JDBC小记——SQL注入及预编译操作对象、批处理

已于 2023-06-25 11:31:46 修改
阅读量651 收藏 1
点赞数 1
分类专栏: JDBC 文章标签: sql 数据库 java mysql
于 2023-06-25 11:17:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_63138660/article/details/131338833
版权

目录

SQL注入

预编译操作对象

自定义JDBC工具类

1.创建配置文件

2.配置

3.在工具类中使用配置文件

批处理

注意事项

SQL注入

SQL注入是黑客对数据库进行攻击的常用手段之一,他们拼接一些恶意的sql语句,来获取他们想要的数据。

例:

select * from user where username='1' or '1'='1' and password='1' or '1' = '1';

利用sql语言的特点,即where后面的条件为真,来恶意查询数据,即可查询到全部数据

 为了解决这个问题,我们要用到预编译操作对象,防止sql注入

预编译操作对象

PreparedStatement     用来防止SQL注入

//SQL语句中的值 全部用 ? 问号占位

String sql = "select * from user where username=? and password=?";

//获取一个预编译操作对象  PreparedStatement

PreparedStatement preparedStatement = conn.prepareStatement(sql);

//给问号赋值

preparedStatement.setString(1, uname);
preparedStatement.setString(2, pwd);

ResultSet resultSet = preparedStatement.executeQuery(); //不用传sql

其他代码都与之前一致

执行程序后,没有查询到任何数据。

就是因为我们使用了预编译操作对象——preparedStatement

他的setString()方法中对非法单引号做了转义,使得坏人不能够得逞。

我们可以打印看一下

自定义JDBC工具类

首先建一个工具包,在里面定义JBDC工具类

但是,数据库、用户名和密码总不是固定不变的,当我们需要去改变时,需要打开这个工具类来改变数据,不如我们创建一个配置文件,使用配置文件来读取数据、修改数据来的方便。

1.创建配置文件

2.配置

3.在工具类中使用配置文件

批处理

即多条sql语句一起执行,当插入大量数据时,建议使用批处理。

statement.addBatch();//添加批处理,先将数据缓存起来
statement.executeBatch();//执行批处理
statement.clearBatch();//清空缓存

如果我们向数据库中一条条插入数据,如下:

package org.xingyun.demo;

import org.xingyun.bean.Bank;
import org.xingyun.utils.JDBCUtil;

import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.SQLException;
import java.util.ArrayList;

public class demo5 {
    public static void main(String[] args) throws SQLException {
        ArrayList<Bank> list = new ArrayList<>();
        for (int i = 0; i < 50000; i++) {
            Bank bank = new Bank(1010+i,"zhangsan"+i,1000+i);
            list.add(bank);
        }
        Connection conn = JDBCUtil.getConnection();
        String sql="insert into bank(id, username, money) values (?,?,?)";
        PreparedStatement preparedStatement = conn.prepareStatement(sql);
        long l = System.currentTimeMillis();
        for (Bank bank : list) {
            preparedStatement.setInt(1,bank.getId());
            preparedStatement.setString(2, bank.getUsername());
            preparedStatement.setInt(3, bank.getMoney());
            preparedStatement.executeUpdate();
        }
        long ll = System.currentTimeMillis();
        System.out.println(ll-l);
        JDBCUtil.close(conn,preparedStatement);

    }
}

所用时间为:30322ms

sql语句是一条一条执行,则效率会非常低。

当需要插入大量数据时,我们使用批处理,就是sql语句多条执行,则效率会非常高。如下:

package org.xingyun.demo;

import org.xingyun.bean.Bank;
import org.xingyun.utils.JDBCUtil;

import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.SQLException;
import java.util.ArrayList;

public class demo6 {
    public static void main(String[] args) throws SQLException {
        ArrayList<Bank> list = new ArrayList<>();
        for (int i = 0; i < 5000; i++) {
            Bank bank = new Bank(1010 + i, "zhangsan" + i, 1000 + i);
            list.add(bank);
        }

        Connection conn = JDBCUtil.getConnection();
        String sql = "insert into bank(id, username, money) values (?,?,?)";
        PreparedStatement preparedStatement = conn.prepareStatement(sql);
        long l = System.currentTimeMillis();
        for (Bank bank : list) {
            preparedStatement.setInt(1, bank.getId());
            preparedStatement.setString(2, bank.getUsername());
            preparedStatement.setInt(3, bank.getMoney());
            preparedStatement.addBatch();
        }
        preparedStatement.executeBatch();
        preparedStatement.clearBatch();
        long ll = System.currentTimeMillis();
        System.out.println(ll-l);
        JDBCUtil.close(conn, preparedStatement);

