statement和preparedstatement区别浅析

最新推荐文章于 2022-10-19 00:16:48 发布
最新推荐文章于 2022-10-19 00:16:48 发布
阅读量95 收藏
点赞数
分类专栏: JAVA基础 文章标签: statement和preparedstatement的区别 防止恶意sql注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mlxnle/article/details/84149173
版权

 

1,public interface Statement

         用于执行静态 SQL 语句并返回它所生成结果的对象。

 

   public interface PreparedStatement extends Statement

 

         表示预编译的 SQL 语句的对象。

         SQL 语句被预编译并且存储在 PreparedStatement 对象中。

         然后可以使用此对象高效地多次执行该语句。

 

2,代码可读性 

stmt.executeUpdate("insert into tb_name (col1,col2,col2,col4)

values ('"+var1+"','"+var2+"',"+var3+",'"+var4+"')");

//preparedstatement支持参数设置

perstmt = con.prepareStatement("insert into tb_name (col1,col2,col2,col4) values (?,?,?,?)");
perstmt.setString(1,var1);
perstmt.setString(2,var2);
perstmt.setString(3,var3);
perstmt.setString(4,var4);
perstmt.executeUpdate();
 

 

3, 极大地提高了安全性----防止SQL注入


String sql = "select * from tb_name "

+"where name= '"+varname+"' and passwd='"+varpasswd+"'";


如果我们把[' or '1' = '1]作为varpasswd传入进来.看看会成为什么?

select * from tb_name = '随意' and passwd = '' or '1' = '1';
因为'1'='1'肯定成立,所以可以任何通过验证.更有甚者:


把[';drop table tb_name;]作为varpasswd传入进来,则:
select * from tb_name = '随意' and passwd = '';drop table tb_name;

有些数据库是不会让你成功的,但也有很多数据库就可以使这些语句得到执行.

