为什么要使用PreparedStatement并且其能防止sql注入

最新推荐文章于 2024-09-16 22:16:18 发布
最新推荐文章于 2024-09-16 22:16:18 发布
阅读量1.1k 收藏 1
点赞数 1
分类专栏: Java核心编程 数据库 文章标签: java mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44787816/article/details/119616988
版权
本文探讨了PreparedStatement与Statement在执行效率、代码可读性和安全性上的差异。PreparedStatement通过预编译提供更高的效率,同时增强代码可读性,使用占位符避免SQL注入问题。文章通过案例说明了PreparedStatement如何防止SQL注入,强调了其在防止安全风险上的优势。
摘要由CSDN通过智能技术生成

1,执行效率:Statement 采取直接编译 SQL 语句的方式,扔给数据库去执行,而 PreparedStatement 则先将 SQL 语句预编译一遍,再填充参数,这样效率会高一些。JDK 文档说:SQL 语句被预编译并且存储在 PreparedStatement 对象中,其后可以使用该对象高效地多次执行该语句。

2,代码可读性:Statement 中 SQL 语句中需要 Java 中的变量,加就得进行字符串的运算,还需要考虑一些引号、单引号的问题,参数变量越多,代码就越难看,而且会被单引号、双引号搞疯掉;而 PreparedStatement,则不需要这样,参数可以采用“?”占位符代替,接下来再进行参数的填充,这样利于代码的可读性,并且符合面向对象的思想。

3,安全性:Statement 由于可能需要采取字符串与变量的拼接,很容易进行 SQL 注入攻击,而 PreparedStatement 由于是预
编译,再填充参数的,不存在 SQL 注入问题。

案例解释

使用preparedStatement之后sql

select username,age,sex from user where name = ? ;

注意:相关框架例如mybatis会对其预编译,并且缓存起来。

接着 我们就可以往 “?”填值了。

例如:name = "张三; drop table user;"

最终sql语句变成这样:
select username,age,sex from user where name = '张三; drop table user;';

