PreparedStatement的使用

最新推荐文章于 2023-04-21 10:13:37 发布
最新推荐文章于 2023-04-21 10:13:37 发布
阅读量358 收藏
点赞数
分类专栏: Database

原文链接

Statement的子类PreparedStatement.

PreparedStatement(预处理执行语句)相比其父类Statement主要有以下几个优点.

  1. 可以防止SQL注入.
  2. 在特定的驱动数据库下相对效率要高(不绝对)
  3. 不需要频繁编译.因为已经预加载了

这里2和3的优点就不具体分析.这里主要讲解下防止SQL注入这一用途.

什么叫SQL注入可以阅读下WIKI.这里还是使用上一节总结的DBUtils来讲解.

DBUtils辅助类

package com.test.jdbc;

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;
/**
 * @author Administrator
 * 模板类DBUtils
 */
public final class DBUtils {
    // 参数定义
    private static String url = "jdbc:mysql://localhost:3306/mytest"; // 数据库地址
    private static String username = "root"; // 数据库用户名
    private static String password = "root"; // 数据库密码

    private DBUtils() {

    }
    // 加载驱动
    static {
        try {
            Class.forName("com.mysql.jdbc.Driver");
        } catch (ClassNotFoundException e) {
            System.out.println("驱动加载出错!");
        }
    }

    // 获得连接
    public static Connection getConnection() throws SQLException {
        return DriverManager.getConnection(url, username, password);
    }

    // 释放连接
    public static void free(ResultSet rs, Statement st, Connection conn) {
        try {
            if (rs != null) {
                rs.close(); // 关闭结果集
            }
        } catch (SQLException e) {
            e.printStackTrace();
        } finally {
            try {
                if (st != null) {
                    st.close(); // 关闭Statement
                }
            } catch (SQLException e) {
                e.printStackTrace();
            } finally {
                try {
                    if (conn != null) {
                        conn.close(); // 关闭连接
                    }
                } catch (SQLException e) {
                    e.printStackTrace();
                }

            }

        }

    }

}

在写sql注入演示类之前看下数据库结构:

上边就是简单的users表.然后看下SQL注入演示类

SQLInner

package com.test.jdbc;

import java.sql.Connection;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;

public class SqlInner {
    public static void main(String[] args) {
        //Read("zhangsan"); // 如果普通查询可以
        Read("' or 1 or'");
    }
    public static void Read(String name) {
        Statement st = null;
        ResultSet rs = null;
        Connection conn = null;
        try {
            conn = DBUtils.getConnection();
            st = conn.createStatement();
            String sql = "select * from users where lastname = '" + name + "'"; // 主要注入发生地
            System.out.println("sql: " + sql); // 打印SQL语句
            rs = st.executeQuery(sql); 
            System.out.println("age\tlastname\tfirstname\tid");
            while (rs.next()) {
                System.out.println(rs.getInt(1) + "\t" + rs.getString(2)
                        + "\t\t" + rs.getString(3) + "\t\t" + rs.getString(4));
            }
        } catch (SQLException e) {
            e.printStackTrace();
        } finally {
            DBUtils.free(rs, st, conn);
        }
    }
}

见注释.如果用普通的键zhangsan来查询.会打印

age lastname firstname id 23 zhangsan lisi 3

结果正常.但使用下面的’ or 1 or’结果为

age lastname firstname id 22 啡 咖 1 25 434
ni 2 23 zhangsan lisi 3

把所有结果都打印出来了.打印了一下生成后的SQL语句如下:

sql: select * from users where lastname = ” or 1 or”

分析下不难看出.主要问题是用了两个单引号 分别把前后的两个”给封闭了 变成两个空 然后通过or 1即or true就是符合所有条件了.

