PreparedStatement 对象 对sql语句进行预编译防止SQL注入!!!

最新推荐文章于 2023-12-01 10:10:33 发布
最新推荐文章于 2023-12-01 10:10:33 发布
阅读量331 收藏
点赞数
分类专栏: sql 文章标签: sql mysql 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46341930/article/details/127397233
版权

PreparedStatement 好处:

  • 预编译SQL,性能更高
  • 防止SQL注入:将敏感字符进行转义
    在这里插入图片描述

Java代码操作数据库流程如图所示:

  • 将sql语句发送到MySQL服务器端

  • MySQL服务端会对sql语句进行如下操作

    • 检查SQL语句

      检查SQL语句的语法是否正确。

    • 编译SQL语句。将SQL语句编译成可执行的函数。

      检查SQL和编译SQL花费的时间比执行SQL的时间还要长。如果我们只是重新设置参数,那么检查SQL语句和编译SQL语句将不需要重复执行。这样就提高了性能。

    • 执行SQL语句
      接下来我们通过查询日志来看一下原理。

  • 开启预编译功能

    在代码中编写url时需要加上以下参数。而我们之前根本就没有开启预编译功能,只是解决了SQL注入漏洞。

    useServerPrepStmts=true

  • 配置MySQL执行日志(重启mysql服务后生效)

    在mysql配置文件(my.ini)中添加如下配置

log-output=FILE
general-log=1
general_log_file="D:\mysql.log"		//日志保存位置
slow-query-log=1
slow_query_log_file="D:\mysql_slow.log"	//日志保存位置
long_query_time=2

sql注入语句:'or '1' = '1
在这里插入图片描述当添加时我们可以看到它先进行预编译sql语句,然后再执行的
在这里插入图片描述
小结:

