java中预处理PrepareStatement为什么能起到防止SQL注入的作用??!!

最新推荐文章于 2023-12-18 16:31:42 发布
最新推荐文章于 2023-12-18 16:31:42 发布
阅读量125 收藏
点赞数

转载地址:https://blog.csdn.net/chenleixing/article/details/44024095

大家都知道,java中JDBC中,有个预处理功能,这个功能一大优势就是能提高执行速度尤其是多次操作数据库的情况,再一个优势就是预防SQL注入,严格的说,应该是预防绝大多数的SQL注入。

       用法就是如下边所示:

 

  1. String sql="update cz_zj_directpayment dp"+

  2. "set dp.projectid = ? where dp.payid= ?";

  3. try {

  4. PreparedStatement pset_f = conn.prepareStatement(sql);

  5. pset_f.setString(1,inds[j]);

  6. pset_f.setString(2,id);

  7. pset_f.executeUpdate(sql_update);

  8. }catch(Exception e){

  9. //e.printStackTrace();

  10. logger.error(e.message());

  11. }


       那为什么它这样处理就能预防SQL注入提高安全性呢?其实是因为SQL语句在程序运行前已经进行了预编译,在程序运行时第一次操作数据库之前,SQL语句已经被数据库分析,编译和优化,对应的执行计划也会缓存下来并允许数据库已参数化的形式进行查询,当运行时动态地把参数传给PreprareStatement时,即使参数里有敏感字符如 or '1=1'也数据库会作为一个参数一个字段的属性值来处理而不会作为一个SQL指令,如此,就起到了SQL注入的作用了!

转载请注明—作者:Java我人生(陈磊兴)   原文出处:http://blog.csdn.net/chenleixing/article/details/44024095

--------------------- 本文来自 Java我人生 的CSDN 博客 ,全文地址请点击:https://blog.csdn.net/chenleixing/article/details/44024095?utm_source=copy

