PreparedStatement

最新推荐文章于 2024-06-01 19:36:39 发布
最新推荐文章于 2024-06-01 19:36:39 发布
阅读量322 收藏
点赞数
分类专栏: 数据库基础 文章标签: mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51049931/article/details/117733855
版权

        在之前的增删改查的操作中,使用的是Statement传输器对象,而在开发中我们用的更多的传输器对象是PreparedStatement对,PreparedStatement是Statement的子接口,比Statement更加安全,并且能够提高程序执行的效率。

例如:用户登录的操作

1.准备工作

(1)准备数据库

drop database if exists login;

create database login charset utf8;

use login;

create table user

(

id int primary key auto_increment,

username varchar(50),

password varchar(50)

);

insert into user values(null,'鲁班','123');

insert into user values(null,'妲己','234');

insert into user values(null,'王昭君','456');

insert into user values(null,'兰陵王','654');

insert into user values(null,'张三','123');

insert into user values(null,'李四','234');

用Windows+R打开cmd窗口,创建数据库有关信息:

进入数据库:

将准备好的数据库复制粘贴进去:

用以下语句查询login数据库是否插入成功:

Show Databases;

利用use语句来切换数据库:

Use login;

用以下语句查看创建的表:

show tables;

然后用describe语句查看我们创建好的user表的属性:

describe user;

最后用以下语句查看user表中插入的内容:

select * from user;

这样,数据库就已经准备好了!

(2)准备Java

打开Eclipse创建一个Java项目LoginTest,在项目里面创建一个lib文件夹用户来放.jar包,并buid path,如图:        

在创建好的LoginTest项目里面创建俩个类:工具类(JdbcUtil.java)、登陆类(LoginUser.java)

 

 

 

 

 

具体实现代码如下:

(1)JdbcUtil.java类

package com.myself.util;

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;

/**
 * 
 * jdbc工具类
 *
 */
public class JdbcUtil {
	/**
	 * 注册驱动并获取连接对象
	 * @return conn连接对象
	 */
	public static Connection getConn() {
		try {
			//注册驱动并获取连接
			Class.forName("com.mysql.jdbc.Driver");
			Connection conn = DriverManager.getConnection(
					"jdbc:mysql://localhost:3306/login?characterEncoding=utf-8",
					"root","123456"
					);
			//将连接器返回
			return conn;
		} catch (Exception e) {
			e.printStackTrace();
		}
		return null;
	}
	/**
	 * 释放jdbc程序中的资源
	 * @param conn 连接对象
	 * @param stat 传输器对象
	 * @param rs 结果集对象
	 */
	public static void close(Connection conn,Statement stat,ResultSet rs) {
		if (rs != null) {
			try {
				rs.close();
			} catch (SQLException e) {
				
				e.printStackTrace();
			}finally {
				rs = null;
			}
		}
		if (stat != null) {
			try {
				stat.close();
			} catch (SQLException e) {
				
				e.printStackTrace();
			}finally {
				stat = null;
			}
		}
		if (conn != null) {
			try {
				conn.close();
			} catch (SQLException e) {
				
				e.printStackTrace();
			}finally {
				conn = null;
			}
		}
		
	}
}

(2)LoginUser.java类

package com.myself.login;

import java.sql.Connection;
import java.sql.ResultSet;
import java.sql.Statement;
import java.util.Scanner;

import com.myself.util.JdbcUtil;


/**
 * 用户登录
 *
 */
public class LoginUser {
	public static void main(String[] args) {
		Scanner sc = new Scanner(System.in);
		//1.提示用户登录
		System.out.println("请登录:");
		//2.提示用户输入用户名并接收用户名
		System.out.println("请输入用户名:");
		String user = sc.nextLine();
		//3.提示用户输入密码并接收密码
		System.out.println("请输入密码:");
		String pwd = sc.nextLine();
		//4.调用login方法实现登录
		login(user,pwd);
	}
/**
 * 根据用户名和密码查询user表,
 * 如果能够查询到表中数据,那么登录成功;
 * 如果不能查询到表中数据,那么登录失败。
 * @param user 用户名
 * @param pwd 密码
 */
	private static void login(String user, String pwd) {
		//1.先声明连接并导入java.sql包
		Connection conn = null;
		Statement stat = null;
		ResultSet rs = null;
		//2.抛异常try{}catch(){}
		try {
			//注册驱动并获取连接
			conn = JdbcUtil.getConn();
			//获取传输器并发送SQL语句到服务器执行,返回结果集
			stat = conn.createStatement();
			String sql = "select * from user where username='"+user+"' and password='"+pwd+"'";
			rs = stat.executeQuery(sql);
			//处理结果
			if (rs.next()) {
				//返回true时
				System.out.println("登录成功!");
			}else {
				//返回false时
				System.out.println("登录失败!");
			}
		} catch (Exception e) {
			e.printStackTrace();
		}finally {
			JdbcUtil.close(conn, stat, rs);
		}
	}
}

