JDBC----Statement安全问题与PrepareStatement

最新推荐文章于 2023-07-12 18:24:38 发布
最新推荐文章于 2023-07-12 18:24:38 发布
阅读量994 收藏 3
点赞数
分类专栏: JDBC Mysql 文章标签: JDBC Mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mqingo/article/details/84558356
版权
Mysql 同时被 2 个专栏收录
35 篇文章 0 订阅
订阅专栏
JDBC
17 篇文章 0 订阅
订阅专栏

1. Statement执行 ,其实是拼接sql语句的。  先拼接sql语句,然后在一起执行。 


        String sql = "select * from user where username='"+ username  +"' and password='"+ password +"'";

        UserDao dao = new UserDaoImpl();
        dao.login("admin", "100234khsdf88' or '1=1");
    
        SELECT * FROM t_user WHERE username='admin' AND PASSWORD='100234khsdf88' or '1=1' 
    
        前面先拼接sql语句, 如果变量里面带有了 数据库的关键字,那么一并认为是关键字。 不认为是普通的字符串。 
        rs = st.executeQuery(sql);

2.PrepareStatement:

> 该对象就是替换前面的statement对象。

1. 相比较以前的statement, 预先处理给定的sql语句,对其执行语法检查。 在sql语句里面使用 ? 占位符来替代后续要传递进来的变量。 后面进来的变量值,将会被看成是字符串,不会产生任何的关键字。


            String sql = "insert into user values(null , ? , ?)";
             ps = conn.prepareStatement(sql);
             
             //给占位符赋值 从左到右数过来,1 代表第一个问号, 永远你是1开始。
             ps.setString(1, userName);
             ps.setString(2, password);
 

