为什么要使用PreparedStatement并且其能防止sql注入

最新推荐文章于 2023-09-05 14:49:47 发布
最新推荐文章于 2023-09-05 14:49:47 发布
阅读量1k 收藏 1
点赞数 1
分类专栏: Mysql数据库 Java核心编程 文章标签: java mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44787816/article/details/119616988
版权

1,执行效率:Statement 采取直接编译 SQL 语句的方式,扔给数据库去执行,而 PreparedStatement 则先将 SQL 语句预编译一遍,再填充参数,这样效率会高一些。JDK 文档说:SQL 语句被预编译并且存储在 PreparedStatement 对象中,其后可以使用该对象高效地多次执行该语句。

2,代码可读性:Statement 中 SQL 语句中需要 Java 中的变量,加就得进行字符串的运算,还需要考虑一些引号、单引号的问题,参数变量越多,代码就越难看,而且会被单引号、双引号搞疯掉;而 PreparedStatement,则不需要这样,参数可以采用“?”占位符代替,接下来再进行参数的填充,这样利于代码的可读性,并且符合面向对象的思想。

3,安全性:Statement 由于可能需要采取字符串与变量的拼接,很容易进行 SQL 注入攻击,而 PreparedStatement 由于是预
编译,再填充参数的,不存在 SQL 注入问题。

案例解释

使用preparedStatement之后sql

select username,age,sex from user where name = ? ;

注意:相关框架例如mybatis会对其预编译,并且缓存起来。

接着 我们就可以往 “?”填值了。

例如:name = "张三; drop table user;"

最终sql语句变成这样:
select username,age,sex from user where name = '张三; drop table user;';

