使用PreparedStatement防止SQL注入(转)

最新推荐文章于 2022-04-24 16:10:44 发布
最新推荐文章于 2022-04-24 16:10:44 发布
阅读量106 收藏
点赞数
分类专栏: 数据库 文章标签: SQL Oracle MySQL 应用服务器 数据结构
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hz_chenwenbiaotmb/article/details/83906458
版权

一条效率差的sql语句,足以毁掉整个应用.

Statement是PreparedStatement的父接口,不进行预编译操作,减少了进行预编译的开销.单次运行PreparedStatement要比Statement要慢一些. 
PreparedStatement可以实现Statement的所有功能,但是之所以叫它预编译指令,是因为在创建它的一个对象时可以给定具有一定格式的SQL字符串,然后用它的setXXX方法给指定的SQL语句以填空的方式赋值,具有这样的特性后,它在多次执行一条固定格式的字符串时就很方便,也更效率.不像Statement那样每次执行都要先编译字符串在执行SQL了.

PreparedStatement需要服务器端的支持来提高效率.比如在Oracle上就会有显著效果,而MySQL明确地说明了不支持PreparedStatement.
Oracle中会将所有的SQL语句先编译,叫做"执行计划",放在Oracle内部的一个特定的缓存中,每次遇到相同的SQL,就会先调用缓存中的,如果不预编译,每次都用Statement,那么每次都要编译,在缓冲中会有很多重复的"执行计划"影响数据库的性能.还有一点就是在使用setObject()的时候,记得一定要使用带targetSqlType参数的方法,来提高效率.

SQL注入攻击是利用设计上的漏洞,在目标服务器上运行SQL语句进行攻击,动态生成SQL语句时没有对用户输入的数据进行验证是SQL注入攻击得逞的主要原因.
对于JDBC而言,SQL注入攻击只对Statement有效,对PreparedStatement是无效的,这是因为PreparedStatement不允许在插入时改变查询的逻辑结构.
绕过验证,但这种手段只对Statement有效,对PreparedStatement无效.

如果有一条SQL语句: "select * from 表 where 用户名 = '用户名'"
Statement的SQL语句是这样写的: "select * from 表 where 用户名 = '"+ 变量值 +"'"
PreparedStatement的SQL语句是这样写的: "select * from 表 where 用户名 = ?" 然后对应?赋值
这样我们就发现输入 "aa' or '1' = '1"
Statement是将这个和SQL语句做字符串连接到一起执行
PreparedStatement是将 "aa' or '1' = '1" 作为一个字符串赋值给?,做为"用户名"字段的对应值,显然这样SQL注入无从谈起了.

实现机制不同,注入只对SQL语句的准备(编译)过程有破坏作用,而PreparedStatement已经准备好了,执行阶段只是把输入串作为数据处理,不再需要对SQL语句进行解析,准备,因此也就避免了SQL注入问题.