写好代码之后,开始运行:回到LoginUser.java,鼠标右键Run As,选中Java Application

 

 

 

 

运行结果如下:

 

 

 

输入数据库里面的内容测试:登录成功!

 

 

 

输入不属于数据库里面的内容测试:登陆失败!

 

 

 

 

问题来了,如何用PreparedStatement代替Statement???,我们可以测试一下:打印sql以语句,如图所示:

 

 

然后右键Run As执行第一次:

请输入用户名:

鲁班'#'

请输入密码:

 

select * from user where username='鲁班'#'' and password=''

恭喜您登录成功!

右键执行第二次:

请输入用户名:

鲁班' or '2=2

请输入密码:

 

select * from user where username='鲁班' or '2=2' and password=''

恭喜您登录成功!

 

右键执行第三次:

请输入用户名:

 

请输入密码:

' or '2=2

select * from user where username='' and password='' or '2=2'

恭喜您登录成功!

通过以上的测试会发现,即使用户名或者密码不输入、用户名或密码为空,结果显示的都是登录成功,为什么呢?我们想要的结果是这样的么?

分析:

(a)select * from user where username='鲁班'#'' and password='',这个语句仔细看会发现一个问题,显示出来跟我们代码里面的SQL语句不一样。是因为在这句SQL语句里,'#'代表的是注释。'#'后面的内容都被注释掉,不会被显示出来,只要满足select * from user where username='鲁班',这个语句是对的,那么就被默认是正确的。SQL语句被篡改

(b)select * from user where username='鲁班' or '2=2' and password=' ',这个语句在SQL语句里面分成俩个部分来看,先执行and语句:'2=2' and password=' ',这个语句的结果是false,然后再执行or语句,就会发现,or前半部分是true,后半部分是false,所以结果还是true。SQL语句被篡改

(c)or语句只要满足一个条件是真的,整个语句就是真的,所以第三个也同理。SQL语句被篡改

所以,这三个语句虽然输入的不一样,但是所造成的结果是一样的,都造成了SQL语句被篡改。

这种是以前的常见的SQL注入攻击,所以要怎么防止呢?

首先,要了解SQL注入攻击产生的原因:

      SQL注入攻击: 是由于后台的SQL语句是拼接而来的, 其中的参数是用户提交过来:

String sql = "select * from user where username='"+user+"' and password='"+pwd+"'";

常用的俩种解决办法:

(1)使用正则表达式对用户提交的参数进行校验。

比如:对用户输入的密码,用户名检查一下有没有一些特殊的符号(空格,#......)

(2)使用PreparedStatement对象来替代Statement对象。

所以,我们使用的是第二种方式解决问题:使用PreparedStatement来代替Statement作为传输器对象使用:

a.将LoginUser.java复制一份在com.myself.login包中,复制的类名叫做LoginUser2.java

 

 

 

 

b.需要修改一些内容,

 

 

 

 

 

修改后的代码示例:

package com.myself.login;

import java.sql.Connection;
import java.sql.ResultSet;
import java.sql.Statement;
import java.util.Scanner;

import com.myself.util.JdbcUtil;
import java.sql.PreparedStatement;


