PreparedStatement与Statement对比、sql语句的被注入问题

最新推荐文章于 2023-01-16 17:43:42 发布
最新推荐文章于 2023-01-16 17:43:42 发布
阅读量2.5k 收藏 6
点赞数 4
分类专栏: 数据库 文章标签: pstmt和stmt sql被注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34944851/article/details/53454385
版权

PreparedStatement vs Statment
一、语法不同:PreparedStatement可以使用预编译的sql,而Statement只能使用静态的sql。

二、效率不同: PreparedStatement可以使用sql缓存区,效率比Statement高。

三、安全性不同: PreparedStatement可以有效防止sql注入,而Statement不能防止sql注入。
通过案例对比来给大家讲解这一点:
1、Statement模拟用户登陆:

package sram.login;

import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.Statement;

import org.junit.Test;

import sram.util.jdbc.JdbcUtil;
/**
 * 模拟用户登录效果
 */
public class Demo1 {
    //模拟用户输入
    private String name = "zhangsan";
    private String password = "123";
    @Test
    public void testByStatement(){
        Connection conn = null;
        Statement stmt = null;
        ResultSet rs = null;
        try {
            //获取连接
            conn = JdbcUtil.getConnection();
            //创建Statment
            stmt = conn.createStatement();
            //准备sql
            //注意带参的sql语句的书写
            String sql = "SELECT * FROM admin WHERE userName='"+name+"' AND pwd='"+password+"'";
            System.out.println(sql);
            //执行sql
            rs = stmt.executeQuery(sql);
            if(rs.next()){
                //登录成功
                System.out.println("登录成功");
            }else{
                System.out.println("登录失败");
            }
        } catch (Exception e) {
            e.printStackTrace();
            throw new RuntimeException(e);
        } finally {
            JdbcUtil.close(conn, stmt,rs);
        }
    }
}

乍一看没什么问题啊,可以识别用户,判断是否登陆成功,但是接下来给大家介绍这样的一个情况:
1)首先引入这样一个概念:sql语句被注入

2)接下来我们稍稍修改下刚才的代码:

3)而PreparedStatement接口则不存在这种问题。

2、PreparedStatement模拟用户登陆:

package sram.login;

import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.Statement;

import org.junit.Test;

import sram.util.jdbc.JdbcUtil;
/**
 * 模拟用户登录效果
 */
public class Demo1{
    //模拟用户输入:SELECT * FROM admin WHERE userName='zhangsan' OR 1=1 -- 'AND pwd='123';
    private String name = "用户随意输入' OR 1=1 -- ";
    private String password = "密码任意";

    /**
     * Statment存在sql被注入的风险
     */
    //public void testByStatement(){}

    /**
     * PreparedStatement可以有效地防止sql被注入
     */
    @Test
    public void testByPreparedStatement(){
        Connection conn = null;
        PreparedStatement stmt = null;
        ResultSet rs = null;
        try {
            //获取连接
            conn = JdbcUtil.getConnection();
            String sql = "SELECT * FROM admin WHERE userName=? AND pwd=?";
            //预编译
            stmt = conn.prepareStatement(sql);
            //设置参数
            stmt.setString(1, name);
            stmt.setString(2, password);
            //执行sql
            rs = stmt.executeQuery();
            if(rs.next()){
                //登录成功
                System.out.println("登录成功");
            }else{
                System.out.println("登录失败");
            }
            System.out.println(sql);
            System.out.println(stmt);
            System.out.println(rs);

        } catch (Exception e) {
            e.printStackTrace();
            throw new RuntimeException(e);
        } finally {
            JdbcUtil.close(conn, stmt ,rs);
        }
    }
}

运行结果:

推荐使用PreparedStatement

CoolTomato_
关注
  • 4
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
浅析StatementSQL注入问题
slience_duya的博客
06-07 1752
浅析StatementSQL注入问题        Statement接口是java.sql包下的一个接口,是官方提供的用来操作数据库的标准接口之一。接口的实现一般在数据库驱动中。因为所有的与数据库之间的交互都是基于连接对象的,所以它也是由连接对象获取返回的。返回的Statement类对象可以理解为是Java执行SQL语句的对...
如何获得PreparedStatement最终执行的sql语句
03-24
一种可能的方法是通过日志配置,例如,启用MySQL的`Statement`和`PreparedStatement`日志,这样在执行时会打印出详细的SQL语句。 另外,开发工具如IntelliJ IDEA、Eclipse等,或者数据库管理工具如MySQL Workbench...
tatement和PreparedStatement之间的区别
hu_bj的专栏
02-12 358
转自:http://blog.sina.com.cn/s/blog_3e9d2b3501000a52.html 1.PreparedStatement是预编译的,对于批量处理可以大大提高效率. 也叫JDBC存储过程 2.使用 Statement 对象。在对数据库只执行一次性存取的时侯,用 Statement 对象进行处理。PreparedStatement 对象的开销比Statement...
PreparedStatement对比Statement
十五楼亮哥
01-08 1487
PreparedStatement是用来执行SQL查询语句的API之一,Java提供了 StatementPreparedStatement 和 CallableStatement三种方式来执行查询语句,其中 Statement 用于通用查询, PreparedStatement 用于执行参数化查询,而 CallableStatement则是用于存储过程。同时PreparedStatement
深入 理解 StatementPreparedStatement
zxzlzqqf的专栏
05-07 128
一、使用Statement而不是PreparedStatement对象 JDBC驱动的最佳化是基于使用的是什么功能. 选择PreparedStatement还是Statement取决于你要怎么使用它们. 对于只执行一次的SQL语句选择Statement是最好的. 相反, 如果SQL语句被多次执行选用PreparedStatement是最好的. PreparedStatement的第一次执行...
StatementPreparedStatement
木易三水良
06-03 418
Statement   StatementStatement是java执行数据库操作的一个重要方法,用于在已经建立数据库连接的基础上,向数据库发送要执行的SQL语句。具体步骤: 1.首先导入java.sql.*;这个包。 2.然后加载驱动,创建连接,得到Connection接口的的实现对象,比如对象名叫做conn。 3.然后再用conn对象去创建Statement的实例,方法是: Statement stmt = conn.creatStatement("SQL语句字符串");   Statement
Java使用Statement接口执行SQL语句操作实例分析
08-27
需要注意的是,Statement接口虽然简单易用,但它不支持预编译的SQL语句,因此容易受到SQL注入攻击。在处理用户输入时,推荐使用PreparedStatement接口,它可以提高安全性并提供更好的性能。 总结起来,Java中的...
利用JDBC的PrepareStatement打印真实SQL的方法详解
08-29
在Java的JDBC编程中,`PreparedStatement`是一个非常重要的接口,它提供了预编译的SQL语句功能,能够显著提高执行效率,尤其是在批量处理大量数据时。`PreparedStatement`也被称为JDBC存储过程,因为它允许开发者...
sql语句中用问号代替参数
08-02
SQL语句中,使用问号(`?`)作为参数占位符是一种常见的做法,尤其是在编程语言如Java中与数据库交互时。这种方式被称为预编译语句或参数化查询,它具有重要的安全性和性能优势。 ### SQL参数化查询的概念 参数化...
详解Java的JDBC中StatementPreparedStatement对象
09-03
总的来说,PreparedStatement在处理包含参数的SQL语句时更高效且安全,因为它减少了解析SQL的次数和避免了SQL注入问题。而Statement适合于执行不包含参数的简单SQL语句。在实际开发中,根据具体需求选择合适的接口...
StatementPreparedStatement的区别
宝塔镇河妖的专栏
04-05 802
大家都在使用statement
StatementPreparedStatement执行SQL
God's blog
06-02 2980
StatementPreparedStatement执行SQL
Statement注入问题浅谈
Stan的专栏
03-22 366
前天有人问我说,我知道用Statement可能会产生注入问题,但是啥是注入问题?其实我知道他了解过,但是现在忘记了….. 谁说不是呢,我也是有些遗忘了,我就知道如果在sql语句后直接拼接条件,是可能产生注入问题 ,当然了如果你设置的条件是你想要,肯定不会出现注入问题的 话不多说,既然说到了注入问题,就去看看这个传说中的“注入问题”…. 先让问题暴露出来,看下面的代码: 现在是这样,假设现...
java攻城狮之路--复习JDBC(PrepareStatement)
weixin_33853794的博客
08-24 169
PreparedStatement: 1、可以通过调用 Connection 对象的 preparedStatement() 方法获取 PreparedStatement 对象 2、PreparedStatement 接口是 Statement 的子接口,它表示一条预编译过的 SQL 语句 2、PreparedStatement 对象所代表的 SQL 语句中的参数用问号(?)来表示, ...
JDBC PreparedStatement解决SQL注入问题
ZikM的博客
06-03 192
PreparedStatement解决SQL注入问题 package com.atguigu2.statement.crud; import java.lang.reflect.Field; import java.sql.Connection; import java.sql.PreparedStatement; import java.sql.ResultSet; import java.sql.ResultSetMetaData; import java.util.ArrayList; import
Statement注入PreparedStatement
ooiio的博客
01-16 55
Statement注入PreparedStatement(预编译提高性能,防止注入),图3忘加上释放。
关于StatementPreparedStatement还有SQL注入
努力努力再努力
07-03 196
Statement String passWord="1' OR '1'='1"; String strSQL = "SELECT * FROM users WHERE name = '张三' and pw = '"+ passWord +"'"; 该SQL语句变成 SELECT * FROM users WHERE name = '张三' and pw = '1' OR '1'='1' ...
PreparedStatement防止sql注入
weixin_43896829的博客
02-19 171
一、使用Statement为什么会有sql注入危险 1.创建Statement对象 import java.sql.DriverManager; import java.sql.Connection; import java.sql.Statement; public class Mysql { public static void main(String[] args) { try ...
jdbc中Statement接口的sql注入
programmer_trip的博客
05-25 252
jdbc中Statement接口的sql注入 代码实践 下面用最原始的jdbc连接代码演示一下 -- 环境 -- musql 8.0.12 -- jdbc jar包 mysql-connector-java-8.0.19.jar --第一步 使用navicate创建数据库和表 -- 创建数据库 create database my_first; -- 创建表 create table temp_user( u_id int primary key auto_increment, u_name var
使用statementpreparedStatement执行sql语句的代码示例
最新发布
03-25
以下是使用StatementPreparedStatement执行SQL语句的代码示例: 1. 使用Statement执行SQL语句[^1]: ```java import java.sql.*; public class StatementExample { public static void main(String[] args) { ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值