  • 在获取PreparedStatement对象时,将sql语句发送给mysql服务器进行检查,编译(这些步骤很耗时)
  • 执行时就不用再进行这些步骤了,速度更快
  • 如果sql模板一样,则只需要进行一次检查、编译
程序员小贾
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
mybatis防止SQL注入的方法实例详解
08-27
预编译语句是防止 SQL 注入的第一种方式。预编译语句在执行时会SQL 语句事先编译好,这样当执行时仅仅需要用传入的参数替换掉?占位符即可。例如: ```java Connection conn = getConn();//获得连接 String sql ...
有效防止SQL注入的5种方法总结
09-09
在Java中,可以使用PreparedStatement对象来执行预编译SQL语句预编译SQL语句在执行前已被解析和优化,因此在执行阶段,输入的数据不会被解析为SQL代码,而是作为参数处理。这样,即使输入包含恶意SQL片段,也...
关于PreparedStatement你知道多少
LeBlock的博客
07-21 858
序言  对应PreparedStatement相信大家都很熟悉,那么为什么要用PreparedStatement呢?也许你会回答PreparedStatement为预处理语句,可以提高数据库执行效率。也许还会回答用PreparedStatement可以防止SQL注入。那么再问下,你觉得你对PreparedStatement有足够的了解吗,你在项目中PreparedStatement用对了
PrepareStatement预处理防止sql注入的原理
sujt0726的博客
08-18 267
预处理sql防止sql注入的原理
PreparedStatement原理
m0_46596099的博客
07-22 322
PreparedStatement好处预编译SQL,性能更高防止SQL注入==将敏感字符进行转义==Java代码操作数据库流程将sql语句发送到MySQL服务器端MySQL服务端会对sql语句进行如下操作检查SQL语句。检查SQL语句的语法是否正确。编译SQL语句。将SQL语句编译成可执行的函数。检查SQL和编译SQL花费的时间比执行SQL的时间还要长。如果我们只是重新设置参数,那么检查SQL语句和编译SQL语。...
PreparedStatement预编译原理及基础使用
qq_71443736的博客
12-01 850
是 JDBC 中的一个接口,用于执行预编译SQL 语句。与普通的Statement不同,的 SQL 语句在执行之前已经经过编译,因此更高效且安全,同时可以防止 SQL 注入攻击。通常用于执行多次相似的 SQL 查询或更新,只需编译一次,多次执行。对象所代表的 SQL 语句中的参数用问号来表示,调用对象的setXxx()方法来设置这些参数.setXxx()方法有两个参数,第一个参数是要设置的 SQL 语句中的参数的索引(从 1 开始),第二个是设置的 SQL 语句中的参数的值。
JDBC知识【JDBC API详解】第三章下篇
若有所执,必有所成,心之所向,必显光芒
08-23 475
JDBC API:案例,Prepared StatementSQL注入,模拟问题,解决问题
如何获得PreparedStatement最终执行的sql语句
03-24
在Java的JDBC编程中,`PreparedStatement`是一个非常重要的接口,它用于预编译SQL语句,提高了数据库操作的效率和安全性。当我们处理大量重复的SQL操作时,使用`PreparedStatement`可以避免SQL注入等问题,同时提升...
SQL注入原理以及Spring Boot如何防止SQL注入(含详细示例代码)
12-29
1. 参数化查询:使用预编译SQL语句(如PreparedStatement),将用户输入作为参数传递,而不是直接拼接到SQL字符串中。这样可以防止恶意代码改变SQL语句的结构。 2. 使用存储过程:通过存储过程与数据库交互,减少...
Mybatis防止sql注入的实例
08-30
其实在框架底层,是jdbc中的PreparedStatement类在起作用,PreparedStatement是我们很熟悉的Statement的子类,它的对象包含了编译好的sql语句。这种“准备好”的方式不仅能提高安全性,而且在多次执行一个sql时,...
第25章 JDBC核心技术第3节
孔繁玉的专栏
03-26 370
第3节:实现CRUD操作 3.1 操作和访问数据库 数据库连接被用于向数据库服务器发送命令SQL 语句,并接受数据库服务器返回的结果。其实一个数据库连接就是一个Socket连接。 在 java.sql 包中有 3 个接口分别定义了对数据库的调用的不同方式: Statement:用于执行静态 SQL 语句并返回它所生成结果的对象。 PrepatedStatementSQL 语句被预编...
preparedstatement本质原理
silencediors的博客
01-26 1715
SQL注入预编译疑惑 前几天拜读绿盟大佬写的web应用安全编码时,看到有一页PPT上加了一句话备注,preparedstatement预编译本质也是过滤。就这一点问题我请教了一个老司机和阅读了相关资料后,觉得有必要写出来一下。 preparedstatementstatement 这两个对象字如其意,可以参考相关文档对他们的详细分析。preparedstatement就是我们常用的在JDBC中...
prepareStatement的用法和解释
dazhi5407的博客
09-27 1093
1.PreparedStatement预编译的,对于批量处理可以大大提高效率. 也叫JDBC存储过程2.使用 Statement 对象。在对数据库只执行一次性存取的时侯,用 Statement 对象进行处理。PreparedStatement 对象的开销比Statement大,对于一次性操作并不会带来额外的好处。3.statement每次执行sql语句,相关数据库都要执行sql语句的编...
掌握数据库操作的关键技巧:深入解析prepareStatement方法
2301_77478553的博客
07-12 4204
prepareStatement是表示预编译SQL 语句的对象。prepareStatement方法是Java中用于准备执行SQL语句的方法。它可以避免SQL注入攻击,提高执行效率,且支持占位符,可以方便地设置参数。2.为什么要使用prepareStatementStatement与preparedStatement的区别:1. preparedStatement可以写动态参数化的查询。
06丨数据库原理:为什么PrepareStatement性能更好更安全?
qq_37756660的博客
11-08 392
做应用开发的同学常常觉得数据库由 DBA 运维,自己会写 SQL 就可以了,数据库原理不需要学习。其实即使是写 SQL 也需要了解数据库原理,比如我们都知道,SQL 的查询条件尽量包含索引字段,但是为什么呢?这样做有什么好处呢?你也许会说,使用索引进行查询速度快,但是为什么速度快呢?此外,我们在 Java 程序中访问数据库的时候,有两种提交 SQL 语句的方式,一种是通过 Statement 直接提交 SQL;另一种是先通过 PrepareStatement 预编译 SQL,然后设置可变参数再提交执行。
preparestatement中的反射原理_ibatis 核心原理解析
weixin_39691968的博客
11-20 242
最近查找一个生产问题的原因,需要深入研究 ibatis 框架的源码。虽然最后证明问题的原因与 ibatis 无关,但是这个过程加深了对 ibatis 框架原理的理解。这篇文章主要就来讲讲 ibatis 框架的原理。可能现在很多人已不再使用 ibatis 或者说也没听 ibatis,不过肯定了解过 Mybatis。ibatis 就是 Mybatis框架的前身,虽然 ibatis 框架已经比较老,但是...
JavaWeb | 预编译SQL及PreparedStatement讲解
Alita233_的博客
01-26 1631
预编译原理
JDBC入门(3)--- PrepareStatement
weixin_30666401的博客
10-06 207
一、PrepareStatement概述   PrepareStatementStatement接口的子接口; 1、强大之处: 防SQL攻击; 提高代码的可读性; 提高效率; 2、PrepareStatement的用法: 如何得到PrepareStatement对象 给出SQL模板。 调用Connection的PreparedStatem...
SQL预编译
LuM523的博客
04-23 1022
1.数据库预编译起源 (1)数据库SQL语句编译特性: 数据库接受到sql语句之后,需要词法和语义解析,优化sql语句,制定执行计划。这需要花费一些时间。但是很多情况,我们的一条sql语句可能会反复执行,或者每次执行的时候只有个别的值不同(比如query的where子句值不同,update的set子句值不同,insert的values值不同)。 (2)减少编译的方法 如果每次都需要经过上面的词法语...
Java sql 复杂sql字符串拼接 防注入
最新发布
06-20
在Java中处理SQL字符串拼接以防止SQL注入攻击是非常重要的,因为直接将用户输入插入到SQL查询可能导致恶意代码执行。以下是一些防范措施: 1. **使用预编译语句(PreparedStatement)**:这是最推荐的方法,预编译语句可以避免直接拼接字符串。PreparedStatement允许你在运行时设置参数,数据库会自动处理转义和安全。 ```java String sql = "SELECT * FROM users WHERE username = ?"; PreparedStatement pstmt = conn.prepareStatement(sql); pstmt.setString(1, userInput); ResultSet rs = pstmt.executeQuery(); ``` 2. **使用参数化查询(Parameterized Statements)**:这种方式虽然不直接使用PreparedStatement,但通过`PreparedStatement`的构造函数和`setXXX`方法也可以达到目的。 ```java String sql = "SELECT * FROM users WHERE username = ? AND password = ?"; Statement stmt = conn.createStatement(); stmt.setString(1, userInput); stmt.setString(2, hashedPassword); ResultSet rs = stmt.executeQuery(sql); ``` 3. **避免动态构建SQL**:尽量避免在字符串中使用变量来拼接SQL。如果必须,确保对用户输入进行严格的验证和清理,使用`PreparedStatement`或类似的安全库。 4. **使用ORM框架**:如Hibernate、MyBatis等,它们提供了更高的安全性和更简洁的API来操作数据库。 **相关问题--:** 1. 如何区分预编译语句和普通字符串拼接在防止注入方面的优劣? 2. ORM框架如何帮助防止SQL注入? 3. 在实际开发中,如何验证用户输入以减少注入风险?
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值