mlxnle
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Statement和PreparedStatement之间的区别
01-14
Statement和PreparedStatement之间的区别 Statement和PreparedStatement是JDBC中的两种不同的语句对象,用于执行数据库操作。虽然它们都可以执行SQL语句,但是它们之间存在着很大的区别。 首先, Statement对象...
详解Java的JDBC中Statement与PreparedStatement对象
09-03
在Java的JDBC(Java Database Connectivity)中,与数据库交互的核心接口是Statement和PreparedStatement。这两个接口都是用于执行SQL语句的,但它们在特性和效率上有所不同。 Statement接口是最基本的SQL执行方式...
浅析Statement和PreparedStatement区别
冷血之心的博客
02-16 6807
当我们使用java程序来操作sql server时会使用到Statement和PreparedStatement,俩者都可以用于把sql语句从java程序中发送到指定数据库,并执行sql语句。那么如何进行一个较好的选择? 首先,我们来看俩者的区别Statement和PreparedStatement区别(1) 1、直接使用Statement,驱动程序一般不会对sql语句作处理而直接交给
java preparestatement sql注入_浅析Statement和PreparedStatementSQL注入
weixin_30950075的博客
03-06 2619
一、SQL注入所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。上述语句摘自百度百科,可能对于有些人来说晦涩难懂,那么我举个最简单的例子,来体验这一过程;假设有一个登录表单,后台数据校验sql为select * from user where username = 'XXX' and password = 'XXX',...
【很有料】浅析Statement和PreparedStatementSQL注入
daobuxinzi的博客
10-19 455
因为SQL语句在程序运行前已经进行了预编译,在程序运行时第一次操作数据库之前,SQL语句已经被数据库分析,编译和优化,对应的执行计划也会缓存下来并允许数据库已参数化的形式进行查询,当运行时动态地把参数传给PreprareStatement时,即使参数里有敏感字符如 or '1=1'也数据库会作为一个参数一个字段的属性值来处理而不会作为一个SQL指令,如此,就起到了SQL注入的作用了!这就是一个最简单sql注入的例子,输入包含sql命令的内容,欺骗服务器执行破坏数据。,直接删除了数据表,十分的危险。
浅析 PreparedStatementStatement
Acx7的博客
12-10 472
Statement 1.创建方法 Statement statement = conn.createStatement(); 2.执行方法 // 执行查询操作 -> select String sql = "select `name` from users where `id`=1";// 示例 statement.executeQuery(sql); // 执行更新操作 -> insert、update、delete... String sql = "delete from users wh
java中PreparedStatementStatement详细讲解
08-25
Java 中的 PreparedStatementStatement 是两个常用的数据库操作接口,但是它们之间存在着一些关键的区别,特别是在防止 SQL 注入攻击方面。PreparedStatement 对象可以防止 SQL 注入,而 Statement 对象则不能...
PreparedStatementStatement
03-22
这个项目可能包含了使用`PreparedStatement`和`Statement`的例子,通过分析这些代码,你可以更好地理解两者的应用和区别总结,`PreparedStatement`和`Statement`在Java数据库操作中各有优势。在追求性能、安全性...
prepareStatementStatement区别
09-23
prepareStatementStatement区别 prepareStatementStatement是 Java 中两个常用的数据库操作接口,它们都可以用来执行 SQL 语句,但是它们之间有着明显的区别。 首先,从创建时的区别开始,Statement 需要...
开题报告达达宠物认领信息网站的设计与实现 已通过开题答辩的.docx
07-25
宠物认领信息网站的主要目的是为寻找宠物的失主和寻找新家的宠物提供一个在线的信息交流平台。通过这个平台,失主可以发布失宠信息,寻找走失或遗弃的宠物;而救助人或组织则可以发布待领养的宠物信息,为那些无家可归的宠物寻找一个永久的归宿。 这样的网站通常会提供一个详细的宠物数据库,包括照片、品种、年龄、健康状况等信息,以便让失主能够方便地找到自己的宠物。同时,网站还会提供一些相关的服务,如失主与救助人之间的在线交流、宠物匹配推荐、领养手续办理等,以帮助双方顺利完成宠物的认领和领养过程。 宠物认领信息网站的目的在于提高失宠找到宠物的几率,减少流浪宠物的数量,并为那些无家可归的宠物提供一个温馨的新家。同时,网站还能促进社会对流浪宠物的关注和保护,提高人们的动物保护意识。
开题报告创权法律服务系统 已通过开题答辩的.doc
07-25