mqingo
关注
专栏目录
JDBC--PrepareStatement对象-程序
dreamflygril的博客
06-02 595
运行第一个JDBC程序时成功加载到数据库中内容,但程序还有不足之处,具体改进如下: 1.注册驱动 为了避免数据库驱动被重复注册,只需要在程序中加载驱动类即可 Class.forName("com.mysql.jdbc.Driver); 2.释放资源 当数据库资源使用完毕后,一定要释放资源 3.prepareStatement对象 SQL语句的执行时通过Statement对象实现的。S
JDBC-02-sql注入问题Statement 和 ComparedStatement
记录java学习日常~
05-10 579
它执行静态SQL语句,使用时需要手动输入SQL语句,因此它容易受到SQL注入攻击。每次使用Statement对象执行SQL语句时都必须将SQL语句重新解析,并且在网络上发送整个SQL语句。来代替SQL语句中的变量,然后通过调用setXXX()方法设置占位符的值。在执行SQL语句时,PreparedStatement对象将使用这些值来填充SQL语句。2、PreparedStatement对象是使用预编译的SQL语句创建的。预编译意味着在每次执行SQL语句时只需要向数据库发送参数,而不是整个SQL语句。
JDBC(用PrepareStatement实现)
01-15
JDBC实现Java与数据库的连接,该文件使用PrepareStatement实现。
PreparedStatement的用法(转)
赵先颖的专栏
11-08 1203
jdbc(java database connectivity,java数据库连接)的api中的主要的四个类之一的java.sql.statement要求开发者付出大量的时间和精力。在使用statement获取jdbc访问时所具有的一个共通的问题是输入适当格式的日期和时间戳:2002-02-05 20:56 或者 02/05/02 8:56 pm。 通过使用java.sql.preparedst...
prepareStatement的使用
weixin_44720982的博客
05-06 4648
使用prepareStatement完成数据库增删改查功能
关于preparestatement的详解
lqy103267的博客
09-05 3550
0 关于preparestatement的详解5 Java代码   /**   * 将用户信息插入数据库   * @param uv   * @return   */   public int insertUser(UserVo uv){       int userId = 0;       initDb(); **初始化连接数据库的方法 
prepareStatement语句
qq_36930483的博客
09-27 330
JDBC中的——PreparedStatement 预编译原理 prepareStatement语句有三大好处: Statement.executeUpdate("INSERT INTO tb1_students (name,age,sex,address) VALUES('"+var1+"','"+var2+"',"+var3+",'"+var4+"')"); ​ prepareStatement= connection.prepareStatement("INSERT INTO tb1_stud
jdbc.rar_java jdbc_java 数据库 连接_jdbc_jdbc-odbc_数据 插入 删除
09-23
Java JDBC(Java Database Connectivity)是Java编程语言与各种数据库之间通信的标准接口,它允许Java程序通过JDBC API来访问和操作数据库。在本教程中,我们将深入探讨如何在Java环境下,特别是MyEclipse开发环境中...
利用JDBC的PrepareStatement打印真实SQL的方法详解
08-29
PreparedStatement ps = connection.prepareStatement(sql); ps.setInt(1, 10); ``` 在这个例子中,我们想知道实际执行的SQL语句是"SELECT * FROM table WHERE id = 10"。为了实现这个需求,我们可以自定义一个辅助...
JDBC PrepareStatement 使用(附各种场景 demo)
最新发布
01-14
PrepareStatementJDBC提供的一种预编译的SQL语句,它可以提高数据库操作的效率和安全性。本资源主要涵盖了使用JDBC PrepareStatement进行MySQL数据库操作的各种场景,包括基本的查询、更新以及批量处理。 首先,...
PreparedStatement详细用法
11-22
PreparedStatement详细用法
java之preparestatement详细介绍
热门推荐
05-09 1万+
传送给数据库的 SQL 语句通过一个包含两个步骤的过程来返回结果。首先准备它们,然后处理它们。借助 Statement 对象,这两个阶段对应用程序而言变成一个阶段。PreparedStatement 允许将这两个步骤分开。准备步骤在创建对象时发生,而处理步骤在对 PreparedStatement 对象调用 executeQuery、executeUpdate 或 execute 方法时发生。
对PreparedStatementStatement的一点总结
sunshine716的专栏
07-24 148
   网上有很多文章讨论PrepardStatementStatement的区别,不过要完完全全的作出比较难度很大,因为每个数据库对底层的实现及应用场合不一样,Oracle对PrepardStatement的支持最好,Mysql对PrepardStatement支持最差。Statement执行单个sql语句速度较快而PrepardStatement执行批处理的效率较高。   以Oracle为...
PrepareStatement用法(附源码解析)
Sherlock1020的博客
08-11 5709
PrepareStatement 基本用法 与 SQL注入分析
JDBCStatement和PreparedStatement的择弃
分享,卓越
07-20 1438
PreparedStatement是用来执行SQL查询语句的API之一,Java提供了 Statement、PreparedStatement 和 CallableStatement三种方式来执行查询语句,其中 Statement 用于通用查询, PreparedStatement 用于执行参数化查询,而 CallableStatement则是用于存储过程。同时PreparedStatement
掌握数据库操作的关键技巧:深入解析prepareStatement方法
2301_77478553的博客
07-12 4502
prepareStatement是表示预编译的 SQL 语句的对象。prepareStatement方法是Java中用于准备执行SQL语句的方法。它可以避免SQL注入攻击,提高执行效率,且支持占位符,可以方便地设置参数。2.为什么要使用prepareStatementStatement与preparedStatement的区别:1. preparedStatement可以写动态参数化的查询。
