Preparestatement解决sql注入安全问题

最新推荐文章于 2023-11-08 11:37:06 发布
最新推荐文章于 2023-11-08 11:37:06 发布
阅读量339 收藏
点赞数
文章标签: sql 安全 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_75222206/article/details/131663035
版权

上期我们使用jdbc完成基本的增删改查操作,但是也留下了一系列问题。尤其是使用statement语句在编写实现数据库操作的时候,最大的特点就是不安全。本期将用Preparestatement语句解决sql注入安全问题

原jdbcUtil代码展示:

package utils;
import com.hp.pojo.Dept;
import java.lang.reflect.Field;
import java.sql.*;
import java.util.ArrayList;
import java.util.List;
import com.hp.pojo.*;
import com.sun.xml.internal.ws.api.model.wsdl.WSDLOutput;
import org.junit.Test;

public class JdbcUtil{
    @Test
    public void testRow(){
        Dept dept=selectRow("select * from t_Dept where did=1",Dept.class);
    }
    @Test
    public void testColumn(){
        Integer list=selectColumn("select did from t_Dept",Integer.class);
        System.out.println(list);
    }
    @Test
    public void testOne(){
        Double sumSalary= selectOne("select sum(salary) from t_emps",double.class);
        System.out.println(sumSalary);
    }
    @Test
    public void testUpdate(){
        int j=update("insert into t_dept values(null,'a','b','c')");
        System.out.println(j);
    }
    @Test//测试登录
    public void testLogin(){
        String username="cc ' or '1'='1";
        String password="cc ' or '1'='1";
       User user=selectRow("select * from t_users where username '"+username+"'and password ='"+password+"'" ,User.class);
        System.out.println(user!=null?"登录成功":"登录失败");


    }




    //查询多行多列
    public static <T> List<T> list(String sql,Class<T> c) {
        //创建一个集合,存放所有的对象
        List<T> tList = new ArrayList<>();
        try {
            //1.注册驱动-反射去加载jar包中com.mysql.jdbc.Driver这个类中的DriverManager.registerDriver(new  Driver())
            Class.forName("com.mysql.jdbc.Driver");
            //2.获取连接对象
            Connection con= DriverManager.getConnection("jdbc:mysql://localhost:3306/day01?characterEncoding=utf-8","root","root");
            System.out.println(con);
            //定义sql

            //4.需要创建statement
            Statement statement = con.createStatement();
            //5.statement执行sql,返回 结果集
            ResultSet rs = statement.executeQuery(sql);
            //结果集rs得到结果集元数据
            ResultSetMetaData md=rs.getMetaData();
            //获取结果集的总列数
            int columnCount=md.getColumnCount();
            //6.解析rs
            while (rs.next()) {
                T t=c.newInstance();
                //1.取出某一行的每个数据,封装到对象t的每个属性
                for(int i=1;i<=columnCount;i++ ){
                    //通过列的序号,获取每一列的值
                    Object value=rs.getObject(i);
                    if(value!=null){
                        //通过列的序号,获取每一列的列名
                        String columnName=md.getColumnName(i);
                        //因为列名和实体类t中的属性名一致,为每一个属性构造一个反射中的set方法
                        Field f=c.getDeclaredField(columnName);
                        //使用反射,把value给到对象t的属性中
                        f.set(t,value);//理解为:把value赋值给对象t的columnName属性,相当于set方法
                    }
                }
                tList.add(t);
            }
            //7.关闭资源
            statement.close();
            con.close();
        }catch (Exception e){
            e.printStackTrace();
        }
        return tList;
    }


