Statement操作sql语句的弊端

最新推荐文章于 2022-03-29 00:12:03 发布
最新推荐文章于 2022-03-29 00:12:03 发布
阅读量389 收藏 1
点赞数 1
分类专栏: javaweb 文章标签: java jdbc
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pison007/article/details/113485127
版权

Statement操作SQL语句的弊端

在学习JDBC的时候,提到了用Statement进行数据库的增删改查的弊端,主要有两点。

  1. 拼写sql语句涉及字符串的拼接,太痛苦
  2. sql注入

. 下面通过一个登录情景说明这两个弊端

登录的过程:
简单的登录实现,用户输入用户名和密码。获取用户名和密码的信息后去数据库的表中对比,如果发现有匹配的用户名和密码,就表明登录成功,没有匹配的用户信息说明匹配失败。

我写了一个get方法,该方法可以去数据表中查看是否有对应的用户信息,如果有就返回相应的User对象,没有则返回null
get方法代码:

public static User get(String sql) throws Exception{
		//获取基本的配置信息
		InputStream input=StatementCase.class.getClassLoader().getResourceAsStream("jdbc.properties");
		Properties pro=new Properties();
		pro.load(input);
		String url=pro.getProperty("url");
		String user=pro.getProperty("user");
		String password=pro.getProperty("password");
		String driverClass=pro.getProperty("driverClass");
		
		//加载驱动类
		Class.forName(driverClass);
		
		//获取连接
		Connection con=DriverManager.getConnection(url,user,password);
		
		Statement statement=con.createStatement();
		ResultSet rs=statement.executeQuery(sql);
		User login_user=null;
		if(rs.next()){
		String username=rs.getString("username");
		String password1=rs.getString("password");
		login_user=new User();
		login_user.setUsername(username);
		login_user.setPassword(password1); 
		
				}
		
		return login_user;
		
	}

用户输入用户名,密码

public static void main(String[] args) throws Exception {
		Scanner scanner=new Scanner(System.in);
		System.out.print("用户名:");
		String user=scanner.next();
		System.out.print("密码:");
		String password=scanner.next();
		
		String sql="select username,password from userinfo where  username='"+user+"' and password= '"+password+"'";
		User result=get(sql);
		if(result!=null){
			System.out.println("登录成功");
		}
		else{
			System.out.println("登录失败");
		}

	}

目前为止看起来都一切良好,这个时候问题来了,我必须把变量名user,password放进我的sql语句中去。也就是这个样子:

select username,password from userinfo where  username='变量user'  and  password= '变量password'

由于在java中执行的SQL语句必须以字符串的形式书写,那么就涉及到字符串的拼接,就会变成这个样子

String sql="select username,password from userinfo where  username='"+user+"' and password= '"+password+"'";

此时此刻是不是感觉可读性很差而且写起来很麻烦,不过都还好,毕竟我们不怕麻烦 (逃

另一个问题却是我们不能接受的,也就是这篇的重点SQL注入

SQL注入是什么?

用一个很简单的例子在理解,我们来看这样一条SQL语句

SELECT username, 
password FROM userinfo WHERE username='a' OR 1 = ' AND password = 
' OR '1' = '1'

解析起来就是,筛选username,password字段,从userinfo这个表中,筛选条件是 XXX or XXX or XXX,这三个XXX只要有一个成立,就表明符合筛选要求。又因为1=1这个条件是恒成立的,所以每一行数据都符合要求,必然可以筛选出结果。
执行结果如下:在这里插入图片描述
于是神奇的地方来了,我可以想办法在输入用户名和密码的时候,输入一些SQL语句。

在这里插入图片描述
然后 , user变量的值就是:a’ OR 1 =
password变量的值就是:OR ‘1’ = '1
导致的结果就是SQL语句会变成我刚刚写的那个样子,然后该用户就登录成功了,这就是SQL注入了。