hz_chenwenbiaoTMB
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
如何防止SQL注入.pdf
04-02
通过使用预编译语句(例如,在Java中使用PreparedStatement),可以确保用户输入被当作参数处理,而不是SQL语句的一部分。 2. 检验和清洗用户输入 对用户输入进行验证,确保它符合预期的格式。例如,如果你期待一个...
Java操作Oracle实现使用PreparedStatement 批量更新数据
someby的博客
03-26 2447
目录 背景 一、获取数据库连接 二、关闭数据库连接 三、获取查询数据 四、对数据进行加密并批量更新 背景 今天需要实现将Oracle数据库中的指定字段取出来,使用Base64进行加密,然后将加密结果存回去,涉及到Oracle数据库的操作。 一、获取数据库连接 public static Connection getConnection(){ Connect...
oracle preparedstatement,oracle_选用PreparedStatement还是statement
weixin_39649736的博客
04-14 655
1.PreparedStatementstatement对比如果只执行单个SQL语句,那么不用说肯定是Statement的效率高,因为PreparedStatement需要花时间先预编译,但不会产生数量级的差别。PreparedStatement带来的好处如下:1.增加代码的可读性全部使用statement,字符串拼SQL就象一本天书。2.缓冲优势WEB环境下是多个并发执行,对于关键业务,Pre...
Oracle 使用PreparedStatement防止SQL注入
每天进步一点点 时间会让你成为巨人
01-05 9378
一条效率差的sql语句,足以毁掉整个应用. Statement是PreparedStatement的父接口,不进行预编译操作,减少了进行预编译的开销.单次运行PreparedStatement要比Statement要慢一些. PreparedStatement可以实现Statement的所有功能,但是之所以叫它预编译指令,是因为在创建它的一个对象时可以给定具有一定格式的SQL字符串,然后用
Oracle-JDBC常用接口,PreparedStatement使用,PreparedStatement防止SQL注入,JdbcUtil工具类,修改Eclipse编辑器的工作空间编码
张子又
01-26 785
1.JDBC常用接口 PreparedStatement : 它是Statement接口的子接口,用来执行预编译的SQL语句,它是通过调用Connection对象的prepareStatement方法获取的 PreparedStatement prepareStatement(String sql)throws SQLException; 预编译的SQL:当调用Connection的prepare...
statement 、prepareStatement的用法和解释
热门推荐
bit-cafe
09-06 2万+
一、prepareStatement 的用法和解释 1.PreparedStatement是预编译的,对于批量处理可以大大提高效率. 也叫JDBC存储过程 2.使用 Statement 对象。在对数据库只执行一次性存取的时侯,用 Statement 对象进行处理。PreparedStatement 对象的开销比Statement大,对于一次性操作并不会带来额外的好处。 3.stateme
如何获得PreparedStatement最终执行的sql语句
03-24
NULL 博文链接:https://huiminchen.iteye.com/blog/1097332
Java数据库连接PreparedStatement使用详解
08-29
主要介绍了Java数据库连接PreparedStatement使用详解,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
使用PreparedStatement访问数据库
12-14
java.sql.PreparedStatement接口。PrepareStatement接口继承Statement接口。  PrepatredStatement实例包含已编译的SQL语句,由于PreparedStatement对象已预编译过哦哦,所以执行速度快于Statement对象。  包含于...
Java使用PreparedStatement接口及ResultSet结果集的方法示例
08-27
主要介绍了Java使用PreparedStatement接口及ResultSet结果集的方法,结合实例形式分析了PreparedStatement接口及ResultSet结果集的相关使用方法与操作注意事项,需要的朋友可以参考下
Oracle数据库:使用PreparedStatement查询不到相应数据
weixin_45891628的博客
04-24 1509
问题描述 在使用Java对Oracle数据库进行查询的过程,出现了数据库中存在相应数据,但查询不到的问题。 修改前的表结构如下: NAME CHAR PASSWORD CHAR 代码如下: 这里是带参数的查询方式: String sql="select * from USERS WHERE NAME=?"; PreparedStatement pstmt=con.prepareStatement(sql); pstmt.setString(1,"ZYL"); ResultSet rs
Oracle数据库PrepareStatement查不到结果
xiaoputizi的专栏
10-19 2429
Java中用 PreparedStatement语句查询 Oracle数据库没有结果?而如果直接使用 Statement语句查询却有结果集,怎么回事 第一种:不用占位符, java.sql.PreparedStatement ps = connection().prepareStatement("select * from test where name='hello'"); jav
Oracle数据库下PreparedStatementCache内存问题解决方案
zhangjunli的博客
07-16 2961
PreparedStatementCache的意义 Oracle支持游标,一个PreparedStatement对应服务器一个游标,如果PreparedStatement被缓存起来重复执 行,PreparedStatement没有被关闭,服务器端的游标就不会被关闭,性能提高非常显著。在类似SELECT * FROM T WHERE ID = ?这样的场景,性能可能是一个数量级的提升。 由于Pr...
JDBC-Oracle的PreparedStetement接口例子(增删改查)
LOST JACK
09-09 423
以下是JDBC连接Oracle数据库使用PreparedStatement接口对象,对数据表增删改查的例子 代码 package JDBC; import java.sql.Connection; import java.sql.DriverManager; import java.sql.PreparedStatement; import java.sql.ResultSet; impo...
prepareStatement的用法和解释
dazhi5407的博客
09-27 1076
1.PreparedStatement是预编译的,对于批量处理可以大大提高效率. 也叫JDBC存储过程2.使用 Statement 对象。在对数据库只执行一次性存取的时侯,用 Statement 对象进行处理。PreparedStatement 对象的开销比Statement大,对于一次性操作并不会带来额外的好处。3.statement每次执行sql语句,相关数据库都要执行sql语句的编...
oracle prepare耗时,JDBC中级篇——批处理和PreparedStatement对有sql缓冲区的数据库的友好,测试...
weixin_29219539的博客
04-13 363
注意:其中的JdbcUtil是我自定义的连接工具类:代码例子链接:package a_batch;import util.JdbcUtil;import java.sql.Connection;import java.sql.PreparedStatement;import java.sql.Statement;/*** 同时插入2000条数据**对于JDBC中的批处理的测试!** 结论:* 1)...
oracle 日志抛出,prepareStatement()抛出异常
weixin_28761983的博客
04-04 656
在记录日志时,有这样一条数据库操作语句:stmt = conn.prepareStatement("select nvl(max(log_id), 0) maxId from log_info;");程序运行后抛出一大堆异常:java.sql.SQLSyntaxErrorException: ORA-00911: 无效字符at oracle.jdbc.driver.SQLStateMapping....
Oracle preparestatement中addBatch方法 抛异常的问题:不支持此特性
代码充实生活的博客
09-18 3705
对于preparestatement.addBatch()方法使用报异常的地方原因是不能使用prepareStatement接口去实现addBatch()多个sql语句,addBatch()方法不接受参数的输入(即使传入的参数也无法执行,没有重写这个方法因此不支持),你可以查看一下官方文档API,大概意思是说:addBatch()只是使用适当的setXXX()方法将设置的绑定参数添加到批处理中,(...
preparedstatement防止sql
最新发布
03-16
PreparedStatement如何防止SQL注入攻击? PreparedStatement是一种预编译的SQL语句,它可以在执行之前将SQL语句和参数分离开来,从而避免了SQL注入攻击。PreparedStatement使用占位符(?)来代替SQL语句中的参数,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值