    //查询一行
    public static<T> T selectRow(String sql,Class<T> c) {
        try {
            //1.注册驱动-反射去加载jar包中com.mysql.jdbc.Driver这个类中的DriverManager.registerDriver(new  Driver())
            Class.forName("com.mysql.jdbc.Driver");
            //2.获取连接对象
            Connection con = DriverManager.getConnection("jdbc:mysql://localhost:3306/day01?characterEncoding=utf-8", "root", "root");
            System.out.println(con);
            //定义sql
            //4.需要创建statement
            Statement statement = con.createStatement();
            //5.statement执行sql,返回 结果集
            ResultSet rs = statement.executeQuery(sql);
            //结果集rs得到结果集元数据
            ResultSetMetaData md = rs.getMetaData();
            //获取结果集的总列数
            int columnCount = md.getColumnCount();
            //6.解析rs
            T t = null;
            if (rs.next()) {
               t=c.newInstance();
                //1.取出某一行的每个数据,封装到对象t的每个属性
                for (int i = 1; i <= columnCount; i++) {
                    //通过列的序号,获取每一列的值
                    Object value = rs.getObject(i);
                    if (value != null) {
                        //通过列的序号,获取每一列的列名
                        String columnName = md.getColumnName(i);
                        //因为列名和实体类t中的属性名一致,为每一个属性构造一个反射中的set方法
                        Field f = c.getDeclaredField(columnName);
                        //使用反射,把value给到对象t的属性中
                        f.set(t, value);//理解为:把value赋值给对象t的columnName属性,相当于set方法
                    }
                }
                return t;
            }
            //7.关闭资源
            statement.close();
            con.close();
        } catch (Exception e) {
            e.printStackTrace();
        }
        return null;
    }




    //查询一列
    public static<T> T selectColumn(String sql,Class<T> c) {

        try {
            //1.注册驱动-反射去加载jar包中com.mysql.jdbc.Driver这个类中的DriverManager.registerDriver(new  Driver())
            Class.forName("com.mysql.jdbc.Driver");
            //2.获取连接对象
            Connection con = DriverManager.getConnection("jdbc:mysql://localhost:3306/day01?characterEncoding=utf-8", "root", "root");
            System.out.println(con);
            //定义sql

            //4.需要创建statement
            Statement statement = con.createStatement();
            //5.statement执行sql,返回 结果集
            ResultSet rs = statement.executeQuery(sql);
            //结果集rs得到结果集元数据
            ResultSetMetaData md = rs.getMetaData();
            //获取结果集的总列数
            int columnCount = md.getColumnCount();
            //6.解析rs
            if (rs.next()) {
                T t = c.newInstance();
                //1.取出某一行的每个数据,封装到对象t的每个属性
                for (int i = 1; i <= columnCount; i++) {
                    //通过列的序号,获取每一列的值
                    Object value = rs.getObject(i);
                    if (value != null) {
                        //通过列的序号,获取每一列的列名
                        String columnName = md.getColumnName(i);
                        //因为列名和实体类t中的属性名一致,为每一个属性构造一个反射中的set方法
                        Field f = c.getDeclaredField(columnName);
                        //使用反射,把value给到对象t的属性中
                        f.set(t, value);//理解为:把value赋值给对象t的columnName属性,相当于set方法
                    }
                }
                return t;
            }
            //7.关闭资源
            statement.close();
            con.close();
        } catch (Exception e) {
            e.printStackTrace();
        }
        return null;

    }

        //查询单个
        public static <T> T selectOne(String sql, Class<T> c){
            //创建一个集合,存放所有的对象

            try {
                //1.注册驱动-反射去加载jar包中com.mysql.jdbc.Driver这个类中的DriverManager.registerDriver(new  Driver())
                Class.forName("com.mysql.jdbc.Driver");
                //2.获取连接对象
                Connection con= DriverManager.getConnection("jdbc:mysql://localhost:3306/day01?characterEncoding=utf-8","root","root");
                System.out.println(con);
                //定义sql

                //4.需要创建statement
                Statement statement = con.createStatement();
                //5.statement执行sql,返回 结果集
                ResultSet rs = statement.executeQuery(sql);
                //结果集rs得到结果集元数据
                ResultSetMetaData md=rs.getMetaData();
                //获取结果集的总列数
                int columnCount=md.getColumnCount();
                //6.解析rs
                T t;
                if(rs.next()){
                    t= (T) rs.getObject(1);
                }


                //7.关闭资源
                statement.close();
                con.close();
            }catch (Exception e){
                e.printStackTrace();
            }
            return null;
        }