    }
}

所用时间为:6196

由此可见,时间缩短为不使用批处理时的五分之一。

可见,效率很高。

注意事项

但 提交的sql不能超过max_allowed_packet的设置值 不然报错

jdbc:mysql://localhost:3306/shopxxb2b2c?serverTimezone=Asia/Shanghai&useUnicode=true&characterEncoding=UTF-8&useSSL=false&rewriteBatchedStatements=true

max_allowed_packet查询方法
进入mysql容器 运行

show VARIABLES like 'max_allowed_packet';
1
mysql> show VARIABLES like 'max_allowed_packet';
+--------------------+------------+
| Variable_name      | Value      |
+--------------------+------------+
| max_allowed_packet | 1073741824 |
+--------------------+------------+
1 row in set
max_allowed_packet的单位为字节:

-- 转化为Mb,就是1024Mb
mysql> select 1073741824/1024/1024;
+----------------------+
| 1073741824/1024/1024 |
+----------------------+
| 1024.00000000        |
+----------------------+
1 row in set
————————————————

Jmh-Ethereal
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
JDBC如何有效防止SQL注入
12-14
在我们平时的开发中,作为新手写JDBC很有可能忽略了一点,那是根本没有考虑SQL注入的问题,   那么,什么是SQL注入,以及如何防止SQL注入的问题。   一什么是SQL注入   所谓SQL注入,是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。[1] 比如先前的很多影视网站泄露VIP会员密码大多是通过WEB表单递交查询字
jdbc介绍和相关知识事务连接池预编译.emmx
07-18
使用mindmaster打开
JDBC(数据库连接池,封装JDBCUtil,Apache的DBUtils,DTO,JDBC工具类事务问题,ThreadLocal)
小丁的博客
03-11 963
之前我们学习了JavaSE,编写了Java程序,数据保存在变量、数组、集合等中,无法持久化,后来学习了IO流可以将数据写入文件,但不方便管理数据以及维护数据的关系;后来我们学习了数据库管理软件MySQL,可以方便的管理数据。那么如何将它俩结合起来呢?即Java程序MySQL,实现数据的存储和处理。那么就可以使用JDBC技术。JDBCJava Database Connectivity,它是代表一组独立于任何数据库管理系统(DBMS)的API,声明在java.sqljavax.sql包中,是SUN
JAVA使用JDBC技术操作SqlServer数据库实例代码
08-31
本篇文章主要介绍了JAVA使用JDBC技术操作SqlServer数据库实例代码,具有一定的参考价值,有兴趣的可以了解一下。
JDBC之PreparedStatement类中预编译的综合应用解析
09-05
SQL 语句被预编译并存储在 PreparedStatement 对象中。然后可以使用此对象多次高效地执行该语句
day05-17-jdbc预编译&SQL注入
喵酱
01-28 1066
预编译与非预编译的区别 1、(写法上区别)预编译,在写sql语句时,变量用?占位符,这样简洁,不容易出错 2、(安全性)避免了sql注入(非预编译是拼接的sql,不安全) package day05.jdbc; import java.sql.*; /* 预编译与非预编译的区别 1、(写法上区别)预编译,在写sql语句时,变量用?占位符,这样简洁,不容易出错 2、(安全性)避免了sql注入(非预编译是拼接的sql,不安全) */ public class Demo04 { public s.
JDBC | 第三章: SQL预编译与防注入CRUD操作
qq_39449880的博客
02-14 1635
SQL预编译与防注入CRUD操作
Java新人之路 -- JDBC预编译
m0_51709303的博客
12-09 1960
JDBC预编译 原始的JDBC操作,因为SQL语句可以通过字符串进行拼接,因此会出现SQL注入问题,这样是不安全的。 所以我们使用占位符 “?” 来直接修改SQL语句 示例: insert into emp(eno,ename,phone) values(?,?,?); select e.eno,e.ename,e.phone from emp e where e.eno=?; 关键词 PreparedStatement 是Statement的子接口 PreparedStatement 表示预编译
JDBC使用预编译
Albdon的博客
03-24 1230
import java.sql.*; 注册驱动(不同的数据库驱动不同) Class.forName("com.ibm.db2.jcc.DB2Driver"); 创建连接对象 Connection conn = DriverManager.getConnection(url,username,password); 创建预编译命令对象 PreparedStatement pstat = conn.prepareStatement(sql); pstat.setInt(1,1); //给第1个
预编译sql注入
weixin_54855337的博客
12-05 2787
预编译sql注入
Oracle JDBC 模糊查询预编译
Sun_Dean的博客
12-16 1764
