文章目录
ResultSet
ResultSet(结果集对象)作用:
-
封装了DQL查询语句的结果
- 获取查询结果
- 获取查询结果
使用步骤:
-
游标向下移动一行,并判断该行是否有数据:next()
-
获取数据: getXxx(参数)
ResultSet 案例
-
需求:查询 account 账户表数据,封装为 Account对象中,并且存储到 ArrayList集合中
PreparedStatement
SQL注入
- SQL 注入是通过输入来修改事先定义好的 SQL语句,用于达到执行代码对服务器进行攻击的方法
示例
我的数据库中有一个 tb_user表
我们可以通过 定义 SQL 语句来实现用户登录
通过 if-else语句判断用户是否登录成功
结果:
以上是正常情况,当我们 使用 SQL注入时,会发现,输入不存在的用户时,竟然会登录成功!
我们将控制台打印出来的 sql 复制到 Navicat 中分析
在 Navicat 中执行上述 sql 语句
所以,当我们输入不存在不存在的用户名时,控制台会输出 登录成功
PreparedStatement作用
- 预编译SQL语句并执行:预防SQL注入问题
- 预编译 SQL并执行SQL语句
PreparedStatement原理
-
PreparedStatement 好处:
- 预编译SQL,性能更高
- 防止 SQL注入:将敏感字符进行转义
-
PreparedStatement 预编译功能开启:useServerPrepStmts=true
-
配置MySQL执行日志(重启 mysql服务后生效)
-
PreparedStatement 原理:
- 在获取 PreparedStatement 对象时,将 sql 语句发送给 mysql 服务器进行检查,编译(这些步骤很费时)
- 执行时就不用再进行这些步骤了,速度更快
- 如果 sql 模板一样,则只需要进行一次检查、编译