JDBC之PreparedStatement

最新推荐文章于 2024-07-30 19:26:47 发布
最新推荐文章于 2024-07-30 19:26:47 发布
阅读量402 收藏
点赞数
分类专栏: java jsp jdbc 文章标签: 数据库 jdbc sql注入 class
jsp 同时被 3 个专栏收录
51 篇文章 0 订阅
订阅专栏
java
49 篇文章 0 订阅
订阅专栏
jdbc
11 篇文章 0 订阅
订阅专栏

这里介绍个Statement的子类PreparedStatement.

PreparedStatement(预处理执行语句)相比其父类Statement主要有以下几个优点.

1.可以防止SQL注入.
2.在特定的驱动数据库下相对效率要高(不绝对)
3.不需要频繁编译.因为已经预加载了

这里2和3的优点就不具体分析.这里主要讲解下防止SQL注入这一用途.

什么叫SQL注入可以阅读下WIKI.这里还是使用上一节总结的DBUtils来讲解.

DBUtils辅助类

package com.test.jdbc;

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;
/**
 * @author Administrator
 * 模板类DBUtils
 */
public final class DBUtils {
    // 参数定义
    private static String url = "jdbc:mysql://localhost:3306/mytest"; // 数据库地址
    private static String username = "root"; // 数据库用户名
    private static String password = "root"; // 数据库密码

    private DBUtils() {

    }
    // 加载驱动
    static {
        try {
            Class.forName("com.mysql.jdbc.Driver");
        } catch (ClassNotFoundException e) {
            System.out.println("驱动加载出错!");
        }
    }

    // 获得连接
    public static Connection getConnection() throws SQLException {
        return DriverManager.getConnection(url, username, password);
    }

    // 释放连接
    public static void free(ResultSet rs, Statement st, Connection conn) {
        try {
            if (rs != null) {
                rs.close(); // 关闭结果集
            }
        } catch (SQLException e) {
            e.printStackTrace();
        } finally {
            try {
                if (st != null) {
                    st.close(); // 关闭Statement
                }
            } catch (SQLException e) {
                e.printStackTrace();
            } finally {
                try {
                    if (conn != null) {
                        conn.close(); // 关闭连接
                    }
                } catch (SQLException e) {
                    e.printStackTrace();
                }

            }

        }

    }

}

在写sql注入演示类之前看下数据库结构:这里写图片描述

上边就是简单的users表.然后看下SQL注入演示类

SQLInner

package com.test.jdbc;

import java.sql.Connection;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;

public class SqlInner {
    public static void main(String[] args) {
        //Read("zhangsan"); // 如果普通查询可以
        Read("' or 1 or'");
    }
    public static void Read(String name) {
        Statement st = null;
        ResultSet rs = null;
        Connection conn = null;
        try {
            conn = DBUtils.getConnection();
            st = conn.createStatement();
            String sql = "select * from users where lastname = '" + name + "'"; // 主要注入发生地
            System.out.println("sql: " + sql); // 打印SQL语句
            rs = st.executeQuery(sql); 
            System.out.println("age\tlastname\tfirstname\tid");
            while (rs.next()) {
                System.out.println(rs.getInt(1) + "\t" + rs.getString(2)
                        + "\t\t" + rs.getString(3) + "\t\t" + rs.getString(4));
            }
        } catch (SQLException e) {
            e.printStackTrace();
        } finally {
            DBUtils.free(rs, st, conn);
        }
    }
}

见注释.如果用普通的键zhangsan来查询.会打age 

 lastname    firstname    id
23    zhangsan        lisi        3.

但使用下面的’ or 1 or’结果为

age    lastname    firstname    id
22    啡        咖        1
25    434        ni         2
23    zhangsan        lisi        3

把所有结果都打印出来了.打印了一下生成后的SQL语句如下:


sql: select * from users where lastname = '' or 1 or''

分析下不难看出.主要问题是用了两个单引号 分别把前后的两个”给封闭了 变成两个空 然后通过or 1即or true就是符合所有条件了.

