JAVA简单教程:数据库操作(三)——PreparedStatement和动态SQL

最新推荐文章于 2023-08-18 00:21:01 发布
最新推荐文章于 2023-08-18 00:21:01 发布
阅读量356 收藏
点赞数
分类专栏: JAVA基础教学 文章标签: SQL Java 数据结构 编程 JDBC
如果我们的SQL语句是固定的,但是参数会不断变化,那我们要怎么办呢?

首先看看以下的处理方式: 

statement.executeQuery("select * from user where userid = "+userInputId);


看起来我们是解决了我们的需要,但是其实这种写法会带来很严重的问题。

加入我们的userInputId是[b]1 or 1=1[/b],那么上面的SQL就会编程:
select * from user where userid = 1 or 1=1

这样,无论userid 为多少,我们都会返回所有用户记录。

这种动态SQL会造成我们著名的SQL注入(SQL Injection)的安全漏洞。这种漏洞除了可以窃取你的数据库记录外,严重的时候更能够破坏你的数据库结构,让你的数据库彻底毁掉。例如: 

statement.execute("insert int user values(......"+userInput+")");

如果userInput是:
null);delete from user;--
那么,就会执行两条SQL命令,第一条就是创建一个user记录,第二条就会把所有user记录删掉!!

为了解决这种参数会变化但是SQL结构固定的动态SQL语句,jdbc提供了PreparedStatment这种操作方式: 


java.sql.PreparedStatement ps = conn.preparedStatement("select * from user where userid = ?");

...

ps.setInt(1,userInputId);
ResultSet rs = ps.executeQuery();
...


这个接口会自动把一些非法字符串进行转换,防止用户串改操作语句。

而且使用PreparedStatement还有利于提高数据库效率,对于数据库,执行以下的两条SQL:
select * from user where userid = 1
select * from user where userid = 2
它会视为两条不同的SQL来执行,并且把执行过程分别存储起来,但是对于preparedStatement,它会记录:
select * from user where userid = ?
每次会根据参数返回操作结果,无论执行多少次都只会保留一份操作副本,能够有效节省数据库的编译SQL性能。

但是PreparedStatement也不是万能,假如我们的变化不是限制在参数上,就有问题,例如我们获取的数据表可能是动态的,或者where条件是动态的。那么我们怎么来处理这种情况并且有效防止SQL Injection呢?
很简单,但是却比较麻烦,就是限制用户的输入,并且不要直接把用户输入直接作为SQL凭借部分。

应用实例:
根据用户输入读取不同数据表的所有信息,要求:
用户输入:user时,获取所有用户表信息(user表)
用户输入:org时,获取所有组织信息(org表)
用户输入其它信息:返回所有新闻记录(news表)

实现: 

String sql = "select * from news";
if(userInput != null && userInput.equalsIgnoreCase("user"))
    sql = "select * from user";
if(userInput != null && userInput.equalsIgnoreCase("org"))
    sql = "select * from org";


