Statement操作数据库的弊端 [Java][JDBC]

最新推荐文章于 2022-11-05 01:41:50 发布
最新推荐文章于 2022-11-05 01:41:50 发布
阅读量355 收藏 1
点赞数
分类专栏: java 文章标签: 数据库 mysql database java jdbc
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_57001006/article/details/123810146
版权

Statement操作数据库的弊端

数据库连接被用于向数据库服务器发送命令和SQL语句,并接受数据库服务器返回的结果

  • 其实一个数据库连接就是一个Socket连接

在java.sql包中有三个接口分别定义了对数据库的调用的不同方式:

  1. Statement: 用于执行静态SQL语句,并返回它所生成结果的对象

  2. PreparedStatement: 预编译SQL语句并将SQL语句存储在此对象中,可以使用此对象多次高效的执行该语句

  3. CallableStatement: 用于执行SQL存储过程

    • 这个接口我们具体会在框架中学习
我们一般不使用Statement操作数据库,因为使用Statement操作数据库表存在一定的弊端(所以我们一般都是使用PreparedStatement代替Statement来操作数据库)

  • 那么使用Statement接口操作数据库存在哪些弊端?

    1. 存在拼串操作 – 很繁琐

    2. 存在SQL注入的问题

      • SQL注入: 利用某些系统没有对用户输入的数据进行充分的检查,而在用户输入的数据中注入非法的SQL语句段或者命令的行为.

        • eg:(我们举一个出现SQL注入的实际情况)
        "SELECT user,password FROM user_table WHERE user = "+ user +" AND password = "+ password

        • 这个时候如果user变量为’1’ or ‘,并且password变量为’=1 or ‘1’ = ‘1’ ,那么这个时候就会出现SQL注入的问题,为什么? 这里我们在Java程序中看不出来什么,但是如果这条语句被具体执行在MySQL中,这个时候就会出现问题:(如下:)

          SELECT user,password 
FROM user 
WHERE user = '1' OR 'AND PASSWORD = '= 1 OR '1' = '1';
          • 这个时候很明显,这个时候WHERE子句中的判断条件是很成立的,因为后面最后一个OR的右边有 ‘1’ = ‘1’,而这里’1’ = ‘1’的结果很明显恒等于1,那么这里OR的两边只要有一个是1,那么这个关系是的返回结果就是1 —> 那么这个时候即使数据库中没有user为’1’ or ‘的记录,并且也没有对应的password为’=1 or ‘1’ = '1’的记录,但是这个时候我们还是查找出了结果,这个时候如果登录检查中的判断条件是只要从数据库中查询出的结果不为null那么就可以登录成功的话,这个时候这种情况下我们就是可以进入数据库的,因为这个时候是会查询出表中的所有记录的,这个时候就是一种SQL注入的问题
            • 我们将这个问题引申一下: 如果这个时候我们执行的是一个删除表中记录的操作,这个时候我们传入了同样的参数,那么这个时候会是什么后果? —> 后果就是WHERE条件很成立,或者说就等同于DELETE FROM语句没有加WHERE子句,就会将表中的所有数据全部删除掉,这个时候就体现出了SQL注入问题的可怕之处,想一想,如果别人想后端发送一条指令,这个时候就可以将数据表中的全部记录都删除掉,这个时候是多么可怕的问题
那么在Java中我们要如何解决SQL注入的问题?