    //增删改
        public static int update(String sql) {

            try {
                //1.注册驱动-反射去加载jar包中com.mysql.jdbc.Driver这个类中的DriverManager.registerDriver(new  Driver())
                Class.forName("com.mysql.jdbc.Driver");
                //2.获取连接对象
                Connection con= DriverManager.getConnection("jdbc:mysql://localhost:3306/day01?characterEncoding=utf-8","root","root");
                System.out.println(con);
                //定义sql

                //4.需要创建statement
                Statement statement = con.createStatement();
                //5.statement执行sql,返回 结果集
              int i= statement.executeUpdate(sql);

                //7.关闭资源
                statement.close();
                con.close();
                return i;
            }catch (Exception e){
                e.printStackTrace();
            }
            return 0;
    }

    }

但是使用statement语句编写存在弊端。原因在于sql语句无法被识别出非法错误片段,从而有人可能会恶意注入非法信息或者命令。解决此类问题,我们将用到preparestatement语句来替代statement语句

什么是Preparestatement语句

PrepareStatement是一种数据库编程的概念,它是在执行SQL语句之前预编译的语句。它可以提高数据库操作的性能和安全性。 使用PrepareStatement,我们可以将SQL语句预先编译并存储在数据库中,然后在需要执行的时候,只需传入参数并执行。这样可以避免每次执行SQL语句时都需要进行解析和优化的开销。 PrepareStatement还可以防止SQL注入攻击,因为它使用参数化查询,将输入的参数和SQL语句进行分离,从而避免恶意输入破坏SQL语句的结构。

修改示例

我们需要使用object...params形参可变数组。在调用函数时,我们可以传入任意个任意类型的参数。在执行多行多列查询时,使用循环输出数据

代码如下:

                PreparedStatement statement = con.prepareStatement(sql);
                for (int i = 0; i < params.length; i++) {
                    statement.setObject(i+1,params[i]);

                }

查询多行多列总代码如下:

//查询多行多列
        public static <T> List<T> list(String sql, Class<T> c,Object...params) {
            //创建一个集合,存放所有的对象
            List<T> tList = new ArrayList<>();
            try {
                //1.注册驱动-反射去加载jar包中com.mysql.jdbc.Driver这个类中的DriverManager.registerDriver(new  Driver())
                Class.forName("com.mysql.jdbc.Driver");
                //2.获取连接对象
                Connection con= DriverManager.getConnection("jdbc:mysql://localhost:3306/day01?characterEncoding=utf-8","root","root");
                System.out.println(con);
                //定义sql

                //4.需要创建statement
                PreparedStatement statement = con.prepareStatement(sql);
                for (int i = 0; i < params.length; i++) {
                    statement.setObject(i+1,params[i]);

                }

                //5.statement执行sql,返回 结果集
                ResultSet rs = statement.executeQuery();
                //结果集rs得到结果集元数据
                ResultSetMetaData md=rs.getMetaData();
                //获取结果集的总列数
                int columnCount=md.getColumnCount();
                //6.解析rs
                while (rs.next()) {
                    T t=c.newInstance();
                    //1.取出某一行的每个数据,封装到对象t的每个属性
                    for(int i=1;i<=columnCount;i++ ){
                        //通过列的序号,获取每一列的值
                        Object value=rs.getObject(i);
                        if(value!=null){
                            //通过列的序号,获取每一列的列名
                            String columnName=md.getColumnName(i);
                            //因为列名和实体类t中的属性名一致,为每一个属性构造一个反射中的set方法
                            Field f=c.getDeclaredField(columnName);
                            //使用反射,把value给到对象t的属性中
                            f.set(t,value);//理解为:把value赋值给对象t的columnName属性,相当于set方法
                        }
                    }
                    tList.add(t);
                }
                //7.关闭资源
                statement.close();
                con.close();
            }catch (Exception e){
                e.printStackTrace();
            }
            return tList;
        }