正确代码如下: String sql = "select * from OnSale where medicineno like '%'||?||'%' and storeno like '%'||?||'%' and frameno like'%'||?||'%'"; 之前我一直是 String sql = "select * from OnSale whe...
sqljdbc 3.0及4.0
03-19
java 链接 sql server 2000 3.0 jar 包
JDBC连接数据库的原理及预编译详解
帅气的鎏氓兔
09-06 2524
一、JDBC基础知识                 JDBCJava Data Base Connectivity,java数据库连接)是一种用于执行SQL语句的Java API,可以为多种关系数据库提供统一访问,它由一组用Java语言编写的类和接口组成。JDBC数据库开发人员提供了一个标准的API,据此可以构建更高级的工具和接口,使数据库开发人员能够用纯 Java API 编写数据库
java安全(二):JDBC|sql注入|预编译
weixin_45694388的博客
11-14 6030
1 JDBC基础 JDBC(Java Database Connectivity)是Java提供对数据库进行连接、操作的标准API。Java自身并不会去实现对数据库的连接、查询、更新等操作而是通过抽象出数据库操作的API接口(JDBC),不同的数据库提供商必须实现JDBC定义的接口从而也就实现了对数据库的一系列操作。 2 JDBCConnection 2.1连接 Java通过java.sql.DriverManager来管理所有数据库的驱动注册,所以如果想要建立数据库连接需要先在java.sql.Drive
[数据库]JDBC&SQL注入攻击&预编译SQL
YJH000_的博客
04-05 176
过输入aaa' OR '1'='1改变后台SQL语句语义,不需要正确密码即可获取数据资料,造成严重后果
JDBC使用预编译SQL的好处
乘风破浪的博客
05-12 2187
1. 执行效率 PreparedStatement可以尽可能的提高访问数据库的性能,数据库在处理SQL语句时都有一个预编译的过程,而预编译对象就是把一些格式固定的SQL编译后,存放在内存池中即数据库缓冲池,当我们再次执行相同的SQL语句时就不需要预编译的过程了,只需DBMS运行SQL语句。所以当你需要执行Statement对象多次的时候,PreparedStatement对象将会大大降低运行时间
sql注入预编译
qq_61109509的博客
02-25 1803
sql预处理就是提前告诉sql语法处理器,提前声明且编译特定格式的sql语句,将所有用户的输入视为纯字符串参数,最后组成查询语句 php使用预处理的步骤 1,连接到数据库 2,设置预处理语句的结构 3,用户输入 4,执行sql语句 $stmt=$conn->prepare('SELECT 1 FROM user WHERE username=? AND password=?'); //设置预处理的语句结构,?表示要填入的用户输入 $input_username="root"; $.
JDBCJDBC如何实现预处理SQL
后端研发工程师Marion的博客
03-20 801
2. 在PreparedStatement对象上调用setXXX()方法,为SQL语句中的参数设置值。其中XXX表示Java数据类型,例如setString()用于设置字符串类型参数,setInt()用于设置整型参数等等。首先创建了一个预处理语句对象pstmt,然后使用setInt()方法设置第一个参数为1,最后执行executeQuery()方法获取查询结果。3. 在PreparedStatement对象上调用executeQuery()或executeUpdate()方法来执行SQL语句。
[疯狂Java]JDBC:PreparedStatement预编译执行SQL语句
热门推荐
Lirx_Tech的专栏
04-14 1万+
1. SQL语句的执行过程——Statement直接执行的弊病:     1) SQL语句和编程语言一样,仅仅就会普通的文本字符串,首先数据库引擎无法识别这种文本字符串,而底层的CPU更不理解这些文本字符串(只懂二进制机器指令),因此SQL语句在执行之前肯定需要编译的;     2) SQL语句的执行过程:提交SQL语句 -> 数据库引擎对SQL语句进行编译得到数据库可执行的代码 -> 执行S
sql注入 预编译举例
最新发布
03-15
SQL注入是一种常见的安全漏洞,它允许攻击者通过在应用程序的输入字段中插入恶意的SQL代码来执行非授权的数据库操作。攻击者可以利用这个漏洞来绕过应用程序的身份验证、获取敏感数据或者修改数据库中的数据。 为了防止SQL注入攻击,可以使用预编译语句(Prepared Statement)来处理用户输入。预编译语句是一种在执行之前将SQL查询和参数分开的机制,它可以有效地防止SQL注入攻击。 下面是一个使用预编译语句的示例(以Java为例): ```java String sql = "SELECT * FROM users WHERE username = ? AND password = ?"; PreparedStatement statement = connection.prepareStatement(sql); statement.setString(1, userInputUsername); statement.setString(2, userInputPassword); ResultSet resultSet = statement.executeQuery(); ``` 在上面的示例中,`?` 是占位符,表示参数的位置。通过使用`setString`方法,我们可以将用户输入的值安全地传递给预编译语句,而不会被解释为SQL代码。这样可以有效地防止SQL注入攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Jmh-Ethereal

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值