进入20世纪80年代,我国加快了改革开放的步伐,市场经济体制已逐步形成,我国的经济发展受世人所瞩目,但法律法规的置后,使经济发展不规范问题暴露的相当严重,特别是社会整体信用的缺失,使消费环境不断恶化。而如今随着城镇化的高速推进,精神追求远不及物质发展迅速,维权问题也越来越成为人们十分关注的社会话题。 维权是指维护个人或群体的合法权益,范围包括人身损害、土地纠纷、 医疗事故、婚姻、家庭、继承等民事纠纷所进行的行政及司法诉讼。维护消费者合法权益关系着全社会每个人的利益,群众利益无小事。维护消费者合法权益正体现着“权为民所用,利为民所谋”。而现如今由于法律规则的不完善加上自身对法律知识的不了解,导致很多公民的权益问题在复杂的社会情况下无法得到妥善的解决,使得公民的财产和心理受到难以弥补的损失,严重威胁到社会的安全与稳定,公民之间的诚信与统一。因此更便捷、迅速地维护公民的合法权益,已经成为了一个刻不容缓去解决的社会问题。
Matlab实现豪猪优化算法CPO-TCN-Multihead-Attention多输入单输出回归预测算法研究.rar
07-25
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 5.作者介绍:某大厂资深算法工程师,从事Matlab算法仿真工作10年;擅长智能优化算法、神经网络预测、信号处理、元胞自动机等多种领域的算法仿真实验,更多仿真源码、数据集定制私信+。 替换数据可以直接使用,注释清楚,适合新手
人力资源-6 团结一致共创未来新员工座谈会.pptx
07-25
人力资源-6 团结一致共创未来新员工座谈会.pptx
《AI大模型应用》--基于PepperBot,可以保留上下文的LLM群聊机器人实现.zip
07-25
上接OpenAI、文心一言,下接QQ、微信、Telegram 个人深耕AI大模型应用领域积累的成果,希望对您有所帮助。有大模型账号、环境问题、AI大模型技术应用落地方案等相关问题,欢迎详聊,能为您解决问题是我的荣幸! 个人深耕AI大模型应用领域积累的成果,希望对您有所帮助。有大模型账号、环境问题、AI大模型技术应用落地方案等相关问题,欢迎详聊,能为您解决问题是我的荣幸! 个人深耕AI大模型应用领域积累的成果,希望对您有所帮助。有大模型账号、环境问题、AI大模型技术应用落地方案等相关问题,欢迎详聊,能为您解决问题是我的荣幸! 个人深耕AI大模型应用领域积累的成果,希望对您有所帮助。有大模型账号、环境问题、AI大模型技术应用落地方案等相关问题,欢迎详聊,能为您解决问题是我的荣幸! 个人深耕AI大模型应用领域积累的成果,希望对您有所帮助。有大模型账号、环境问题、AI大模型技术应用落地方案等相关问题,欢迎详聊,能为您解决问题是我的荣幸! 个人深耕AI大模型应用领域积累的成果,希望对您有所帮助。有大模型账号、环境问题、AI大模型技术应用落地方案等相关问题,欢迎详聊,能为您解决问题是我的荣幸!
开题报告传统糕点 已通过开题答辩的.docx
07-25
理论意义: 1、网页设计是信息传播的重要手段,通过合理的布局、图文搭配等设计元素,可以更好地传递传统糕点的信息。理论上,这涉及到传播学、信息传递模型等方面的理论研究,确保信息能够被受众准确、清晰地接收。 2、用户体验理论强调用户与网页之间的交互和感知。在传统糕点推广网页设计中,理论上的考虑应该包括用户友好的界面、易于导航的网站结构,以及引导用户深入了解传统糕点的设计元素。
GBT 2423.1-2008-试验A-低温
最新发布
07-25
GBT 2423.1-2008-试验A-低温
2500多个AI工具合集包括视频自动剪辑、AI视频生成、AI教程、视频换脸、图片生成等待
07-25
概述: 在这个数字化时代,人工智能(AI)工具正迅速成为创意和生产力的强大推动力。我们的AI工具合集汇集了超过2500个工具,覆盖视频自动剪辑、AI视频生成、AI教程、视频换脸、图片生成等多个领域,为创意专业人士和爱好者提供了一个全面的解决方案。 特点: 视频自动剪辑: 利用先进的AI算法,自动识别并剪辑视频内容,节省编辑时间,提高效率。 AI视频生成: 创造全新的视频内容,无需实际拍摄,AI可以根据脚本或概念生成逼真的视频。 AI教程: 提供各种AI工具的使用教程,帮助用户快速掌握工具的使用技巧。 视频换脸: 通过深度学习技术,实现视频中人物面部的替换,为视频制作增添更多可能性。 图片生成: 根据用户输入的描述自动生成图片,为设计和创意工作提供灵感。 应用领域: 电影和电视制作 广告和营销 社交媒体内容创作 游戏开发 教育和培训 优势: 高效率: AI工具可以大幅度提高工作流程的速度。 易用性: 即使是初学者也能快速上手使用这些工具。 创新性: AI的创造力可以帮助用户实现前所未有的创意效果。 成本效益: 相比传统方法,AI工具可以降低生产成本。
毕业设计javajsp高校科研项目管理系统sqlserver-qr源码含文档工具包
07-25
毕业设计javajsp高校科研项目管理系统sqlserver-qr源码含文档工具包 页面是jsp,数据库sqlserver,jdk1.8,开发工具用ecplise、myecplise、sts、idea都可以 教师科研与论文信息交流平台 课题申报 感研申报 修改个人信息 查询成果申报 查询课题申报 未入库课题/成果 已入库课题成果 研审批 信息统计 查看用户信息 添加用户信息 按作者查询 信息查询 按日期查询 按关键字查询 按类型查动 包含:源码、数据库脚本、论文、答辩ppt、开题报告、环境工具包、相同框架项目的安装教程(在说明文档中)
Statement和 PreparedStatement区别
06-02
Statement和PreparedStatement都是Java中用来执行SQL语句的接口,它们的主要区别如下: 1. 预编译:PreparedStatement在执行前会先进行预编译,而Statement则是在执行时编译。预编译可以提高执行效率,尤其是需要...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值