目录
1. PreparedStatement
1.1 概述
PreparedStatement接口是Statement的子接口,PreparedStatement对象是通过Connection接口的实现类中实现的prepareStatement()创建的,特点是在创建时就与一条SQL语句完成了绑定,这样可以保护数据库和程序的安全,防止SQL注入。
1.2 核心方法
1. int executeUpdate()
与Statement的executeUpdate(sql)的作用相同,不过这里的executeUpdate()不需要传入SQL语句,而是执行与当前对象绑定的SQL语句,如果绑定的SQL语句是做行的增删改,可以用这个方法。
2. ResultSet executeQuery()
与Statement的executeQuery(sql)的作用相同,但一样不用传入SQL语句而是用绑定的,如果PreparedStatement对象绑定了查询表的语句,可以用这个方法。
1.3 SQL注入与演示
所谓SQL注入,就是在需要用户输入的位置输入了SQL语句的片段,使其与代码中使用字符串拼接完成的SQL模板进行拼接形成完整的SQL语句。比如用户登录的逻辑就是验证输入的ID和密码是否能在数据库中查到,SQL注入可以做到不用匹配数据库已有的ID和密码就可以登录,这是很危险的!
本Reno就来演示一下SQL注入是如何实现的
先搞一个user表
CREATE TABLE tb_user (
user_name VARCHAR(10),
user_password VARCHAR(16)
)
再写一段程序模拟用户登录
package com.reno.D0907;
import util.JDBCUtil;
import java.sql.*;
public class A {
public static void login(String username, String password) throws SQLException {
Connection con = null;
Statement stmt = null;
ResultSet rs = null;
try {
con = JDBCUtil.getConnection();
stmt = con.createStatement();
String sql = "SELECT * FROM tb_user WHERE " +
"user_name='" + username +
"' and user_password='" + password + "'";
rs = stmt.executeQuery(sql);
if (rs.next()) {
System.out.println("欢迎" + rs.getString("user_name"));
} else {
System.out.println("用户名或密码错误!");
}
} catch (Exception e) {
e.printStackTrace();
} finally {
if (con != null) con.close();
if (stmt != null) stmt.close();
if (rs != null) rs.close();
}
}
public static void main(String[] args) throws SQLException {
login("a' or '1' = '1", "a' or '1' = '1");
}
}
此时注意,表中数据只有这两个
结果竟然登陆成功了
这是因为SQL语句中or的优先级高于and,or ‘1’ = ‘1’加进去自然就满足了里面的查询条件,从而不需要正确的用户名和密码就可以登录了。
1.4 使用PrepareStatement防止SQL注入
在这先提一嘴啊,单用preparedStatement是不足以防止SQL注入的,想要防止SQL注入,SQL语句绝对禁止使用字符串拼接,而是将带输入属性替换成“?”,通过preparedStatementXXX()方法即可,第一个参数指的是要给第几个问号赋值,第二个参数指的是将对应位置问号替换的值是什么。
public static void login(String username, String password) throws SQLException {
Connection con = null;
PreparedStatement pst = null;
ResultSet rs = null;
try {
con = JDBCUtil.getConnection();
String sql2 = "SELECT * FROM tb_user WHERE user_name = ? and user_password = ?";
pst = con.prepareStatement(sql2);
pst.setString(1, username);
pst.setString(2, password);
rs = pst.executeQuery();
if (rs.next()) {
System.out.println("欢迎" + rs.getString("user_name"));
} else {
System.out.println("用户名或密码错误!");
}
} catch (Exception e) {
e.printStackTrace();
} finally {
if (con != null) con.close();
if (pst != null) pst.close();
if (rs != null) rs.close();
}
}
没有了字符串拼接,想SQL注入,不可能!
2. JDBCUtil工具类
2.1 概述
在我们用Java程序去操纵数据库时总是会用到里面的四大元素:驱动类、DB的url、用户名、密码
这四个元素都与指定数据库关联,如果以后要换一个数据库,这些元素必定要改,如果像我们初学JDBC时那样去定义这些元素,肯定需要修改源代码,这违背了设计模式中提到的开闭原则:对扩展开放,对修改关闭。要想避免频繁修改源代码,我们需要一个JDBC的工具类,和一个properties配置文件。
2.2 创建和使用JDBCUtil工具类
package util;
import java.io.IOException;
import java.io.InputStream;
import java.sql.*;
import java.util.Properties;
public class JDBCUtil {
static Properties prop;//配置文件对象,是一种表示键值对的集合,可以获取配置文件的键值对
private static InputStream is;
static {
prop = new Properties();
try {
is = JDBCUtil.class.getClassLoader().getResourceAsStream("db.properties");//通过相对路径获取配置文件的字节输入流
prop.load(is);//读取配置文件中的键值对
Class.forName(prop.getProperty("driverClass"));//加载驱动类,只需要运行一次
} catch (IOException | ClassNotFoundException e) {
e.printStackTrace();
}
}
//得到连接
public static Connection getConnection() throws SQLException {
return DriverManager.getConnection(prop.getProperty("url"), prop.getProperty("username"), prop.getProperty("password"));
}
//关闭资源
public static void close(ResultSet rs, PreparedStatement pst, Connection con) {
try {
if (rs != null) rs.close();
if (pst != null) pst.close();
if (con != null) con.close();
} catch (SQLException e) {
e.printStackTrace();
}
}
}