心的程序员
03-05 9163
这两天由于公司的需求,客户需要自定义数据表的字段,导致每张表的字段都不是固定的而且很难有一个通用的模板去维护,所以就使用JDBC动态去创建数据表,然后通过表的字段动态添加数据,数据的来源主要是用户提供的Excel直接导入到数据库中。        如果考虑到字段的类型,可以通过反射的机制去获取,现在主要用户需求就是将数据导入到数据库提供查询功能,不能修改,所以就直接都使用String类型来处理数
JDBC学习笔记(JDBC,结果集,预处理,反射封装,JDBC批处理)
qq_47267252的博客
05-11 469
JDBC学习笔记JDBC概述连接MySQL数据库1.java.sql包下常用的接口2.JDBC连接数据库的步骤 JDBC概述 刚开始通过客户端连接数据库 因为数据库厂商有Mysql,Oracle,DB2,SqlServer等等,所以SUN公司提出了连接数据库的规范 JDBC:Java DataBase Connectivity(java数据库连接) 连接MySQL数据库 MySQL数据库这个厂商需要提供对JDBC接口的实现类,这些实现类被打包成了一个Jar,如果Java项目要使用,必须要跟项目
jdbc怎么获取预处理生成的实体sql
最新发布
05-10
JDBC 中,可以通过 `PreparedStatement` 接口的 `toString()` 方法来获取预处理生成的实体 SQL 语句。这个方法会返回完整的 SQL 语句,其中占位符 `?` 会被预处理的参数值替换。 示例代码: ```java // 假设...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值