对于java而言,要防范SQL注入,只要用PreparedStatement代替Statement接口就可以了

补充:

PreparedStatement是Statement接口的一个子接口

96岁对抗java
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
MySQL数据库-------statement对象和PreparedStatement对象
insist_to_learn的博客
12-31 317
statement对象 jdbc中的statement对象用于向数据库发送SQL语句,可以通过这个对象向数据库发送增删改查语句完成对数据库的增删改查 Statement对象的executeUpdate方法,用于向数据库发送增、删、改的sql语句,方法执行完后返回一个整数(即sql语句导致了数据库几行数据发生了变化) Statement.executeQuery方法用于向数据库发送查询语句,方法返回代表查询结果的ResultSet对象 代码实现步骤 1.提取工具类 2.编写增删改的方法:execu
使用Statement操作数据表的弊端
七一
07-27 506
使用Statement操作数据表的弊端 通过调用 Connection 对象的 createStatement() 方法创建该对象。该对象用于执行静态的 SQL 语句,并且返回执行结果。 Statement 接口中定义了下列方法用于执行 SQL 语句: int excuteUpdate(String sql):执行更新操作INSERT、UPDATE、DELETE ResultSet executeQuery(String sql):执行查询操作SELECT 但是使用Statement操作数据表
JDBC-02:操作访问数据库时使用Statement操作数据表的弊端
最新发布
小贺想改变
11-05 381
JDBC-02:操作访问数据库时使用Statement操作数据表的弊端
JDBC系列教程(三)---语句
热门推荐
键者天行
07-21 2万+
Statement 本概述是从《JDBCTM Database Access from JavaTM: A Tutorial and Annotated Reference 》这本书中摘引来的。JavaSoft 目前正在准备这本书。这是一本教程,同时也是 JDBC 的重要参考手册,它将作为 Java 系列的组成部份在 1997 年春季由 Addison-Wesley 出版公司出版。 4.1 概述
JDBC接口核心的API、Statement接口详解
mrdu_somefun的博客
06-21 886
一、JDBC接口核心的API 在JDK API的java.sql.* 和 javax.sql.*下面查看 1、Driver接口: 表示java驱动程序接口。所有的具体的数据库厂商要来实现此接口。 1)connect(url, properties): 连接数据库的方法。 url: 连接数据库的URL URL语法: jdbc协议:数据库子协议://主机:端口/数据库 user:
Java中使用JDBC操作数据库简单实例
09-03
Java编程中,Java Database Connectivity (JDBC) 是一个用于规范应用程序如何访问和处理数据库的标准接口。本实例将深入解析如何使用JDBCJava中与MySQL数据库进行交互,包括六个基本步骤。 1. **加载数据库驱动...
Java JDBC连接数据库常见操作总结
08-26
Java JDBCJava Database Connectivity)是Java平台中用于与数据库交互的一种技术,它为开发者提供了一组API,使得Java程序能够连接并操作各种类型的数据库。在本文中,我们将深入探讨Java JDBC连接MySQL和Oracle...
Java操作数据库JDBC基础demo
03-21
Java操作数据库JDBC基础demo是Java开发者必备的技能之一,JDBCJava Database Connectivity)是Java语言连接数据库的标准API,它允许Java程序与各种不同类型的数据库进行交互。在这个基础demo中,我们将涵盖JDBC的...
Java使用JDBC连接postgresql数据库示例
08-26
Java 使用 JDBCJava Database Connectivity)连接 PostgreSQL 数据库,可以实现各种数据库操作,如插入、更新、查询等。在本文中,我们将通过实例形式分析 Java 使用 JDBC 连接 PostgreSQL 数据库的相关操作技巧。...
Java基于jdbc连接mysql数据库操作示例
08-29
Java基于jdbc连接mysql数据库操作示例 Java中的jdbc连接mysql数据库是一种常见的数据库操作方式,本文将详细介绍Java基于jdbc连接mysql数据库操作的示例代码和相关注意事项。 首先,需要了解jdbc的概念。jdbc...
Statement操作数据库
weixin_43912996的博客
01-28 190
创建实体类 public class User { private String user; private String password; } Statement操作数据库 package com.atguigu2.statement.crud; import java.io.InputStream; import java.lang.reflect.Field; import java.sql.Connection; import java.sql.DriverManager; imp