总结起来SQL注入就是指:由于用户的恶意输入,导致系统执行了恶意SQL语句,做一些坏的事情。

小结:

  1. Statement对象进行增删改查的时候,需要用字符串的拼接写sql语句,非常麻烦可读性差
  2. 由于需要用字符串拼接的方式写sql,所以才给 SQL注入 提供了可乘之机。
pison007
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
mysql操作表语句练习
weixin_45163798的博客
03-10 328
1.表结构: 2.建表 # 1、创建表 # 创建班级表 create table class( cid int primary key auto_increment, caption varchar(32) not null ); # 创建学生表 create table student( sid int primary key auto_increment, gender char(1) n...
oracle打印sql异常,oracle pl/sql之异常处理(exception)
weixin_42393621的博客
04-13 800
一.异常语法EXCEPTIONwhen exception1 [or exception2...] thenstatement;...][when exception1 [or exception2...] thenstatement;...][when others thenstatement1;...]二.预定义异常(1)NO_DATA_FOUND---根据雇员编号获取雇员名set serve...
exceptions】简单异常汇总
非正常人研究室
03-15 3171
今天在接口的开发中遇到一个问题,把对方表中的数据导入到本地数据库的时候mybatis抛出这个错误 原因对方的数据中一个时间的字段中存在错误的数据0000-00-00 00:00:00mybatis插入数据库的时候发现解析后的时间年份小于公元后1年,抛出了这个异常PS异常中的AD意思就是公元后的意思,所以异常的完整意思是:只能接受公元后范围的日期
使用Statement操作数据表的弊端
七一
07-27 503
使用Statement操作数据表的弊端 通过调用 Connection 对象的 createStatement() 方法创建该对象。该对象用于执行静态的 SQL 语句,并且返回执行结果。 Statement 接口中定义了下列方法用于执行 SQL 语句: int excuteUpdate(String sql):执行更新操作INSERT、UPDATE、DELETE ResultSet executeQuery(String sql):执行查询操作SELECT 但是使用Statement操作数据表
JDBC-使用Statement操作数据库的弊端
weixin_49984174的博客
08-10 334
使用Statement操作数据库的弊端 问题一:存在拼串操作 假设情景如下:当从控制台输入需要在数据库查询的用户名密码时,此时存在拼串操作操作繁琐且可读性差 问题二:sql注入问题 所以为了避免sql注入问题,用PrepareStatement取代Statement ...
sql语句常见异常问题解决方案。
lujiawei00的专栏
02-19 6457
sql语句 异常问题解决方案汇总mysql异常,以及对应的解决方案常见异常1:常见异常2:常见异常3: 汇总mysql异常,以及对应的解决方案 常见异常1: [Err] 1064 - You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ---- 这种异常 不用多想,肯定是我们的sql语句出现问题
如何解决java.sql.Statement无法处理特殊字符以及容易被黑问题
weixin_37720904的博客
07-30 1350
知识点:展示java.sql.Statement 有两个缺陷,解决方法第一个:展示Statement的缺陷1(测试数据:1003 换行 a’s) –即若用户输入sql中的特殊字符则程序会挂)public void dem04() throws Exception{ Connection con = ConnUtils.getConnection(); Statemen
Java使用Statement接口执行SQL语句操作实例分析
08-27
主要介绍了Java使用Statement接口执行SQL语句操作,结合实例形式详细分析了Java使用Statement接口针对mysql数据库进行连接与执行SQL语句增删改查等相关操作技巧与注意事项,需要的朋友可以参考下
sql语句中用问号代替参数
08-02
PreparedStatement pstmt = conn.prepareStatement(sql); pstmt.setString(1, "usernameValue"); // 设置参数值 ResultSet rs = pstmt.executeQuery(); // 处理结果集... ``` 在这里,`setString(1, "usernameValue...