修改后总代码:

package utils;
import com.hp.pojo.Dept;
import java.lang.reflect.Field;
import java.sql.*;
import java.util.ArrayList;
import java.util.List;
import com.hp.pojo.*;
import com.sun.xml.internal.ws.api.model.wsdl.WSDLOutput;
import org.junit.Test;
//jdbc工具类升级版
/*
* Statement  父类
* PreparedStatement 子类
* 1.提前传入sql,执行的时候,不传入sql
* 2.支持传入sql中的参数
* 3.解决sql注入的逻辑漏洞
* 4.提高执行效率
* Object...params可变形参数组
* 在调用函数时,可以传入任意个任意类型的参数
* */
    public class JdbcUtilPlus{
        @Test
        public void testRow(){
            Dept dept=selectRow("select * from t_Dept where did=1",Dept.class);
        }
        @Test
        public void testColumn(){
            Integer list=selectColumn("select did from t_Dept",Integer.class);
            System.out.println(list);
        }
        @Test
        public void testOne(){
            Double sumSalary= selectOne("select sum(salary) from t_emps",double.class);
            System.out.println(sumSalary);
        }
        @Test
        public void testUpdate(){
            int j=update("insert into t_dept values(null,'a','b','c')");
            System.out.println(j);
        }
        @Test//测试登录
        public void testLogin(){
            String username="cc ' or '1'='1";
            String password="cc ' or '1'='1";
            User user=selectRow("select * from t_users where username=? and password =?" ,User.class,username,password);
            System.out.println(user!=null?"登录成功":"登录失败");


        }




        //查询多行多列
        public static <T> List<T> list(String sql, Class<T> c,Object...params) {
            //创建一个集合,存放所有的对象
            List<T> tList = new ArrayList<>();
            try {
                //1.注册驱动-反射去加载jar包中com.mysql.jdbc.Driver这个类中的DriverManager.registerDriver(new  Driver())
                Class.forName("com.mysql.jdbc.Driver");
                //2.获取连接对象
                Connection con= DriverManager.getConnection("jdbc:mysql://localhost:3306/day01?characterEncoding=utf-8","root","root");
                System.out.println(con);
                //定义sql

                //4.需要创建statement
                PreparedStatement statement = con.prepareStatement(sql);
                for (int i = 0; i < params.length; i++) {
                    statement.setObject(i+1,params[i]);

                }

                //5.statement执行sql,返回 结果集
                ResultSet rs = statement.executeQuery();
                //结果集rs得到结果集元数据
                ResultSetMetaData md=rs.getMetaData();
                //获取结果集的总列数
                int columnCount=md.getColumnCount();
                //6.解析rs
                while (rs.next()) {
                    T t=c.newInstance();
                    //1.取出某一行的每个数据,封装到对象t的每个属性
                    for(int i=1;i<=columnCount;i++ ){
                        //通过列的序号,获取每一列的值
                        Object value=rs.getObject(i);
                        if(value!=null){
                            //通过列的序号,获取每一列的列名
                            String columnName=md.getColumnName(i);
                            //因为列名和实体类t中的属性名一致,为每一个属性构造一个反射中的set方法
                            Field f=c.getDeclaredField(columnName);
                            //使用反射,把value给到对象t的属性中
                            f.set(t,value);//理解为:把value赋值给对象t的columnName属性,相当于set方法
                        }
                    }
                    tList.add(t);
                }
                //7.关闭资源
                statement.close();
                con.close();
            }catch (Exception e){
                e.printStackTrace();
            }
            return tList;
        }


        //查询一行
        public static<T> T selectRow(String sql,Class<T> c,Object...params) {
            try {
                //1.注册驱动-反射去加载jar包中com.mysql.jdbc.Driver这个类中的DriverManager.registerDriver(new  Driver())
                Class.forName("com.mysql.jdbc.Driver");
                //2.获取连接对象
                Connection con = DriverManager.getConnection("jdbc:mysql://localhost:3306/day01?characterEncoding=utf-8", "root", "root");
                System.out.println(con);
                //定义sql
                //4.需要创建statement
                PreparedStatement preState = con.prepareStatement(sql);
                //在执行前,给sql传递参数
                for(int i=0;i<params.length;i++){
                    preState.setObject(i+1,params[i]);
                }
                //5.statement执行sql,返回 结果集
                ResultSet rs = preState.executeQuery();
                //结果集rs得到结果集元数据
                ResultSetMetaData md = rs.getMetaData();
                //获取结果集的总列数
                int columnCount = md.getColumnCount();
                //6.解析rs
                T t = null;
                if (rs.next()) {
                    t=c.newInstance();
                    //1.取出某一行的每个数据,封装到对象t的每个属性
                    for (int i = 1; i <= columnCount; i++) {
                        //通过列的序号,获取每一列的值
                        Object value = rs.getObject(i);
                        if (value != null) {
                            //通过列的序号,获取每一列的列名
                            String columnName = md.getColumnName(i);
                            //因为列名和实体类t中的属性名一致,为每一个属性构造一个反射中的set方法
                            Field f = c.getDeclaredField(columnName);
                            //使用反射,把value给到对象t的属性中
                            f.set(t, value);//理解为:把value赋值给对象t的columnName属性,相当于set方法
                        }
                    }
                    return t;
                }
                //7.关闭资源
                preState.close();
                con.close();
            } catch (Exception e) {
                e.printStackTrace();
            }
            return null;
        }




