一.储备知识
sql注入:通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。
换句话,比如注册账号时,要求你输入用户名username,这个username很可能在提交的时候与sql语句拼接成了新的sql语句,导致原本的sql语句被覆盖,从而很可能导致程序崩溃或者用户的信息泄露了,这样很不安全
二.解决sql注入的策略
使用PreparedStatement对数据库进行操作,PreparedStatement是Statement的子类,可以防止sql注入,因为在执行sql之前会将sql语句中有特殊含义的符号进行转义(即预编译)。
三.使用PreparedStatement操作数据库的步骤
- 获取数据库的连接(使用数据库工具类封装的方法,可回顾Day1_JDBC——数据库连接的帮助工具类)
- 创建sql命令发送对象
- 执行sql命令并解析返回的结果
- 关闭资源
四.例子
@Test
public void test04() throws Exception {
//1.获取数据库连接
Connection conn = JDBCUtils.getConn();//JDBCUtils是自定义的类,封装了数据库连接和释放方法
String preSql = "select username from users "
+ "where username = ? and password = ?";
//2.创建sql命令发送对象
PreparedStatement ps = conn.prepareStatement(preSql);//要求必须提供一个sql语句进行预编译
//如果需要动态设置参数可用‘?’代替
ps.setString(0, "zhangsan");//给第一个占位符设置具体的参数
ps.setString(1, "123");//给第二个占位符设置具体的参数
//3.执行sql命令并解析返回结果
ps.executeQuery();
//4.关闭资源
JDBCUtils.closeConn(conn);
}