这就是SQL注入的一种.为了避免这种情况可以使用特殊符号替换 但只是亡羊补牢. 下面就引出了PreparedStatement

package com.test.jdbc;

import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;

public class SqlInner {
    public static void main(String[] args) {
        Read("' or 1 or'");
    }
    public static void Read(String name) {
        PreparedStatement st = null;
        ResultSet rs = null;
        Connection conn = null;
        try {
            conn = DBUtils.getConnection();
            String sql = "select * from users where lastname = ?"; // 这里用问号        
            st = conn.prepareStatement(sql);
            st.setString(1,name); // 这里将问号赋值
            rs = st.executeQuery(); 
            System.out.println("age\tlastname\tfirstname\tid");
            while (rs.next()) {
                System.out.println(rs.getInt(1) + "\t" + rs.getString(2)
                        + "\t\t" + rs.getString(3) + "\t\t" + rs.getString(4));
            }
        } catch (SQLException e) {
            e.printStackTrace();
        } finally {
            DBUtils.free(rs, st, conn);
        }
    }
}

见注释.PreparedStatement用?代替变量.然后加载后setString给赋值.由于PreparedStatement内置了字符过滤

那么就相当于 where name = ’ or 1 or ‘显然没有对应记录.所以数据结果为空.这就体现了PreparedStatement的防注入功能

所以提倡大家只要是动态参数就是用PreparedStatement去代替Statement.况且效率也不错.优化的很好.

PreparedStatement尽最大可能提高性能.

每一种数据库都会尽最大努力对预编译语句提供最大的性能优化.因为预编译语句有可能被重复调用.所以语句在被DB的编译器编译后的执行代码被缓存下来,那么下次调用时只要是相同的预编译语句就不需要编译,只要将参数直接传入编译过的语句执行代码中(相当于一个涵数)就会得到执行.这并不是说只有一个 Connection中多次执行的预编译语句被缓存,而是对于整个DB中,只要预编译的语句语法和缓存中匹配.那么在任何时候就可以不需要再次编译而可以直接执行.而statement的语句中,即使是相同一操作,而由于每次操作的数据不同所以使整个语句相匹配的机会极小,几乎不太可能匹配.比如:
insert into tb_name (col1,col2) values (‘11’,’22’);
insert into tb_name (col1,col2) values (‘11’,’23’);
即使是相同操作但因为数据内容不一样,所以整个个语句本身不能匹配,没有缓存语句的意义.事实是没有数据库会对普通语句编译后的执行代码缓存.

当然并不是所以预编译语句都一定会被缓存,数据库本身会用一种策略,比如使用频度等因素来决定什么时候不再缓存已有的预编译结果.以保存有更多的空间存储新的预编译语句.