利用这种方法和PreparedStatement就能够有效防止SQL注入。

无论日后是否使用ORM工具来操作数据库,都必须小心不要造成SQL注入漏洞,否则后果不堪设想。
iteye_12915
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
如何获得PreparedStatement最终执行的sql语句
03-24
NULL 博文链接:https://huiminchen.iteye.com/blog/1097332
适用SQL Server 2016版本的数据库加载驱动包——sqljdbc42.jar
03-03
`sqljdbc42.jar`是一个Java数据库连接(JDBC)驱动包,专为与SQL Server 2016配合使用而设计。JDBCJava平台的一部分,允许Java开发者通过编写Java代码来访问和处理关系数据库。驱动包中的类和接口实现了JDBC规范,...
JDBC 用PreparedStatement语句动态操作SQL语句
diaoshu2256的博客
06-06 526
https://blog.csdn.net/u014453898/article/details/79038187 1.Statement 和 PreparedStatementStatement接口只能操作静态SQL语句(即SQL语句中操作的数据表,变量等等都是固定的,不能变化的)。而PreparedStatement接口则可以动态操作SQL语句(即SQL语句中的变量的值...
JDBC 用PreparedStatement语句动态操作SQL语句
ZJE
01-11 7659
1.Statement 和 PreparedStatementStatement接口只能操作静态SQL语句(即SQL语句中操作的数据表,变量等等都是固定的,不能变化的)。而PreparedStatement接口则可以动态操作SQL语句(即SQL语句中的变量的值是可以变化的)。 2.问号“?” 问好的作用:在一个SQL语句中,把需要变化的部分用“?”代替。 如:String sq
使用PreparedStatement对象动态执行SQL
weixin_34352005的博客
04-23 553
2019独角兽企业重金招聘Python工程师标准>>> ...
关于Java:使用prepare语句的动态Sql查询
最新发布
男神的专栏
08-18 293
我想创建一个动态查询来过滤产品。我要从"产品"表中过滤产品。您缺少每个IN sql语句的结尾)。您需要在for循环后关闭括号。
使用PreparedStatement 动态拼装like 条件。
王佳楠的专栏
04-13 1329
在使用java PreparedStatement 时,执行拼装的sql总是报错 1、错误的sql拼装: // 拼装修改记录查询条件 if(changeRecord != null && !"".equals(changeRecord)){ changeRecord = URLDecoder.decode(changeRecord, "utf-8"); whereSql.app
Java数据库连接——JDBC
12-14
Java数据库连接(Java Database Connectivity,简称JDBC)是Java编程语言中的一个重要组成部分,它为开发者提供了标准的API,用于与各种类型的数据库系统进行交互。JDBC允许Java应用程序执行SQL语句,进行数据查询、...
DOTA_HERO.rar_hero_hero g3 sqlserv_java sqlServer_查询数据库
09-22
《DOTA_HERO.rar——JAVA连接SQLServer查询数据库详解》 在信息技术领域,数据库管理和查询是不可或缺的一部分。本文将深入探讨如何使用JAVA语言连接到SQLServer数据库并进行查询操作,结合"DOTA_HERO.rar"这个...
小型超市管理系统(数据库+Java数据库是用SQL SERVER2008实现的)
04-07
通过对该项目的深入理解和操作,开发者可以掌握数据库的规划与设计,理解Java数据库的交互方式,从而提升自己的技术能力。无论是对于初学者还是经验丰富的开发者,这都是一个值得研究和借鉴的案例。
sql.zip_operation_操作数据库的工具类
09-24
`sql.zip_operation_操作数据库的工具类`这个主题涉及到的是一个专门用于处理数据库查询和操作Java工具类——`sqlHelper.java`。这个工具类简化了与数据库交互的过程,提高了代码的可读性和可维护性。 首先,我们...
PrepareStatement中的动态sql及时间处理
weixin_43729186的博客
04-16 622
动态sql public int updateBooks(Books books) throws SQLException { //获取连接 Connection conn = DBUtils.getConnection(); //存储参数 List params = new ArrayList(); ...
java creat sql_java-createSQLQuery在hibernate中使用Prepared Statement
weixin_39887748的博客
02-28 85
我试图使用Hibernates的createsqlQuery方法执行查询,然后它会给我异常,如下所示: –at com.MysqL.jdbc.MysqLIO.sqlQueryDirect(MysqLIO.java:2113)at com.MysqL.jdbc.ConnectionImpl.execsql(ConnectionImpl.java:2568)at com.MysqL.jdbc.Prep...
java--PreparedStatement动态参数的引入
weixin_30708329的博客
06-07 146
转载于:https://www.cnblogs.com/sheying/p/6957341.html
Java.sql的接口PreparedStatement使用
喜欢前端的后端 MelodyJerry
03-28 1828
123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899...
JDBC】PreparedStatement执行动态sql语句对象(预编译)
Need not to know
11-30 1089
PreparedStatement执行动态(预编译)sql语句对象   功能:   1.防止sql注入问题 SELECT * FROM 表名 WHERE username = '江河' AND password = 'Foriver' OR 'a' = 'a' - 这里由于添加了OR 'a' = 'a',使得WHERE表达式的结果恒为true,所以会查询出表中所有的数据,造成安全性问题   2.效率更高(※后期使用PreparedStateme
Java学习——处理SQL命令的Statement和PreparedStatement
qq_43073128的博客
05-02 376
一杯茶,一包烟,一段代码歇一天…… 大家好,我是找一个bug找半天的代码小白呀。 亲爱的大家,我又来分享最近新学的知识了,不得说初学者每天做学生管理系统,不断完善,不断优化,但是还是弄不完美。 今天的内容是我在拿java学习做学生管理系统的时候,用到数据库,连接数据库的时候就花了好长的时间,在对数据库增加,查询,修改,删除这一块儿又花了好长时间,在这儿分享一下,希望初学者们能学的能轻松一点,不要浪...
javasql preparedstatement_通过jdbc使用PreparedStatement,提升性能,防止sql注入
weixin_39837041的博客
02-26 312
为什么要使用PreparedStatement?一、通过PreparedStatement提升性能Statement主要用于执行静态SQL语句,即内容固定不变的SQL语句。Statement每执行一次都要对传入的SQL语句编译一次,效率较差。某些情况下,SQL语句只是其中的参数有所不同,其余子句完全相同,适用于PreparedStatement。PreparedStatement的另外一个好处就是...
java statement一次执行多条不同类型的sql语句
热门推荐
gjy11223344的博客
03-31 1万+
最近将系统换到了ubuntu,在终端使用mysql时会遇到字段值太长,将行拉伸导致看不清字段值对应的字段名. 作为学计算机的,这点难题怎么可以难倒(滑稽),于是拿起之前学过的swing,自己撸了一个mysql图形工具(只有看查询的工具#滑稽) 在做sql查询界面时,碰到了障碍。我的需求是: 1.能执行增改查删。 2.能同时执行1中所有sql语句。 但是在jdbc中,查询返回值只有结果集Resul...
Java数据库连接Java数据库连接.ppt
06-03
"Java数据库连接Java数据库连接.ppt" 这篇文档资料主要讲解了Java与...这份资料适合初学者学习Java数据库连接的基本知识,包括数据库基础、JDBC使用方法和SQL语言的理解,为开发数据库驱动的Java应用打下坚实的基础。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值