这就是SQL注入的一种.为了避免这种情况可以使用特殊符号替换 但只是亡羊补牢. 下面就引出了PreparedStatement

package com.test.jdbc;

import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;

public class SqlInner {
    public static void main(String[] args) {
        Read("' or 1 or'");
    }
    public static void Read(String name) {
        PreparedStatement st = null;
        ResultSet rs = null;
        Connection conn = null;
        try {
            conn = DBUtils.getConnection();
            String sql = "select * from users where lastname = ?"; // 这里用问号        
            st = conn.prepareStatement(sql);
            st.setString(1,name); // 这里将问号赋值
            rs = st.executeQuery(); 
            System.out.println("age\tlastname\tfirstname\tid");
            while (rs.next()) {
                System.out.println(rs.getInt(1) + "\t" + rs.getString(2)
                        + "\t\t" + rs.getString(3) + "\t\t" + rs.getString(4));
            }
        } catch (SQLException e) {
            e.printStackTrace();
        } finally {
            DBUtils.free(rs, st, conn);
        }
    }
}

见注释.PreparedStatement用?代替变量.然后加载后setString给赋值.由于PreparedStatement内置了字符过滤
那么就相当于 where name = ’ or 1 or ‘显然没有对应记录.所以数据结果为空.这就体现了PreparedStatement的防注入功能
所以提倡大家只要是动态参数就是用PreparedStatement去代替Statement.况且效率也不错.优化的很好.
其余JDBC介绍文章待续.