        //查询一列
        public static<T> T selectColumn(String sql,Class<T> c,Object...params) {

            try {
                //1.注册驱动-反射去加载jar包中com.mysql.jdbc.Driver这个类中的DriverManager.registerDriver(new  Driver())
                Class.forName("com.mysql.jdbc.Driver");
                //2.获取连接对象
                Connection con = DriverManager.getConnection("jdbc:mysql://localhost:3306/day01?characterEncoding=utf-8", "root", "root");
                System.out.println(con);
                //3.定义sql
              //4.需要创建statement
                PreparedStatement statement = con.prepareStatement(sql);
             //在执行前,给sql传递参数
               for(int i=0;i<params.length;i++){
                    statement.setObject(i+1,params[i]);
               }
                //5.statement执行sql,返回 结果集
                ResultSet rs = statement.executeQuery();
                //结果集rs得到结果集元数据
                ResultSetMetaData md = rs.getMetaData();
                //获取结果集的总列数
                int columnCount = md.getColumnCount();
                //6.解析rs
                if (rs.next()) {
                    T t = c.newInstance();
                    //1.取出某一行的每个数据,封装到对象t的每个属性
                    for (int i = 1; i <= columnCount; i++) {
                        //通过列的序号,获取每一列的值
                        Object value = rs.getObject(i);
                        if (value != null) {
                            //通过列的序号,获取每一列的列名
                            String columnName = md.getColumnName(i);
                            //因为列名和实体类t中的属性名一致,为每一个属性构造一个反射中的set方法
                            Field f = c.getDeclaredField(columnName);
                            //使用反射,把value给到对象t的属性中
                            f.set(t, value);//理解为:把value赋值给对象t的columnName属性,相当于set方法
                        }
                    }
                    return t;
                }
                //7.关闭资源
                statement.close();
                con.close();
            } catch (Exception e) {
                e.printStackTrace();
            }
            return null;

        }

        //查询单个
        public static <T> T selectOne(String sql, Class<T> c,Object...params){
            //创建一个集合,存放所有的对象

            try {
                //1.注册驱动-反射去加载jar包中com.mysql.jdbc.Driver这个类中的DriverManager.registerDriver(new  Driver())
                Class.forName("com.mysql.jdbc.Driver");
                //2.获取连接对象
                Connection con= DriverManager.getConnection("jdbc:mysql://localhost:3306/day01?characterEncoding=utf-8","root","root");
                System.out.println(con);
                //定义sql

                //4.需要创建statement
                PreparedStatement statement = con.prepareStatement(sql);
                //在执行前,给sql传递参数
                for(int i=0;i<params.length;i++){
                    statement.setObject(i+1,params[i]);
                }
                //5.statement执行sql,返回 结果集
                ResultSet rs = statement.executeQuery();
                //结果集rs得到结果集元数据
                ResultSetMetaData md=rs.getMetaData();
                //获取结果集的总列数
                int columnCount=md.getColumnCount();
                //6.解析rs
                T t;
                if(rs.next()){
                    t= (T) rs.getObject(1);
                }


                //7.关闭资源
                statement.close();
                con.close();
            }catch (Exception e){
                e.printStackTrace();
            }
            return null;
        }

