JDBC--Statement和PreparedStatement

于 2022-02-05 21:19:50 发布
阅读量240 收藏
点赞数
分类专栏: JDBC MySql JAVA 文章标签: sql 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sdau_20171819/article/details/122793357
版权
JAVA 同时被 3 个专栏收录
97 篇文章 1 订阅
订阅专栏
MySql
19 篇文章 0 订阅
订阅专栏
JDBC
9 篇文章 0 订阅
订阅专栏

一、SQL注入问题

SQL 注入是利用某些系统没有对用户输入的数据进行充分的检查,而在用户输入数据中注入非法的 SQL 语句段或命令(如:SELECT user, password FROM user_table WHERE user=‘a’ OR 1 = ’ AND password = ’ OR ‘1’ = ‘1’) ,从而利用系统的 SQL 引擎完成恶意行为的做法。

使用Statement创建的连接,存在SQL注入问题,即获取数据的字符串可能会影响到SQL语句,从而影响整个程序。

形成原因:
读取的字符串影响SQL语句的执行,从而影响程序。
解决:

  • 只要用户提供的信息不参与SQL语句的编译过程,问题就解决了
  • 即使用户提供的信息中含有SQL语句的关键字,但是没有参与编译,不起作用
  • 要想用户信息不参与SQL语句的编译,那么必须使用java.sql.PreparedStatement
  • PreparedStatement 接口继承了java.sql.Statement
  • PreparedStatement 是属于预编译的数据库操作对象
  • PreparedStatement 原理:预先对SQL语句的框架进行编译,然后再给SQL语句传值

解决SQL注入的关键:

  • 用户提供的信息中即使含有sql语句的关键字,但是这些关键字并没有参与编译,不起作用。

二、Statement 和 preparedStatement

  1. Statement 存在SQL注入问题,preparedStatement解决了SQL注入问题
  2. Statement 编译一次,执行一次。preparedStatement编译一次可执行n次。preparedStatement效率较高
  3. preparedStatement在编译阶段可以做类型的安全检查。
  4. 业务方面要求必须支持SQL注入的时候,Starement支持SQL注入,凡是业务方面要求进行sql拼接的,则使用Statement
  5. 如果只是传值,则用preparedStatement。
  6. PreparedStatement可以操作Blob的数据,而Statement不能
  7. PreparedStatement可以实现更高效的批量操作
    代码:

先写Sql语句,在执行数据库对象创建,然后通过Set传值,最后执行执行语句
核心代码

          String sql = "select * from user1 where name = ? and password = ? ";
           //执行到此处时,会发送sql语句给DBMS,然后DBMS对sql进行预编译
            ps = conn.prepareStatement(sql);
           //给占位符传值
            ps.setString(1,name);
            ps.setString(2,pass);
            rs = ps.executeQuery();

package com.java;
import java.sql.*;
import java.util.HashMap;
import java.util.Map;
import java.util.Scanner;

public class PrepredStatementLogin {
    public static void main(String[] args) {

        //获取输入数据
        Map<String,String> LoginMap = initLogin();
        //处理数据 -- 通过jdbc检验数据是否满足,满足登陆成功,否则登陆失败
        String name = LoginMap.get("name");
        String pass = LoginMap.get("pass");
        if(Login(name,pass)){
            System.out.println("登录成功");
        }else {
            System.out.println("登陆失败");
        };
    }1	·
    private static boolean Login(String name,String pass) {
        Boolean aa = false;
        Connection conn = null;
        PreparedStatement ps = null;
        ResultSet rs =null;

        try{
            //注册驱动
            Class.forName("com.mysql.cj.jdbc.Driver");
            //建立连接
            conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/mytest1","root","root");
            //SQL语句 其中一个?是一个占位符, 占位符不能用单引号括起来
            String sql = "select * from user1 where name = ? and password = ? ";
           //执行到此处时,会发送sql语句给DBMS,然后DBMS对sql进行预编译
            ps = conn.prepareStatement(sql);
           //给占位符传值
            ps.setString(1,name);
            ps.setString(2,pass);
            rs = ps.executeQuery();
            if(rs.next()){
                aa = true;
            }

        }catch (Exception e){
            e.printStackTrace();
        }finally {
            if(rs!=null){
                try {
                    rs.close();
                } catch (SQLException e) {
                    e.printStackTrace();
                }
            }
            if(ps!=null){
                try {
                    ps.close();
                } catch (SQLException e) {
                    e.printStackTrace();
                }
            }
            if(conn!=null){
                try {
                    conn.close();
                } catch (SQLException e) {
                    e.printStackTrace();
                }
            }

