statement和preparedstatement的区别以及sql注入的预防

最新推荐文章于 2024-07-27 14:38:28 发布
最新推荐文章于 2024-07-27 14:38:28 发布
阅读量1.6k 收藏 2
点赞数
分类专栏: jdbc
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29924227/article/details/81046800
版权

Statement 和 PreparedStatement之间的关系和区别.
关系:PreparedStatement继承自Statement,都是接口
区别:PreparedStatement可以使用占位符,是预编译的,批处理比Statement效率高

恶义 SQL 语法

String sql = “select * from tb_name where name= ‘”+varname+”’ and passwd=’”+varpasswd+”’”;

如果我们把 [’ or ‘1’ = ‘1] 作为 varpasswd 传入进来 . 用户名随意 , 看看会成为什么 ?

select * from tb_name = ’ 随意 ’ and passwd = ” or ‘1’ = ‘1’;

因为 ‘1’=’1’ 肯定成立 , 所以可以任何通过验证 . 更有甚者 :

把 [‘;drop table tb_name;] 作为 varpasswd 传入进来 , 则 :

select * from tb_name = ’ 随意 ’ and passwd = ”;drop table tb_name; 有些数据库是不会让你成功的 , 但也有很多数据库就可以使这些语句得到执行 .

而如果你使用预编译语句 . 你传入的任何内容就不会和原来的语句发生任何匹配的关系 。

只要全使用预编译语句 , 你就用不着对传入的数据做任何过虑 。

而如果使用普通的 statement, 有可能要对 drop,; 等做费尽心机的判断和过虑 。

使用preparedstatement
如果你已经是稍有水平开发者,你就应该始终以PreparedStatement代替Statement.
以下是几点原因
1)、代码的可读性和可维护性.
2)、PreparedStatement尽最大可能提高性能.
3)、最重要的一点是极大地提高了安全性.