PrepareStatement
太阳雨
05-24 1040
PreparedStatementStatement只能静态操作SQL语句,如果要想动态操作SQL语句又该如何实现呢?例如:注册会员 –这里可以使用PreparedStatement来动态操作SQL语句 –PreparedStatement通过使用占位符“?”,来预生成SQL语句,从而达到动态操作的功能 • 为占位符“?”赋值 –根据当前SQL的数据类型 调用相应的如下方法
preparedStatementstatement
为学日益 为道日损
03-16 441
PreparedStatement接口:   是statement接口的子接口,扩展了statement接口,可以通过in参数进行处理,对in参数用占位符?表示。   PreparedStatement的基本工作原理:预编译的机制,插入时,先占位,之后再设置内容。 PreparedStatementStatement区别: *安全性: 1 statement使用字符串追加的方式得到sql
preparestatement
bit-cafe
04-30 1140
//使用预处理来连接数据库 import java.sql.*; public class  DDD{ public static void main(String []args) {   String driver ="com.mysql.jdbc.Driver";   String URL="jdbc:mysql://localhost:3306/d
mybatis plus 集成neo4j-jdbc-driver
05-23
MyBatis-Plus并没有直接集成Neo4j JDBC驱动,但是可以通过MyBatis-Plus提供的自定义SQL执行器来使用Neo4j JDBC驱动。 首先需要在项目中引入Neo4j JDBC驱动的依赖,可以在Maven中添加以下依赖: ```xml <dependency> <groupId>org.neo4j</groupId> <artifactId>neo4j-jdbc-driver</artifactId> <version>4.3.1</version> </dependency> ``` 然后在MyBatis-Plus的配置类中配置自定义SQL执行器,示例如下: ```java @Configuration public class MybatisPlusConfig { @Bean public ConfigurationCustomizer configurationCustomizer() { return configuration -> { // 添加自定义SQL执行器 configuration.addInterceptor(new MyNeo4jJdbcInterceptor()); }; } /** * 自定义SQL执行器,使用Neo4j JDBC驱动执行SQL */ private static class MyNeo4jJdbcInterceptor implements Interceptor { @Override public Object intercept(Invocation invocation) throws Throwable { // 获取MappedStatement和参数 MappedStatement mappedStatement = (MappedStatement) invocation.getArgs()[0]; Object parameter = invocation.getArgs()[1]; // 获取SQL语句 BoundSql boundSql = mappedStatement.getBoundSql(parameter); String sql = boundSql.getSql(); // 使用Neo4j JDBC驱动执行SQL try (Connection connection = DriverManager.getConnection("jdbc:neo4j:bolt://localhost:7687", "neo4j", "password"); PreparedStatement statement = connection.prepareStatement(sql)) { // 设置参数 ParameterHandler parameterHandler = new DefaultParameterHandler(mappedStatement, parameter, boundSql); parameterHandler.setParameters(statement); // 执行SQL if (mappedStatement.getResultSetType() == ResultSetType.DEFAULT) { statement.execute(); } else { throw new RuntimeException("Unsupported result set type: " + mappedStatement.getResultSetType()); } // 返回结果 ResultSet resultSet = statement.getResultSet(); return new MyResultSet(resultSet); } } @Override public Object plugin(Object target) { return Plugin.wrap(target, this); } @Override public void setProperties(Properties properties) { // do nothing } } /** * 自定义ResultSet,用于包装Neo4j JDBC驱动返回的ResultSet */ private static class MyResultSet implements ResultSet { private final ResultSet resultSet; public MyResultSet(ResultSet resultSet) { this.resultSet = resultSet; } // 实现ResultSet接口的方法,用于包装Neo4j JDBC驱动返回的ResultSet // ... } } ``` 以上代码中,`MyNeo4jJdbcInterceptor`是自定义的SQL执行器,使用Neo4j JDBC驱动执行SQL。在`intercept`方法中,获取SQL语句和参数,使用Neo4j JDBC驱动执行SQL,并将返回的`ResultSet`包装为`MyResultSet`返回。 需要注意的是,自定义SQL执行器需要添加到MyBatis-Plus的配置中,这里使用了`ConfigurationCustomizer`实现。同时,由于Neo4j JDBC驱动返回的`ResultSet`和MyBatis-Plus默认的`ResultSet`不同,需要自定义`MyResultSet`实现`ResultSet`接口,用于包装Neo4j JDBC驱动返回的`ResultSet`。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值