这样实际就是比较name是否 = 张三; drop table user; 防止sql注入。

如果使用statement就是直接拼接sql,就产生sql注入了,而且每次获取statement会进行编译一次,效率低。

白鸽呀
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
使用PreparedStatement访问数据库
12-14
java.sql.PreparedStatement接口。PrepareStatement接口继承Statement接口。   PrepatredStatement实例包含已编译的SQL语句,由于PreparedStatement对象已预编译过哦哦,所以执行速度快于Statement对象。   包含于PreparedStatement对象中的SQL语句具有一个或多个IN参数。IN参数的值在SQL语句创建时未被指定。该语句为每一个IN参数保留一个问号(“?”)作为占位符。每个问号的值必须在语句执行之前,通过适当的Setxxx方法提供。   代码如下: public void add(Bo
如何防止SQL注入.pdf
最新发布
04-02
防止SQL注入主要依赖于以下几种方法: 1. 使用参数化查询(预编译语句) 参数化查询是防止SQL注入的最有效手段之一。通过使用预编译语句(例如,在Java使用PreparedStatement),可以确保用户输入被当作参数处理,而不是SQL语句的一部分。 2. 检验和清洗用户输入 对用户输入进行验证,确保它符合预期的格式。例如,如果你期待一个整数,确保输入是一个整数。对于字符串,移除或转义可能会引起SQL注入的特殊字符。 3. 使用ORM框架 4. 限制数据库权限 5. 使用存储过程 6. 适当使用Web应用防火墙 7. 避免详细的错误信息
如何获得PreparedStatement最终执行的sql语句
03-24
NULL 博文链接:https://huiminchen.iteye.com/blog/1097332
PreparedStatement 为什么能够防止注入式攻击
IrvingW的博客
04-07 1902
其实是预编译功能,用preparedstatement就会把sql的结构给数据库预编译。SQL注入 攻 击 是利用是指利用 设计 上的漏洞,在目 标 服 务 器上运行 Sql语 句以及 进 行其他方式的 攻 击 , 动态 生成 Sql语 句 时 没有 对 用 户输 入的数据 进 行 验证 是 Sql注入 攻 击 得逞的主要原因。 对 于 JDBC而言, SQL注入 攻 击 只 对 Statem
JDBC学习笔记(4)——PreparedStatement使用
weixin_34232363的博客
05-04 817
PreparedStatement public interface PreparedStatement extends Statement;可以看到PreparedStatementStatement的子接口,我们在执行查询或者更新数据表数据的时候,拼写SQL语句是一个很费力并且容易出错的事情,PreparedStatement可以简化这样的一个过程. PreParedStatement1...
PreparedStatement防止sql注入的原理
m0_53328194的博客
05-27 1447
Class.forName(com.mysql.jdbc.Driver); Connection con = DriverManager.getConnection("jdbc:mysql://...."); Statement st = con.CreateStatement(); String id = "03"; String sq = "delete from table1 where id="+id; st.execute(sq); 上面这段代码的本意是要删除id=03的记录,但是如果有人将id
PreparedStatement 防止 SQL 注入原理
Acx7的博客
12-10 2513
前言   PreparedStatement 对象可以防止 SQL 注入,而 Statement 对象不能防止 SQL 注入,接下来使用一个案例剖析原理。 原理 使用如下代码模拟 SQL 注入 总结   由最终执行的 SQL 可以看出,PreparedStatement 防止 SQL 注入的原理就是把用户非法输入的单引号进行转义,最终传入参数作为一个整体执行,从而防止 SQL 注入,而 Statement 对象不会进行此操作。   PreparedStatement 可以有效防止 SQL 注入,你
PreparedStatement可以防止sql注入的原因
u011649691的博客
10-15 5534
之前没深究这个问题,看其他人的回答,总结原因有: 1、PreparedStatement是预编译的 2、PreparedStatement参数不是简单拼接生成sql,而是先用?占位,之后再根据参数产生sql 但是上述原因都禁不起深究,毕竟不论是PreparedStatement还是Statement不都是最终传sql进数据库么?以上两个原因都无法避免sql注入。 深究一下,特别是查看网页 http...
为什么preparestatement能够防止sql注入
weixin_33701564的博客
04-10 623
2019独角兽企业重金招聘Python工程师标准>>> ...
为啥预编译SQL能够防止SQL注入
ma_nong33的博客
03-04 1258
回顾一下全文,当我们说“预编译”的时候,其实这个功能来自于数据库的支持,它的原理是先编译带有占位符的 SQL 模板,然后在传入参数让数据库自动替换 SQL 中占位符并执行,在这个过程中,由于预编译好的 SQL 模板本身语法已经定死,因此后续所有参数都会被视为不可执行的非 SQL 片段被转义,因此能够防止 SQL 注入。作为条件的字段有哪些?在默认情况下是假的“预编译”,它只不过在设置参数的时候帮我们对参数做了一下转义,但是最后发送到数据库的依然是普通的 SQL,而不是按预编译 SQL 的方式去执行。