SQL语句参考
03-13
SQL 语句参考 SQL 语句是数据库管理系统的基础,掌握 SQL 语句是数据库管理和开发的必备技能。下面是常用的 SQL 语句参考,涵盖了数据库的日常维护和拓展工具,包括 Access、MySQLSQL Server。 数据库创建和...
java跟踪执行的sql语句示例分享
09-04
Java编程中,跟踪执行的SQL语句是调试和优化数据库操作的重要手段。这有助于我们了解应用程序如何与数据库交互,从而发现性能瓶颈或潜在错误。本文将深入探讨一个使用Java代理(Proxy)来实现SQL语句跟踪的示例。 ...
JDBC Oracle执行executeUpdate卡死问题的解决方案
09-09
今天小编就为大家分享一篇关于JDBC Oracle执行executeUpdate卡死问题的解决方案,小编觉得内容挺不错的,现在分享给大家,具有很好的参考价值,需要的朋友一起跟随小编来看看吧
19_调试sql语句1
08-03
在IT行业中,数据库性能优化是至关重要的,尤其是对于运行复杂SQL语句的应用程序。本章节主要探讨了如何调试和优化SQL语句,特别是在Oracle数据库环境下。优化SQL语句旨在提高应用程序的性能,这通常涉及理解Oracle...
常见SQLException异常
热门推荐
always_my_fault的专栏
12-07 4万+
ORA-00904:  invalid column name 无效列名ORA-00942:  table or view does not exist 表或者视图不存在ORA-01400:  cannot insert NULL into () 不能将空值插入ORA-00936: 缺少表达式ORA-00933: SQL 命令未正确结束ORA-01722: 无效数字:(一般可能是企图将字符串类型的
动态语句长度超过32K的解决方法
47522341的专栏
08-12 5272
 Oracle的varchar2类型最大长度为4000, PLSQL的varchar2最大长度为32767就是32K, 这也是本地动态sql语句能够处理的最大长度.如果动态sql语句过长,就没有办法在一个varchar2变量中存储整个语句,导致execute immediate本地动态sql方式无法使用。但现实中,有些时候确实会碰到超长的动态sql语句,怎么办呢?解决办法就是,使用dbms
Statement操作数据库的弊端 [Java][JDBC]
m0_57001006的博客
03-29 353
Statement操作数据库的弊端 数据库连接被用于向数据库服务器发送命令和SQL语句,并接受数据库服务器返回的结果 其实一个数据库连接就是一个Socket连接 在java.sql包中有三个接口分别定义了对数据库的调用的不同方式: Statement: 用于执行静态SQL语句,并返回它所生成结果的对象 PreparedStatement: 预编译SQL语句并将SQL语句存储在此对象中,可以使用此对象多次高效的执行该语句 CallableStatement: 用于执行SQL存储过程 这个接口
java.sql.SQLException: !Statement.GeneratedKeysNotRequested!
浅瞳夜未的博客
07-01 913
            今天在做JDBC获得自动插入到数据库中内容的主键的时候,莫名报了这个错误:java.sql.SQLException: !Statement.GeneratedKeysNotRequested!  在Mysql的官网文档上查看了一下这个Bug的原因是因为,mysql-connector-java-5.1.7-bin.jar 不支持 getGeneratedKeys()这个...
PSQLException: 这个 statement 已经被关闭 解决办法
weixin_43616450的博客
11-05 4374
报错触发条件: 在进行正常的JDBC查询的时候,根据id查询多表信息并返回map集合,首先正常查询几次之后进行空值查询时报错,重启服务后正常,一旦查询报错以后每次正常查询都报错. 报错信息如下: { "code": 500, "msg": "Could not set parameters for mapping: ParameterMapping{property='applyi...
java statement执行sql语句
最新发布
06-28
Java语言中的statement可以用来执行SQL语句。它是一个接口,可以通过Connection对象的createStatement()方法来创建。执行SQL语句的方法有execute()、executeQuery()和executeUpdate(),分别用于执行查询语句、返回...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值