风吟_
关注
专栏目录
用PreparedStatement 预编译的 SQL 就不会有被 SQL 注入的风险?
数字化小李的博客
12-07 699
当我们说到关于持久层框架的功能,必然需要先想想这个功能的源头到底是不是直接通过数据库提供的。实际上和事务一样,SQL 预编译的功能也是需要数据库提供底层支持的。以 MySQL 为例,在 MySQL 中,所谓预编译其实是指先提交带占位符的 SQL 模板,然后为其指定一个 key,MySQL 先将其编译好,然后用户再拿着 key 和占位符对应的参数让 MySQL 去执行,用法有点像 python 中的 format 函数。一个标准的预编译 SQL 的用法如下:先通过 设置一个 SQL 模板,然后通过 提交参
Statement和PreparedStatement之间的区别
01-14
Statement和PreparedStatement之间的区别
【转】PreparedStatementStatement区别
bliuqing2009的博客
04-26 94
第一: 数据库在执行sql语句的时候如果使用PreparedStatement语句会有一点优势:因为数据库会preparedStatement 语句进行预编译,下次执行相同的sql语句时,数据库端不会再进行预编译了,而直接用数据库的缓冲区,提高数据访问的效率(但尽量尽量采用使用?号的方式传递参数),如果sql语句只执行一次,以后不再复用. 第二: 在...
Statement 和 PreparedStatement 详解
最新发布
yjp1240201821的博客
07-27 516
本节主要讲解Statement和preparedStatement,从其相关的定义,优缺点和区别等等帮助理解。
PreparedStatementStatement区别和联系
runfeel
04-03 257
1、关系 PreparedStatement继承Statement,他们属于父与子的关系。使用上来说Statement使用的地方都可以换成PreparedStatement。 2、安全性 Statement的直接执行SQL语句,无法防止SQL注入问题。PreparedStatement可以使用占位符,可以防止SQL注入问题。 这里举例说明: 使用Statement ...
Statement和PreparedStatement区别; 什么是SQL注入,怎么防止SQL注入
weixin_34268310的博客
04-04 218
http://www.cnblogs.com/RunForLove/p/4564224.html SQL注入攻防入门详解 转载于:https://www.cnblogs.com/xtdxs/p/6666010.html
浅析Statement和PreparedStatement区别
weixin_34218890的博客
02-16 662
当我们使用java程序来操作sql server时会使用到Statement和PreparedStatement,俩者都可以用于把sql语句从java程序中发送到指定数据库,并执行sql语句。那么如何进行一个较好的选择? 首先,我们来看俩者的区别Statement和PreparedStatement区别(1) 1、直接使用Statement,驱动程序一般不会对sql语句作...
JDBC介绍及编程流程&Statement与PreparedStatement对比&SQL注入攻击
weixin_44480874的博客
08-21 256
JDBC编程 JDBC简介: JDBC(Java Data Base Connection):Java数据库连接。是一种标准Java应用编程接口(Java API),将数据库和Java程序连接起来,是开发人员可以通过Java程序访问数据库。 常见的JDBC组件(JDBC开发中主要用到的类): DriverManager :这个类管理一系列数据库驱动程序。 匹配连接使用通信子协议从 JAVA 应用...
JDBC_PreparedStatement防止SQL注入问题详细介绍
weixin_50991263的博客
05-16 377
PreparedStatement 作用:1.提升SQL执行性能 2.预防SQL注入问题 SQL注入SQL注入是同过操作输入来修改实现定义好的SQL语句,用来达到执行代码对服务器进行攻击得方法 例如:PreparedStatement其实是Statement得子类,如...
有效防止SQL注入的5种方法总结
09-09
参数化查询是预防SQL注入最有效的方法之一。在Java中,可以使用PreparedStatement对象来执行预编译的SQL语句。预编译的SQL语句在执行前已被解析和优化,因此在执行阶段,输入的数据不会被解析为SQL代码,而是作为...
PreparedStatementstatement区别
xupt_rl的博客
07-21 5086
一、PreparedStatement概述    PreparedStatementstatement的子类,它的实例对象可以通过调用Connection.preparedStatement()方法来获得,相对于Statement对象,PreparedStatement可以防止SQL注入。   另外Statement会使得数据库频繁编译SQL,有可能会造成数据库缓冲区溢出。PreparedSta...
PreparedStatementStatement区别
ashleyjun的博客
09-05 4678
PreparedStatemen实例 String sql = "select * from t_user where username = ? and password = ?"; preparedStatement = connection.prepareStatement(sql); //preparedStatement = connection.prepareStatement("sel...
Statement 和 PreparedStatement 有什么区别
zy5757的博客
08-10 492
一、使用Statement而不是PreparedStatement对象 JDBC驱动的最佳化是基于使用的是什么功能. 选择PreparedStatement还是Statement取决于你要怎么使用它们. 对于只执行一次的SQL语句选择Statement是最好的. 相反, 如果SQL语句被多次执行选用PreparedStatement是最好的. PreparedStatement的第一次执行消耗
Statement和PreparedStatement区别SQL注入
在途中
07-01 1489
问题一:Statement和PreparedStatement区别  先来说说,什么是java中的StatementStatement是java执行数据库操作的一个重要方法,用于在已经建立数据库连接的基础上,向数据库发送要执行的SQL语句。具体步骤:  1.首先导入java.sql.*;这个包。  2.然后加载驱动,创建连接,得到Connection接口的的实现对象,比如对象名叫做conn。 ...
PreparedStatementStatement区别是什么
m0_46552684的博客
06-25 778
综上所述,PreparedStatementStatement在安全性、性能、灵活性和可重用性等方面存在显著差异。在选择使用哪个接口时,需要根据具体的应用场景和需求进行权衡。PreparedStatementStatement都是Java中用于执行SQL语句的接口,但它们之间存在显著的差异。
Statement和PreparedStatement有什么区别?哪个性能更好?
毛凡的博客
05-16 8616
Statement相比: ①PreparedStatement接口代表预编译的语句,它主要的优势在于可以减少SQL的编译错误并增加SQL的安全性(减少SQL注射攻击的可能性); ②PreparedStatement中的SQL语句是可以带参数的,避免了用字符串连接拼接SQL语句的麻烦和不安全; ③当批量处理SQL或频繁执行相同的查询时,PreparedStatement有明显的性能上的优势,
Statement 与 PreparedStatement区别
weixin_44371237的博客
02-08 336
Statement 和 PreparedStatement之间的关系和区别. 关系:PreparedStatement继承自Statement,都是接口 区别:PreparedStatement可以使用占位符,是预编译的,批处理比Statement效率高
Statement和PreparedStatement区别
chj97的专栏
04-08 490
根据网上资料总结如下: 1、在对数据库只执行一次性存取的时候,用Statement对象进行处理。因为PreparedStatement对象的开销比Statement大,对于一次性操作并不会带来额外的好处。 2Statement每次执行SQL语句,相关数据库都要执行SQL语句的编译, PreparedStatement是预编译的,对于批量处理可以大大提高效率. 也叫JDBC存储过程 Prepa
Java PreparedStatementStatement区别SQL注入防范
"Java编程语言中的PreparedStatementStatement是两种不同的SQL语句执行方式,它们在处理用户输入数据和防止SQL注入方面存在显著差异。本文将深入探讨这两种接口的特性和应用场景,以及为何PreparedStatement更适合...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值