m0_38053538
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHP防止sql注入小技巧之sql预处理原理与实现方法分析
10-15
通过理解SQL预处理的工作原理并熟练应用`mysqli`库,开发者可以在PHP有效防止SQL注入攻击,提高应用程序的安全性。在实际项目,结合其他安全措施,如输入验证和转义,可以进一步加固系统防护。记得定期更新PHP...
探讨php防止SQL注入最好的方法是什么
10-27
在PHP编程防止SQL注入是一项至关重要的任务,因为这种攻击方式可以对数据库造成严重破坏。SQL注入允许攻击者通过输入恶意数据来篡改或删除数据库的信息。本文将详细介绍如何在PHP有效地防范SQL注入。 首先...
为什么preparestatement能够防止sql注入
weixin_33701564的博客
04-10 654
2019独角兽企业重金招聘Python工程师标准>>> ...
java预处理PrepareStatement为什么能起到防止SQL注入作用
sinat_36810495的博客
09-26 453
大家都知道,javaJDBC,有个预处理功能,这个功能一大优势就是能提高执行速度尤其是多次操作数据库的情况,再一个优势就是预防SQL注入,严格的说,应该是预防绝大多数的SQL注入。 用法就是如下边所示: String sql="update cz_zj_directpayment dp"+ "set dp.projectid = ? where dp.payid= ?";...
为何JDBC的prepareStatement可以防止SQL注入
qq_43872529的博客
07-01 790
首先介绍一下SQL注入 SQL注入可以理解为通过添加恶意字段使得程序传入的SQL语句的语义发生改变,例如在登录账号并输入用户名之后添加注释符,使得后续的SQL语句失效,无需验证密码就可以进入系统;又或者在查询数据时添加or '1'='1'语句,可以获取数据库的所有信息。 1、那么为何会出现这种情况呢? 这种情况主要是因为查找功能采用的是字符串拼接方法,使得前台传入的参数直接拼接到SQL语句,然后通过statement直接执行该SQL语句,即使存在恶意字段,它也无法检测出来。 //字符串拼接方法 pu.
为什么要使用PreparedStatement并且其能防止sql注入
白鸽
08-11 1097
1,执行效率:Statement 采取直接编译 SQL 语句的方式,扔给数据库去执行,而 PreparedStatement 则先将 SQL 语句预编译一遍,再填充参数,这样效率会高一些。JDK 文档说:SQL 语句被预编译并且存储在 PreparedStatement 对象,其后可以使用该对象高效地多次执行该语句。 2,代码可读性:Statement SQL 语句需要 Java 的变量,加就得进行字符串的运算,还需要考虑一些引号、单引号的问题,参数变量越多,代码就越难看,而且会被单引号、双引号
PreparedStatement防止sql注入的原理
m0_53328194的博客
05-27 1476
Class.forName(com.mysql.jdbc.Driver); Connection con = DriverManager.getConnection("jdbc:mysql://...."); Statement st = con.CreateStatement(); String id = "03"; String sq = "delete from table1 where id="+id; st.execute(sq); 上面这段代码的本意是要删除id=03的记录,但是如果有人将id
为什么应该用模块取代C/C++的头文件?
01-31
为什么应该使用模块(Module)替代头文件(Header)?众所周知,C程序在编译时一般会预处理头文件:常规解决办法如下:但结果依然不够理想,比较一下代码与程序大小你会发现:另外,头文件形式的可扩展性天生不足。...
PreparedStatement作用
weixin_34272308的博客
10-27 533
2019独角兽企业重金招聘Python工程师标准>>> ...
prepareStatement的用法和解释
choubie9793的博客
06-18 213
prepareStatement的用法和解释 1.PreparedStatement是预编译的,对于批量处理可以大大提高效率. 也叫JDBC存储过程 2.使用 Statement 对象。在对数据库只执行一次性存取的时侯,用 Statement 对象进行处理。PreparedStatement ...
PreparedStatement 好处
huangchao200701的专栏
10-20 195
jdbc(java database connectivity,java数据库连接)的api的主要的四个类之一的java.sql.statement要求开发者付出大量的时间和精力。在使用statement获取jdbc访问时所具有的一个共通的问题是输入适当格式的日期和时间戳:2002-02-05 20:56 或者 02/05/02 8:56 pm。 通过使用java.sql.preparedst...
JDBC连接mysql数据库及PrepareStatement作用及原理
qq_36742720的博客
08-09 4128
java连接mysql数据库,首先需要引入mysql-connection-java.jar包,前面的博客给大家分享了mysql-connection-java-5.1.28.jar包,有需要的自行下载。好了,上代码 //准备四大参数 String driverClassName="com.mysql.jdbc.Driver"; String url="jdbc:mysql://localh...
为什么要使用PrepareStatement详解
weixin_53227829的博客
03-17 182
创建Statement对象时不使用sql语句做参数,不会解析和编译sql语句,每次调用方法执行sql语句时都要进行sql语句解析和编译操作,即操作相同仅仅是数据不同。就是我们在不知道正确的用户名或者密码的时候,在后面加上or 1=1 也可以获取正确的数据,这就是典型的sql注入。所谓SQL注入就是用户在能够控制SQL查询、更新、插入、删除等语句的参数的情况下,攻击者通过构造特殊的输入字符串使后端程序错误地识别SQL查询语句 ·的代码与数据部分从而导致数据库管理系统输出了非预期的结果的一种行为。
24、PrepareStament
JavaDayUp
11-12 1631
学习目标: 1、了解PreparedStatement接口的意义 2、掌握PreparedStatement的使用 学习过程: 一、PreparedStatement接口简介 PreparedStatement是预编译的SQL语句,它继承了Statement 接口,使用PreparedStatement的优点是: (1)书写代码比较规范,不需要字符串的连接,毕竟字符串连接长了之后,看起...
JDBCPreparedStatement详解及应用场景介绍
weixin_62079735的博客
03-20 6285
Java,当需要向数据库执行SQL语句并传递参数时,我们通常会使用PreparedStatement接口。PreparedStatement继承自Statement接口,用于预编译SQL语句并执行参数化查询,这样可以提高执行效率并防止SQL注入攻击。
使用PrepareStatement执行SQL的好处
K_kzj_K的博客
01-22 1425
主要有两个好处: 一是PrepareStatement会预先提交带占位符的SQL到数据库进行预处理,提前生成执行计划。当给定占位符参数真正执行SQL时,执行引擎可以直接执行,效率更高一点。 另一个好处则更为重要,PrepareStatement可以防止SQL注人攻击。 假设我们允许用户通过App输人一个名字到数据心查找用户信息,如果用户输人的字符串是Frank,那么生成的SQL如下: select from users where username = 'Frank'; 但是,如果用户输入的是
掌握数据库操作的关键技巧:深入解析prepareStatement方法
2301_77478553的博客
07-12 4277
prepareStatement是表示预编译的 SQL 语句的对象。prepareStatement方法是Java用于准备执行SQL语句的方法。它可以避免SQL注入攻击,提高执行效率,且支持占位符,可以方便地设置参数。2.为什么要使用prepareStatementStatement与preparedStatement的区别:1. preparedStatement可以写动态参数化的查询。
为什么PrePareStatement预处理对象能提升性能
最新发布
qq_71443736的博客
12-18 1260
PreparedStatement在第一次编译后,存放在数据库里,类似于K-V对应的方式存储,这样,当下一条同样的PreparedStatement发送到数据库里,数据库查找到有相应的K存在,就调用K的方法,省却了再去重新创建语句的过程,提高数据库的性能。ORACLE只对简单的表提供高速缓冲(cache buffering) ,这个功能并不适用于多表连接查询。
(3) 什么是SQL注入?为什么PDO能够防止SQL注入?
06-11
SQL注入是一种常见的Web攻击方式,攻击者通过在Web应用的输入框等用户交互界面输入恶意的SQL语句,从而达到欺骗数据库执行非授权操作的目的。SQL注入可以导致数据泄露、数据篡改、系统瘫痪等严重后果。 PDO...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值