Lulu_zhu
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PreparedStatement使用
weixin_42297061的博客
03-25 400
1. PreparedStatement插入数据SQL完成 @Test public void testInsert() { User user = new User(10, "逗比匿名君", "123456"); Connection connection = null; PreparedStatement preparedStatement = null; try { //...
JDBC基础教程之PreparedStatement
盗也有道>>>>
11-12 2897
概述该 PreparedStatement 接口继承 Statement,并与之在两方面有所不同:PreparedStatement 实例包含已编译的 SQL 语句。这就是使语句“准备好”。包含于 PreparedStatement 对象中的 SQL 语句可具有一个或多个 IN 参数。IN参数的值在 SQL 语句创建时未被指定。相反的,该语句为每个 IN 参数保留一个问号(“?”)作为占位符。每个
Statement和PreparedStatement的区别
liuhuan1534的专栏
05-08 486
1.PreparedStatement是预编译的,对于批量处理可以大大提高效率. 也叫JDBC存储过程2.使用 Statement 对象。在对数据库只执行一次性存取的时侯,用 Statement 对象进行处理。PreparedStatement 对象的开销比Statement大,对于一次性操作并不会带来额外的好处。3.statement每次执行sql语句,相关数据库都要执行sql语句的编译,pre...
Preparedstatement使用
Garson的博客
11-01 752
如何使用PreparedStament以及PreparedStatment和Statement的区别
使用PreparedStatement访问数据库
12-14
`PreparedStatement`接口的使用步骤通常包括以下几个部分: 1. **创建PreparedStatement对象**:通过`Connection`对象的`prepareStatement()`方法创建`PreparedStatement`实例。例如: ```java String sqlStr = ...
Java数据库连接PreparedStatement使用详解
08-29
Java 数据库连接 PreparedStatement使用详解 Java 数据库连接 PreparedStatement 是 Java 语言中连接数据库的重要组件之一。通过使用 PreparedStatement,可以实现对数据库的 CRUD(Create, Read, Update, ...
JSP中的PreparedStatement对象操作数据库的使用教程
10-22
主要介绍了JSP中的PreparedStatement对象操作数据库的使用教程,文中举了一些使用PreparedStatement预处理语句对象进行MySQL增删查改的例子,需要的朋友可以参考下
练习3:使用PreparedStatement插入宠物信息.zip
08-27
此外,由于PreparedStatement使用占位符,它能自动处理特殊字符,从而避免了SQL注入攻击的可能性。 在执行插入操作时,我们通常遵循以下步骤: 1. **连接数据库**:使用`DriverManager.getConnection()`方法建立与...
java中PreparedStatementStatement详细讲解
08-25
从上面的代码可以看出,使用 PreparedStatement 对象时,我们可以使用参数化查询,例如 `SELECT * FROM admin WHERE username = ? AND password = ?`,并将用户输入的参数传递给 `setString` 方法,例如 `pstmt....
PreparedStatement详细用法
11-22
PreparedStatement详细用法
使用PreparedStatement实现对于不同表的通用的查询操作
m0_46163291的博客
06-16 426
只有一个结果的resultset public <T> T getInstance(Class<T> clazz,String sql,Object ...args) { Connection conn = null; PreparedStatement ps = null; ResultSet rs = null; try { conn = JDBCUtils.getConnection();//获取连接 ps = conn.prepareStateme
prepareStatement模糊查询相关
zxy838279821的专栏
08-03 2478
1、在项目涉及模糊查询的时候,首先考虑用数据库的模糊查询相关语句 如:Oracle中 LIKE 模糊查询     字符匹配操作可以使用通配符 “%” 和 “_”:     %:表示任意个字符,包括零个;     _:表示一个任意字符; 2、prepareStatement模糊查询相关 在使用prepareStatement和like关键字段的时候,会出现些
JDBC之PreparedStatement的用法
最新发布
shuo_Java的博客
04-21 1004
JDBC之PreparedStatement的用法
Java中JDBC的PreparedStatement用法
热门推荐
午-夜
07-17 6万+
PreparedStatement l  它是Statement接口的子接口; l  强大之处: Ø  防SQL攻击; Ø  提高代码的可读性、可维护性; Ø  提高效率! l  学习PreparedStatement的用法: Ø  如何得到PreparedStatement对象: ¨      给出SQL模板! ¨      调用Connection的PreparedState
PreparedStatement使用示例
03-29
PreparedStatement是一种预编译SQL语句的方式,可以提高SQL执行的效率和安全性。下面是一个使用PreparedStatement的Java代码示例: ``` // 定义SQL语句 String sql = "SELECT * FROM users WHERE username = ? AND password = ?"; // 创建PreparedStatement对象 PreparedStatement pstmt = connection.prepareStatement(sql); // 设置参数 pstmt.setString(1, "alice"); pstmt.setString(2, "123456"); // 执行查询 ResultSet rs = pstmt.executeQuery(); // 处理结果集 while (rs.next()) { int id = rs.getInt("id"); String username = rs.getString("username"); String password = rs.getString("password"); // ... } // 关闭资源 rs.close(); pstmt.close(); connection.close(); ``` 在上面的示例中,我们首先定义了一条SQL语句,然后创建了一个PreparedStatement对象,并通过setString方法设置了两个参数。接着执行查询操作,并处理查询结果。最后关闭了ResultSet、PreparedStatement和Connection对象。需要注意的是,PreparedStatement对象在使用完毕后需要显式地关闭,否则可能会导致资源泄露和内存泄漏。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值