三大框架的优缺点
Simpson_wu的博客
10-21 7665
Struts优缺点优点: 1.开源软件,能更深入的了解其内部实现机制。 2.Taglib标记库,灵活动用,能大大提高开发效率。 3.页面导航使系统的脉络更加清晰。通过一个配置文件,即可把握整个系统各部分之间的联系,这对于后期的维护有着莫大的好处。尤其是当另一批开发者接手这个项目时,这种优势体现得更加明显。 4. 提供Exception处理机制 . 5. 数据库链接池管理 6. Str
通过Statement接口实现数据库的更新操作
鲸鱼programmer的博客
06-08 2539
Statement接口位于java.sql.Statement下,想要对数据库执行更新操作,需要通过以下步骤      ①获取了数据库连接并创建需要被执行的sql语句(sql语句为String型)      ②使用Connection对象中的createStatement()方法获取用于执行sql语句的Statement对象      ③调用刚刚获取到的Statement对象中的execut
Java数据库编程基础操作Statement实现数据查询操作
weixin_46245201的博客
02-07 2747
Statement实现数据查询操作 在整个数据库的开发过程之中数据的查询操作是最复杂的,因为查询会牵扯到各种复杂查询的管理,例如:多表查询、子查询、统计查询、集合操作等等,但是从现代的开发来讲,对于数据的查询如果非必须的情况下建议以简单查询为主,在Statement接口里面所定义的数据查询方法如下: ResultSet executeQuery​(String sql) throws SQLException 这个查询方法会直接返回有一个ResultSet接口的对象实例,这样就可以得到如下的完整的
数据库中的Statement对象与PerparedStatement对象
wangzhuoyan的专栏
04-15 1705
大家都知道PerparedStatementStatement的子类,处于对数据库性能优化来说,使用PerparedStatement是一个优化的操作之一,首先相对Statement比较,PerparedStatement可以处理数据库语言的一些保留的关键字,例: 当你传进啊的参数name="or 1 or"conn.createStament();String sql= "sele
mysql statement讲解_Statement接口详解
weixin_33740934的博客
01-19 2829
Statement接口Java 执行数据库操作的一个重要接口,用于在已经建立数据库连接的基础上,向数据库发送要执行的SQL语句。java.sql.Statement接口用于执行静态的SQL语句并返回执行结果。在默认情况下,同一时间每个Statement接口只能打开一个ResultSet 对象。因此,如果读取一个ResultSet 对象与读取另一个对象交叉,则这两个对象必须是由不同的Stateme...
Statement语句实现数据库的增删改查操作
汉南最後の読書人
10-12 5142
DButil.java import java.sql.DriverManager; import java.sql.SQLException; import java.util.Properties; import com.mysql.jdbc.Connection; public class DButil { /* * 打开数据库 */ private stat
JDBC(三)——使用Statement接口数据库实现增删改操作(1)
程序员的时光
01-08 1168
1.Statement接口的引入: Statement接口的作用: 用于执行静态SQL语句并返回它所产生结果的对象; 2.使用Statement接口实现添加数据操作: 第一步:我们先将连接数据库的代码封装成一个工具类DbUtil;然后获取数据库连接; package Month01.Day08.DbUtil; import java.sql.Connection; import...
JDBC笔记】Statement操作数据库实现用户登录
lijibai_的博客
06-25 389
本文使用的数据库,里面存放了一些用户名与密码目录使用Statement操作数据表建立 User 文件建立properties文件Statement操作数据库使用Statement操作数据库弊端 建立properties文件 使用 Statement 我们可以实现登录的操作,但是使用 Statement 也存在一些弊端1. 需要拼写 SQL 语句2. 存在 SQL 注入的问题什么是 SQL 注入?比如我们可以把本文的 SQL 语句修改一下 '1' = '1' 是恒成立的,所以我们输入任意用户
Java JDBC 数据库操作基础
在使用JDBC操作数据库之前,需要配置ODBC数据源,这是数据库的别名,程序通过这个名称来识别和访问数据库。配置完成后,可以使用如下代码示例中的`DriverManager.getConnection()`方法建立数据库连接: ```java ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值