JSP中的PreparedStatement对象操作数据库的使用教程
10-22
主要介绍了JSP中的PreparedStatement对象操作数据库的使用教程,文中举了一些使用PreparedStatement预处理语句对象进行MySQL增删查改的例子,需要的朋友可以参考下
Java使用PreparedStatement接口及ResultSet结果集的方法示例
08-27
主要介绍了Java使用PreparedStatement接口及ResultSet结果集的方法,结合实例形式分析了PreparedStatement接口及ResultSet结果集的相关使用方法与操作注意事项,需要的朋友可以参考下
009、PreparedStatement接口---解决SQL注入问题(输入特殊字符能登录)
l0510402015的博客
03-07 751
该对象有Connection对象的方法prepareStatement(String sql) 返回 一、PreparedStatement:执行sql的对象 1.SQL注入问题:在拼接sql时,有一些sql的特殊关键字参与字符串的拼接。会造成安全性问题 1.输入用户随便,输入密码:a' or 'a' = 'a 2.sql:...
JDBC用PrepareStatement解决SQL注入
qq_46534049的博客
01-31 2085
setXxx()方法有两个参数,第一个参数是要设置的SQL语句中的参数的索引(从1开始),第二个是设置的SQL语句中的参数的值。SQL注入(SQL injection)是因为应用程序在执行SQL语句的时候没有正确的处理用户输入字符串,将用户输入的恶意字符串拼接到了SQL语句中执行,从而导致了SQL注入。这个代码中1=1永远都是对的,#后面的成了注释,所以这条语句会将表中所有的数据查询出来,然后再做数据判断的时候,就会得到正确结果,从而说用户名和密码正确,登录成功。这是查询一条数据的运行结果。
安全攻防六:SQL注入,明明设置了强密码,为什么还会被别人登录
运维大湿兄的博客
04-11 1282
在正文之前,让我们先来看一个案例。某天,当你在查看应用的管理后台时,发现有很多异常的操作。接着,你很快反应过来了,这应该是黑客成功登录了管理员账户。于是,你立刻找到管理员,责问他是不是设置了弱密码。管理员很无辜地表示,自己的密码非常复杂,不可能泄漏,但是为了安全起见,他还是立即修改了当前的密码。奇怪的是,第二天,黑客还是能够继续登录管理员账号。问题来了,黑客究竟是怎么做到的呢?你觉得这里面的问题究...
PreparedStatement对象解决SQL注入问题----个人学习记录
m0_59771750的博客
09-29 1386
PreparedStatement对象解决sql注入问题
【JDBC】解决SQL注入问题以及Statement和PreparedStatement对比
为技术发烧而生
09-05 162
只要用户提供的信息不参与sql语句的编译过程,问题就解决了。即使用户提供的信息中含有sql语句的关键字,但是没有参与编译,不起作用。用户输入的信息中包含有sql语句的关键字,并且这些关键字参与sql语句的编译过程,导致sql语句的原意被扭曲,进而达到sql注入。PreparedStatement是先对sql语句进行预编译,然后再传入变量值,预编译中的待传参数部分用?
java中预处理PrepareStatement为什么能起到防止SQL注入的作用?
sinat_36810495的博客
09-26 437
大家都知道,java中JDBC中,有个预处理功能,这个功能一大优势就是能提高执行速度尤其是多次操作数据库的情况,再一个优势就是预防SQL注入,严格的说,应该是预防绝大多数的SQL注入。 用法就是如下边所示: String sql="update cz_zj_directpayment dp"+ "set dp.projectid = ? where dp.payid= ?";...
Mysql中的回表查询
白鸽
08-02 4096
基础知识 Mysql中的B-Tree和B+Tree原理解析 MySQL MyISAM和Innodb索引实现原理分析 什么是回表查询 注意:mysql默认使用的innodb引擎,主键索引 == 聚集索引,辅助索引 == 普通索引。 这两个术语呢,可能在不同文章说法不同,但本质一样 回表查询,实际查询两次,通过辅助索引(普通索引)实现的。因为辅助索引叶子节点不存放记录数据,只存放普通值和对应记录主键值 例如: 表t中有四条记录: 1, shenjian, m, A 3, zhangsan, m, A 5,
preparedstatement防止sql
03-16
注入攻击的原理是什么? SQL注入攻击是指攻击者通过在Web应用程序中注入恶意的SQL语句,从而实现对数据库进行非法操作的一种攻击方式。攻击者通过在输入框中输入特定的字符,使得应用程序将这些字符作为SQL语句的一部分执行,从而达到控制数据库的目的。 PreparedStatement如何防止SQL注入攻击? PreparedStatement是一种预编译的SQL语句,它可以在执行之前将SQL语句和参数分离开来,从而避免了SQL注入攻击。PreparedStatement使用占位符(?)来代替SQL语句中的参数,然后通过setXXX()方法来设置占位符的值,最后执行SQL语句。由于参数和SQL语句是分离的,攻击者无法通过输入特定的字符来改变SQL语句的结构,从而避免了SQL注入攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

白鸽呀

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值