        //增删改
        public static int update(String sql,Object...params) {

            try {
                //1.注册驱动-反射去加载jar包中com.mysql.jdbc.Driver这个类中的DriverManager.registerDriver(new  Driver())
                Class.forName("com.mysql.jdbc.Driver");
                //2.获取连接对象
                Connection con= DriverManager.getConnection("jdbc:mysql://localhost:3306/day01?characterEncoding=utf-8","root","root");
                System.out.println(con);
                //定义sql

                //4.需要创建statement
                PreparedStatement statement = con.prepareStatement(sql);
                //在执行前,给sql传递参数
                for(int i=0;i<params.length;i++){
                    statement.setObject(i+1,params[i]);
                }

                //5.statement执行sql,返回 结果集
                int i= statement.executeUpdate(sql);

                //7.关闭资源
                statement.close();
                con.close();
                return i;
            }catch (Exception e){
                e.printStackTrace();
            }
            return 0;
        }

    }

qq_75222206
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
JDBC----Statement安全问题PrepareStatement
mqingo的博客
11-26 976
1. Statement执行 ,其实是拼接sql语句的。  先拼接sql语句,然后在一起执行。          String sql = "select * from user where username='"+ username  +"' and password='"+ password +"'";         UserDao dao = new UserDaoImpl();  ...
2.JDBC的使用--查询数据
qq_67192586的博客
04-11 442
JDBC查询
sql注入
musi_m的博客
06-14 1075
sql注入1 sql注入2 防止sql注入    2.1使用prepareStatement+Bind-Variable    2.2 使用应用程序提供的转换函数    2.3 自定义函数校验 1 sql注入 SQL注入就是利用某些数据库的外部接口将用户数据插入到实际的数据库操作语言(SQL)当中,从而达到入侵数据库乃至操作系统的目的,如下实例: 1)创建用户表 create table
PrepareStatement用法(附源码解析)
Sherlock1020的博客
08-11 5493
PrepareStatement 基本用法 与 SQL注入分析
JDBC中PreparedStatement详解及应用场景介绍
weixin_62079735的博客
03-20 5944
在Java中,当需要向数据库中执行SQL语句并传递参数时,我们通常会使用PreparedStatement接口。PreparedStatement继承自Statement接口,用于预编译SQL语句并执行参数化查询,这样可以提高执行效率并防止SQL注入攻击。
SQL注入原理与解决方法代码示例
09-09
总之,SQL注入是Web应用程序安全的一个重要问题,开发者需要对用户输入进行严格控制,并采用预编译语句等安全措施来防止此类攻击。同时,定期进行安全审计和更新安全策略也是保持系统安全的关键。
SQL注入漏洞过程实例及解决方案
09-08
SQL注入漏洞是网络安全中的一个重要问题,它允许攻击者通过在输入字段中插入恶意SQL代码来操纵数据库查询,从而获取未经授权的数据或执行恶意操作。本文将深入探讨SQL注入漏洞的过程,并提供具体的解决方案。 首先...
mybatis防止SQL注入的方法实例详解
08-27
PreparedStatement pstmt = conn.prepareStatement(sql); pstmt.setString(1, userId); ResultSet rs=pstmt.executeUpdate(); ``` 使用预编译语句可以避免 SQL 注入攻击,因为攻击者无法通过构造特殊的输入来 ...
防止sql注入解决方案
12-07
对开发团队进行安全编码培训,提高他们的安全意识,使他们在编写代码时能够主动避免SQL注入问题。 通过以上这些措施的结合使用,可以极大地降低SQL注入的风险,保障应用程序和数据库的安全。然而,需要注意的是,...