这样实际就是比较name是否 = 张三; drop table user; 防止sql注入。

如果使用statement就是直接拼接sql,就产生sql注入了,而且每次获取statement会进行编译一次,效率低。

白鸽呀
关注
专栏目录
Hibernate使用防止SQL注入的几种方案
01-20
- 使用预编译的PreparedStatement,即使在没有使用Hibernate的情况下,这也是防止SQL注入的推荐方式。 - 对用户输入进行验证和清理,限制输入长度,禁止特定字符,如单引号、分号等。 - 使用最新的数据库驱动和...
SQL注入原理以及Spring Boot如何防止SQL注入(含详细示例代码)
12-29
SQL注入是一种严重的安全威胁,它允许攻击者通过在应用程序的输入字段中插入恶意SQL代码来执行未经授权的数据库...Spring Boot通过提供JdbcTemplate和Spring Data JPA等工具,为开发者提供了防止SQL注入的有效手段。
为什么说 PreparedStatement 可以防止 sql 注入
艾斯比
03-18 687
先介绍下概念 sql 注入 sql 注入: 本来是作为 sql 的某个字段值, 却变成了单独的 sql 语句被执行. 有极大的安全风险. -- # 本来是传入 name 字符串 select * from t_person where name = ? # 结果我们传入 ''; truncate table t_person2; 就会变成如下, 导致 t_person2 表被清空 # 这就是 sql 注入, 有极大安全风险 select * from t_person where name =
为什么使用PDO的预处理语句可以有效地防止SQL注入攻击?底层原理是什么?
最新发布
长风破浪会有时的博客
09-16 546
使用PDO的预处理语句可以有效地防止SQL注入攻击,这是因为预处理语句采用了参数化查询的技术,将数据与SQL语句分离处理。通过参数化查询、类型安全检查、转义处理以及执行与编译分离等机制,PDO确保了用户提供的数据不会被解释为SQL代码的一部分,从而有效地避免了SQL注入的风险。此外,预处理语句还带来了性能提升、代码清晰度和减少错误等额外的好处。
为什么preparestatement能够防止sql注入
weixin_33701564的博客
04-10 695
2019独角兽企业重金招聘Python工程师标准>>> ...
PreparedStatement可以防止sql注入的原因
u011649691的博客
10-15 5579
之前没深究这个问题,看其他人的回答,总结原因有: 1、PreparedStatement是预编译的 2、PreparedStatement参数不是简单拼接生成sql,而是先用?占位,之后再根据参数产生sql 但是上述原因都禁不起深究,毕竟不论是PreparedStatement还是Statement不都是最终传sql进数据库么?以上两个原因都无法避免sql注入。 深究一下,特别是查看网页 http...
PreparedStatement防止sql注入的原理
m0_53328194的博客
05-27 1507
Class.forName(com.mysql.jdbc.Driver); Connection con = DriverManager.getConnection("jdbc:mysql://...."); Statement st = con.CreateStatement(); String id = "03"; String sq = "delete from table1 where id="+id; st.execute(sq); 上面这段代码的本意是要删除id=03的记录,但是如果有人将id
mybatis防止SQL注入的方法实例详解
08-27
为什么 SQL 注入攻击存在 SQL 注入攻击存在的原因是因为开发人员没有遵循编程规范。例如,使用字符串拼接构建 SQL 语句时,直接将用户输入的数据拼接到 SQL 语句中。这使得攻击者可以通过构造特殊的输入来 Inject...
有效防止SQL注入的5种方法总结
09-09
以下是对防止SQL注入的五种方法的详细说明: 1. 使用参数化查询(PreparedStatement) 参数化查询是预防SQL注入最有效的方法之一。在Java中,可以使用PreparedStatement对象来执行预编译的SQL语句。预编译的SQL...
Mybatis防止sql注入的实例
08-30
Mybatis框架作为一款半自动化的持久层框架,其sql语句都要我们自己来手动编写,这个时候当然需要防止sql注入防止sql注入的方法有很多,例如将sql语句全部替换为存储过程的方式,但这种方式可能不太适合平时开发中...
为何JDBC中的prepareStatement可以防止SQL注入
qq_43872529的博客
07-01 858
首先介绍一下SQL注入 SQL注入可以理解为通过添加恶意字段使得程序传入的SQL语句的语义发生改变,例如在登录账号并输入用户名之后添加注释符,使得后续的SQL语句失效,无需验证密码就可以进入系统;又或者在查询数据时添加or '1'='1'语句,可以获取数据库中的所有信息。 1、那么为何会出现这种情况呢? 这种情况主要是因为查找功能采用的是字符串拼接方法,使得前台传入的参数直接拼接到SQL语句中,然后通过statement直接执行该SQL语句,即使存在恶意字段,它也无法检测出来。 //字符串拼接方法 pu.
preparedstatement 为什么可以防止sql注入
aochuo2007的博客
04-05 166
有大神总结的很好,,参考文献 http://www.importnew.com/5006.html preparedstatement优势:sql的预编译(数据库层面完成)提升效率. 为什么可以防止sql注入:总的来说就是占位符替换,也由此引发了in查询的占位问题, 所以面试的时候比人问你为什么,可以说出in查询的问题,别人应该能够够懂你为什么可以防止sql注入, 解决in查询...
java中预处理PrepareStatement为什么能起到防止SQL注入的作用?
sinat_36810495的博客
09-26 486
大家都知道,java中JDBC中,有个预处理功能,这个功能一大优势就是能提高执行速度尤其是多次操作数据库的情况,再一个优势就是预防SQL注入,严格的说,应该是预防绝大多数的SQL注入。 用法就是如下边所示: String sql="update cz_zj_directpayment dp"+ "set dp.projectid = ? where dp.payid= ?";...
为什么PrepareStatement可以防止sql注入
liu1324457514的博客
01-14 2725
为什么Statement会被sql注入 因为Statement之所以会被sql注入是因为SQL语句结构发生了变化。比如: "select*from tablename where username='"+uesrname+ "'and password='"+password+"'"在用户输入’or true or’之后sql语句结构改变。select*from tablename where
PreparedStatement 防止 SQL 注入原理
Acx7的博客
12-10 2673
前言   PreparedStatement 对象可以防止 SQL 注入,而 Statement 对象不能防止 SQL 注入,接下来使用一个案例剖析原理。 原理 使用如下代码模拟 SQL 注入 总结   由最终执行的 SQL 可以看出,PreparedStatement 防止 SQL 注入的原理就是把用户非法输入的单引号进行转义,最终传入参数作为一个整体执行,从而防止 SQL 注入,而 Statement 对象不会进行此操作。   PreparedStatement 可以有效防止 SQL 注入,你
为什么要使用PreparedStatement
Test_LD的专栏
02-14 868
1.预编译 2.防止恶意sql参数注入 参考:http://www.cnblogs.com/raymond19840709/archive/2008/05/12/1192948.html
为什么使用preparedstatement
做你自己,即你存在的意义
05-29 1484
一直都不是蛮清楚这二者的区别联系,今天就开一贴来详细的分析一下主要是从可读性,性能和效率上面来加以分析在可读性方面来说://Statement编写语句方法: stmt.executeUpdate("insert into tb_name (col1,col2,col2,col4) values ('"+var1+"','"+var2+"',"+var3+",'"+var4+"')");//Pr
为什么使用preparedStatement
lingtouyang的博客
01-11 576
preparedStatementStatement的优点 PreparedStatement是用来执行SQL查询语句的API之一,Java提供了 Statement、PreparedStatement 和 CallableStatement三种方式来执行查询语句,其中 Statement 用于通用查询, PreparedStatement 用于执行参数化查询,而 CallableStatem...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

白鸽呀

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值