/**
 * 用户登录
 *
 */
public class LoginUser2 {
	public static void main(String[] args) {
		Scanner sc = new Scanner(System.in);
		//1.提示用户登录
		System.out.println("请登录:");
		//2.提示用户输入用户名并接收用户名
		System.out.println("请输入用户名:");
		String user = sc.nextLine();
		//3.提示用户输入密码并接收密码
		System.out.println("请输入密码:");
		String pwd = sc.nextLine();
		//4.调用login方法实现登录
		login(user,pwd);
	}
/**
 * 根据用户名和密码查询user表,
 * 如果能够查询到表中数据,那么登录成功;
 * 如果不能查询到表中数据,那么登录失败。
 * @param user 用户名
 * @param pwd 密码
 */
	private static void login(String user, String pwd) {
		//1.先声明连接并导入java.sql包
		Connection conn = null;
		PreparedStatement ps = null;
		ResultSet rs = null;
		//2.抛异常try{}catch(){}
		try {
			//注册驱动并获取连接
			conn = JdbcUtil.getConn();
			//获取传输器并发送SQL语句到服务器执行,返回结果集
			String sql = "select * from user where username=? and password=?";
			ps = conn.prepareStatement(sql);
			//设置SQL参数
            /**
			 *有几个问号就设置几个参数,没有问号就不需要设置参数
			 */
			ps.setString(1, user);
			ps.setString(2, pwd);
			//执行SQL语句
			ps.executeQuery();
			
			//处理结果
			if (rs.next()) {
				//返回true时
				System.out.println("登录成功!");
			}else {
				//返回false时
				System.out.println("登录失败!");
			}
		} catch (Exception e) {
			e.printStackTrace();
		}finally {
			JdbcUtil.close(conn, ps, rs);
		}
	}
}

 

再次执行程序,按照上面的操作登录。

已经成功的防止了SQL注入攻击问题了。

使用PreparedStatement对象可以防止SQL注入攻击,而且通过方法设置参数更加的方便且不易出错!还可以从某些方面提高程序执行的效率!

 

 

 

 

 

 

 