SQL注入源码+SQL注入命令
07-16
SQL注入是一种常见的网络安全威胁,它发生在应用程序不恰当地处理用户输入数据时,导致攻击者能够构造恶意SQL语句,从而获取、修改、删除或者控制数据库中的敏感信息。在这个实验中,我们将关注Java语言如何处理SQL...
4、SQL注入漏洞pdf资料
10-15
SQL注入是一种非法操作,攻击者可能会面临法律责任,因此需要对Web应用程序进行严格的安全测试和评估。 十、SQL注入的结论 SQL注入是一种常见的Web应用程序漏洞,需要对用户输入数据进行严格的检查和过滤,使用...
MySQL prepare语句的SQL语法
01-19
MySQL prepare语法: PREPARE statement_name FROM preparable_SQL_statement; /*定义*/ EXECUTE statement_name [USING @var_name [, @var_name] …]; /*执行预处理语句*/ {DEALLOCATE | DROP} PREPARE statement_...
java防止SQL注入
11-19
Java 防止 SQL 注入是一个至关重要的安全问题SQL 注入攻击是最常见的攻击方式之一,它不是利用操作系统或其他系统的漏洞来实现攻击的,而是程序员因为没有做好判断,被不法用户钻了 SQL 的空子。因此,在系统开发...
SQL注入与代码防御.pdf
09-19
PreparedStatement pstmt = conn.prepareStatement(sql); pstmt.setString(1, username); pstmt.setString(2, password); ResultSet rs = pstmt.executeQuery(); ``` 在上面的代码中,我们使用了参数化查询来防御 ...
JDBC PrepareStatement 使用(附各种场景 demo)
最新发布
01-14
此外,PrepareStatement还能够防止SQL注入攻击,因为它允许我们使用占位符(?)来代替直接拼接字符串。 在描述中提到的基本查询和更新场景中,我们可以使用PreparedStatement的`setXXX()`方法设置参数,其中XXX代表...
JDBC之PreparedStatement的理解
gao_zhennan的博客
06-11 8143
前言:怀着疑惑和痛苦的心情写下这篇文章,其中疑惑之一是预编译对象,会把编译之后的整个语句保存在对象中,如果保存保存在哪里呢? 注:本文以mysql数据库为基础展开 一、基础知识 1、SQL语句在数据库中的执行过程 一条SQL语句从客户端(如: java 程序、navicat工具、cmd命令行)发送到数据库管理系统后,要经历以下过程: 词法和语义的解析 优化SQL语句,制定执行计划 执行并返回结果...
PreparedStatement的基本介绍与使用
薯条和番茄酱的博客
10-25 3351
1.PreparedStatement执行的SQL语句中的参数用?表示,调用PreparedStatement对象的setXxx()方法设置这些参数。setXxx()有两个参数,第一个参数是要设置SQL语句中的参数的索引从1开始,第二个是设置的SQL语句中的参数的值例如:2.调用,返回ResultSet对象3.调用,执行更新,包括增删改查。
06丨数据库原理:为什么PrepareStatement性能更好更安全
qq_37756660的博客
11-08 376
做应用开发的同学常常觉得数据库由 DBA 运维,自己会写 SQL 就可以了,数据库原理不需要学习。其实即使是写 SQL 也需要了解数据库原理,比如我们都知道,SQL 的查询条件尽量包含索引字段,但是为什么呢?这样做有什么好处呢?你也许会说,使用索引进行查询速度快,但是为什么速度快呢?此外,我们在 Java 程序中访问数据库的时候,有两种提交 SQL 语句的方式,一种是通过 Statement 直接提交 SQL;另一种是先通过 PrepareStatement 预编译 SQL,然后设置可变参数再提交执行。
preparestatement sql注入
03-16
好的,以下是使用PreparedStatement进行SQL输入的示例代码: ``` String sql = "INSERT INTO mytable (column1, column2, column3) VALUES (?, ?, ?)"; PreparedStatement statement = connection.prepareStatement(sql); statement.setString(1, "value1"); statement.setInt(2, 123); statement.setDouble(3, 45.67); statement.executeUpdate(); ``` 这里的`sql`是一个带有占位符的SQL语句,占位符用问号`?`表示。在`PreparedStatement`对象创建后,通过`setXXX()`方法设置每个占位符对应的值,其中`XXX`表示数据类型,例如`setString()`用于设置字符串类型,`setInt()`用于设置整数类型,`setDouble()`用于设置浮点数类型等等。最后,通过`executeUpdate()`方法执行SQL语句,完成数据插入的操作。 需要注意的是,使用`PreparedStatement`可以有效地防止SQL注入攻击,因为占位符的值会被自动转义,避免恶意输入对数据库造成危害。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值