http://www.cnblogs.com/bluedream2009/archive/2009/10/21/1587206.html

immenselee
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JDBC之PreparedStatement类中预编译的综合应用解析
09-05
PreparedStatement是Java JDBC中用于执行预编译SQL语句的接口,它是Statement的子接口。预编译的SQL语句可以提高数据库操作的性能和安全性。在数据库系统中,预编译意味着SQL语句在首次执行前已经过编译,形成一个...
34.jdbc中preparedStatementStatement的好处.avi
03-07
jdbc中preparedStatementStatement的好处
JDBC之PreparedStatement接口使用
No body But u
05-20 511
* 原始 * PreparedStatement * 原始        原始的增删改即每次增加删除修改都需要加载数据库驱动,连接数据库,执行SQL语句,关闭数据库,这样的话,代码的重复量有些大,代码冗余比较明显,后来进行修改,运用了Java继承封装和多态的思想,对原来的增删改代码进行了优化,这一篇博客...
JDBC之PreparedStatement对象使用
weixin_44594041的博客
09-02 1437
文章目录前言一、为什么选择PreparedStatement?二、创建PreparedStatement对象三、带参数的SQL语句2.读入数据总结 前言 这里大概整理一下对于PreparedStatement的理解 一、为什么选择PreparedStatementStatement对象在每次执行SQL语句时都将该语句传给数据库。这样,多次执行同一个语句时效率较低。为了提高语句的执行效率,可以使用PreparedStatement接口对象。 二、创建PreparedStatement对象 使用Prepa
JDBC之PreparedStatement的理解
gao_zhennan的博客
06-11 8152
前言:怀着疑惑和痛苦的心情写下这篇文章,其中疑惑之一是预编译对象,会把编译之后的整个语句保存在对象中,如果保存保存在哪里呢? 注:本文以mysql数据库为基础展开 一、基础知识 1、SQL语句在数据库中的执行过程 一条SQL语句从客户端(如: java 程序、navicat工具、cmd命令行)发送到数据库管理系统后,要经历以下过程: 词法和语义的解析 优化SQL语句,制定执行计划 执行并返回结果...
JDBC之PreparedStatement详解
jzj_c_love的博客
04-03 421
statement执行不含参数的静态语句; PreparedStatement创建参数化SQL语句\color{#F00}参数化SQL语句参数化SQL语句,重复执行它们时效率较高; PreparedStatement extends Statement; ?作为占位符; PreparedStatement ps = con.prepareStatement("UPDATE Frie...
JDBC之PreparedStatement的用法
shuo_Java的博客
04-21 1025
JDBC之PreparedStatement的用法
JDBC之PreparedStatement数据表操作
iphuoob的博客
09-24 182
文章目录前言一、PreparedStatement介绍二、PreparedStatement vs Statement三、使用PreparedStatement实现增、删、改操作1.JDBCUtils类中内容2.通用的增删改操作四、使用PreparedStatement实现查询操作1.通用的针对于不同表的查询:返回一条数据2.通用的针对于不同表的查询:返回多条数据五、ResultSet结果集六、ResultSetMetaData元数据七、资源的释放 前言 根据最近几天对JDBC的PreparedStat
JDBC的PreparedStatement
刘顺顺的博客
10-11 631
文章目录JDBC的PreparedStatement是什么?相对于Statement,PreparedStatement的优点是什么? JDBC的PreparedStatement是什么? PreparedStatement对象代表的是一个预编译的SQL语句。 用它提供的setter方法可以传入查询的变量。由于 PreparedStatement是预编译的,通过它可以将对应的SQL语句高效的执行多次。 由于PreparedStatement自动对特殊字符转义,避免了SQL注入攻击,因此应当尽量的使用它。 相
【Java】JDBC 之 PreparedStatementStatement 的区别和理解【转载并梳理】
weixin_50223520的博客
11-29 2169
JDBC 之 PreparedStatementStatement 的区别和理解【转载并梳理】
MySQL之com.mysql.jdbc.PreparedStatement 源码分析-jdbc批量插入性能提升利器
qq_38281963的博客
09-07 933
核心代码: com.mysql.jdbc.PreparedStatement <dependency> <groupId>mysql</groupId> <artifactId>mysql-connector-java</artifactId> <version>5.1.41</ve...
JDBC PreparedStatement的使用
qq_57389269的博客
08-03 639
PreparedStatement: 可以通过调用 Connection 对象的 preparedStatement(String sql) 方法获取PreparedStatement 对象。 PreparedStatement 接口是 Statement 的子接口,它表示一条预编译过的 SQL 语句 PreparedStatement 对象所代表的 SQL 语句中的参数用问号(?)来表示,调用PreparedStatement 对象的 setxxx() 方法来设置这些参数.。se
详解Java的JDBCStatement与PreparedStatement对象
09-03
在Java的JDBC(Java Database Connectivity)中,与数据库交互的核心接口是Statement和PreparedStatement。这两个接口都是用于执行SQL语句的,但它们在特性和效率上有所不同。 Statement接口是最基本的SQL执行方式...
JDBC基础教程之PreparedStatement.doc
10-14
### JDBC基础教程之PreparedStatement知识点详解 #### 一、概述 `PreparedStatement`是Java数据库连接(JDBC)API中的一种重要接口,它继承自`Statement`接口,并在其基础上进行了扩展和优化。`PreparedStatement`...
JDBC内容之宋红康版本
04-19
JDBC 内容之宋红康版本 JDBC 是 Java 访问数据库的基石,定义了用来访问数据库的标准 Java 类库(java.sql,javax.sql),使用这些类库可以以一种标准的方法、方便地访问数据库资源。JDBC 为访问不同的数据库提供了...
Apollo使用(3):分布式docker部署
游王子的博客
07-24 723
Apollo 1.7.0版本开始会默认上传Docker镜像到,可以按照如下步骤获取。
数据库查询与操作指南-以Nebula图数据库为例
DZSpace,专注于计算机科学与技术领域的技术博主,致力于分享实用知识与技巧,帮助读者快速掌握技术要点,共同探索计算机世界的无限可能。欢迎访问DZSpace的博客,一起学习进步!
07-26 364
数据库查询与操作指南-以Nebula图数据库为例
二进制部署k8s集群之master节点和etcd数据库集群(上)
zx52306的博客
07-30 851
【代码】二进制部署k8s集群之master节点和etcd数据库集群(上)
【iOS】——持久化
最新发布
m0_73974920的博客
07-30 932
因为plist文件不能够保存自定义对象。如果一个字典中保存有自定义对象,如果把这个对象写入到文件当中,它是不会生成 plist文件的。如果对象是NSString、NSDictionary、NSArray、NSData、NSNumber等类型,可以直接用NSKeyedArchiver进行归档和恢复。
jdbc使用preparedstatement
04-10
使用PreparedStament是为了避免SQL注入攻击和优化性能。PreparedStament和Statement最大的不同是它能够预编译(compile)一条SQL语句并重复执行,而不必每次执行时都重新编译。这样可以减少数据库执行SQL的次数,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值