两条咸鱼儿
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
PreparedStatement接口
08-06
NULL 博文链接:https://chaoyi.iteye.com/blog/2088080
Java PHP 查询数据库,使用PHP中的SHOW TABLES Query结果从MYSQL数据库表中回显字段数据...
weixin_33752006的博客
03-19 216
我有一个PHP脚本,它在数据库中创建一个新表,预先 Build 字段:id,firstName,lastName和其他一些 . 表名由URL中的firstName和lastName的$ _GET确定 .因此, url.com/script.php?fn=Bob&ln=Smith 产生表名BobSmith .提交创建表的脚本时,页面将刷新,并且可以使用其他脚本将值插入表中 .我要做的是创建一...
JDBC中PreparedStatement详解及应用场景介绍
weixin_62079735的博客
03-20 6390
在Java中,当需要向数据库中执行SQL语句并传递参数时,我们通常会使用PreparedStatement接口。PreparedStatement继承自Statement接口,用于预编译SQL语句并执行参数化查询,这样可以提高执行效率并防止SQL注入攻击。
JDBC中PreparedStatement对象详解(认真看完包学会)
最新发布
2301_79858914的博客
06-01 918
一种SQL语句的预编译版本。与Statement预编译:SQL语句在创建对象时被预编译,随后可以多次执行该语句,而无需重新编译。防止SQL注入:通过将参数传递给SQL语句,可以有效防止SQL注入攻击。性能提升:由于SQL语句只需编译一次,执行时的性能会有所提升,特别是在需要多次执行相同语句的情况下。在JDBC中提供了一个强大而灵活的工具,用于执行SQL语句,具有预编译、参数化查询、批处理sql语句、性能提升和防止SQL注入等优势。通过了解并正确使用,可以编更安全和高效的数据库访问代码。
PreparedStatement的用法
热门推荐
changyansz的博客
11-02 1万+
一、用法: PreparedStatementStatement的子接口,Statement在使用的过程中,直接拼SQL是很容易出错的且难用的,PreparedStatement带有模版的思想,减少了出错的机率。 1、sql模版,并和PreparedStatement绑定 String sqlsqlTemplate= "insert emp VALUE (?,?,?)"; Prepar...
preparedStatementStatement区别及联系
一枚数学专业的小码农的博客
08-31 7208
JDBC中preparedstatementstatement中的区别
JAVA【JDBC】【使用PreparedStatement操作数据库】
芊樱烛渊的博客
08-07 4810
我们是先连接到了我们上述的数据表,然后将数据表中的user和password的内容独取出来,然后编成sql语句,交给我们的mysql,并且如果查询失败就返回用户名不存在或者密码错误,如果查询成功就返回登陆成功。针对于不同的表我们想要获取到的查询数据的结构一定是不同的,所以我们需要在查询的时候将我们查询的结构传入,然后利用反射机制构造出对应的对象,然后将对应的对象返回。原来我们想表达的是 xx and xx是一个并且的关系,也就是我们的use和password同时正确的时候才返回结果。...
使用PreparedStatement访问数据库
12-14
在Java的数据库编程中,`PreparedStatement`是Java.sql包下的一个重要接口,它是`Statement`接口的子接口。这个接口主要用于处理包含动态参数的SQL语句,以提高性能和安全性。`PreparedStatement`的主要特点是预编译...
JSP中的PreparedStatement对象操作数据库的使用教程
10-22
为了高效且安全地与数据库进行交互,Java提供了一套成熟的API,其中PreparedStatement对象便是核心组件之一。PreparedStatement继承自Statement接口,但它对数据库操作进行了更高级的封装,提供了预编译语句的能力。...
java中PreparedStatementStatement详细讲解
08-25
Java 中的 PreparedStatementStatement 详细讲解 Java 中的 PreparedStatementStatement 是两个常用的数据库操作接口,但是它们之间存在着一些关键的区别,特别是在防止 SQL 注入攻击方面。...
PreparedStatement的基本介绍与使用
薯条和番茄酱的博客
10-25 3402
1.PreparedStatement执行的SQL语句中的参数用?表示,调用PreparedStatement对象的setXxx()方法设置这些参数。setXxx()有两个参数,第一个参数是要设置SQL语句中的参数的索引从1开始,第二个是设置的SQL语句中的参数的值例如:2.调用,返回ResultSet对象3.调用,执行更新,包括增删改查。
【JDBC】-- PreparedStatement实现数据库查询操作
张修宇的博客
07-21 4123
ORM思想(objectrelationalmapping)1、一个数据表对应一个java类2、表中一条记录对应java类的一个对象3、表中一个字段对应java类的一个属性JDBC结果集的元数据获取列数获取列的别名反射通过反射,创建指定类的对象,获取指定的属性并赋值。...
使用PreparedStatement执行批量插入sql的三种方式以及效率
weixin_45861045的博客
08-01 5183
jdbc学习
使用 Preparedstatement 选择和显示记录的 JDBC 程序
allway2的博客
07-23 212
我们正在使用Oracle数据库,但您可以使用任何具有所需信息的数据库。要获取表的记录,我们需要ResultSet对象并使用ResultSet的getXxx(-)方法,我们可以获取表的详细信息。现在,在这篇文章中,我们将发布一个Java程序来使用PreparedStatement对象选择和显示记录。注意-在开发JDBC应用程序时,不建议在SQL查询中使用*,因此不建议使用。现在让我们开发另一个JDBC程序,它将根据给定的值选择行并仅显示那些行的详细信息。...
PreparedStatementstatement的区别
xupt_rl的博客
07-21 5028
一、PreparedStatement概述    PreparedStatementstatement的子类,它的实例对象可以通过调用Connection.preparedStatement()方法来获得,相对于Statement对象,PreparedStatement可以防止SQL注入。   另外Statement会使得数据库频繁编译SQL,有可能会造成数据库缓冲区溢出。PreparedSta...
SQL注入问题及其解决办法
qq_49044908的博客
04-23 2649
SQL注入问题及其解决办法 前几次的 JDBC 案列的数据库操作对象我一直使用的是Statement 对象, 但是这个类实际上是存在一些问题的, 这就是我想要分享的 SQL 注入问题. 目录 SQL注入问题及其解决办法 问题发现 sql 注入的定义及其原因分析 问题解决------ PreparedStatement PreparedStatementStatement 比较 问题发现 前几天用 JDBC 编一个从数据库获取用户名和密码登录的简单 java 程序发现了一个 bug.
preparedStatement问号的理解
张晨光老师的播客
09-21 1899
/** * 根据表名查询总条数; * @param tableName * @return */ public int getCount(String tableName){ String sql="select count(*) from "+tableName; Connection conn=getConnec...
PreparedStatement 简介
u013738122的博客
11-25 1万+
PreparedStatement 使用示例 stringsql = "select * from people p where p.id = ? and p.name = ?"; preparedstatement ps = connection.preparestatement(sql); //setxxx() 方法的第一个参数表示 ? 所在的位置,从1开始计算,第二个参数表示对应的值 ps....
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值