        }
        return  aa;
    }

    private static Map<String, String> initLogin() {

        System.out.println("输入用户名");
        Scanner cin = new Scanner(System.in);
        String UName = cin.next();
        System.out.println("请输入密码");
        String UPassword = cin.next();
        HashMap<String, String> map = new HashMap<>();
        map.put("name",UName);
        map.put("pass",UPassword);
        return map;
    }
}
Gao_小豆
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JDBC中的Statement与PreparedStatement
zsxfa的博客
02-03 277
在 java.sql 包中有 3 个接口分别定义了对数据库的调用的不同方式: Statement:用于执行静态 SQL 语句并返回它所生成结果的对象。 PrepatedStatementSQL 语句被预编译并存储在此对象中,可以使用此对象多次高效地执行该语句。 CallableStatement:用于执行 SQL 存储过程 使用Statement操作数据表的弊端 通过调用 Connection 对象的 createStatement() 方法创建该对象。该对象用于执行静态的 SQL 语句,并且返
JDBCStatement 和 PreparedStatement区别
weixin_43808717的博客
10-06 317
1. 概念 Java提供了三种用来执行SQL查询语句的API;Statement、PreparedStatement 和 CallableStatement。其中 Statement 用于通用查询, PreparedStatement 用于执行参数化查询,而 CallableStatement则是用于存储过程。 Statement继承自Wrapper,一般用于普通的不带参的SQL语句。Statement是不安全的,容易产生SQL注入式攻击。简单理解就是正常的一个SQL语句中添加了一个恶意的SQL语句,
什么是JDBC(二)-Statement和PreparedStatement的区别-详解JDBC系列
商朝
01-26 185
Statement和PreparedStatement的区别 概述 1.基于效率和安全性两个方面,再实际开发中,我们一般使用PreparedStatement来替换普通的Statement 2.有些特殊只能使用Statement PreparedStatement基本用法 1.PrepareStatement支持sql语句问号占位 2.PreparedStatement本质上也是一个"车",多了一个预编译的功能即当创建PreparedStatement对象立即把SQL语句发送到数据库编译储存 两者比较 1
JDBC中的Statement和preparedStatement
weixin_43729854的博客
04-15 271
preparedStatement是预编译的,先编译无参数的sql,再提交参数,然后再执行对于批量处理可以大大提高效率.,也叫JDBC存储过程。 使用 Statement 对象。在对数据库执行一次性存取的侯,用 Statement 对象进行处理。PreparedStatement 对象的开销比Statement大,对于一次性操作并不会带来额外的好处。 Statement每次执行sql语句,...
JDBCStatement和PreparedStatement的区别
m0_55042712的博客
08-24 139
Statement存在sql注入问题,PreparedStatement解决了sql注入问题. Statement是编译一次执行一次,PreparedStatement是编译一次可以执行n次,PreparedStatement的效率较高一些. PreparedStatement会在编译阶段做类型的安全检查. 综上所述:PreparedStatement使用较多,只有在极少数情况下使用Statement Statement支持SQL注入,凡是业务方面要求需要进行sql语句拼接的,必须使用Stateme
详解Java的JDBCStatement与PreparedStatement对象
09-03
主要介绍了详解Java的JDBCStatement与PreparedStatement对象,PreparedStatement一般来说比使用Statement效率更高,需要的朋友可以参考下
34.jdbc中preparedStatementStatement的好处.avi
03-07
jdbc中preparedStatementStatement的好处
jdbc-增删改查和封装增删改查.docx
02-24
jdbc中,我们可以使用Statement、PreparedStatement和CallableStatement三个接口来执行SQL语句。 jdbc连接数据库jdbc中,我们可以使用DriverManager来加载数据库驱动程序,例如mysql的驱动程序...
unofficial-elasticsearch-jdbc-driver
05-12
PreparedStatement preparedStatement = connection.prepareStatement("SELECT * FROM library WHERE release_date < '2000-01-01' order by name"); ResultSet resultSet = preparedStatement.executeQuery(); ...
jdbc-odbc的基本操作
12-27
PreparedStatement pstmt = null; ResultSet rs = null; try { //连接的是jdbc-odbc桥 String dbUrl = "jdbc:odbc:driver={Microsoft Access Driver (*.mdb)};DBQ="+dbPath; ...
jdbc preparestatement 执行多条语句_JDBC
weixin_39578457的博客
11-28 430
Java 数据库连接(JDBC)API 用于对接不同的数据库 —— 由遵守不同网络协议的数据库厂商提供第三方驱动程序,再由 Java 提供一个驱动管理器和一套 API,驱动程序就会注册到驱动管理器中,在此基础上,调用 API 即能访问驱动管理器,最后通过驱动程序与实际的数据库通信。驱动程序的实现经历过多次演进,目前以纯 Java 语言实现,它能将 JDBC 请求直接翻译成数据库相关的协议。使用 J...
通过prepredStatement 解决注入问题
weixin_43525993的博客
09-16 383
sql注入的原因: 目前的sql语句是字符串拼接完成的, 里面的传入的参数如果有关键字如or等, 就会把他当作关键字处理导致的 @Test public void demo03() { // 目的: 演示 sql 注入, 非法登录 // 模拟获取用户自己填写的 用户名和密码 // 模拟登录成功 String usernme = "aaa"; String password = "123"; .
JDBC(二):使用parpredstatement方法连接数据库
RadNICkMan的博客
02-29 562
java public class ParparedStatement { public static void main(String[] args) { Connection conn = null; PreparedStatement ps = null; // --1.加载驱动 try { Class.forName(“com.mysql.jdbc.Driver”); } catch (C...
JAVA数据库编程和预编译语句
snannan_268的专栏
07-07 1092
JAVA数据库编程和预编译语句<br />一、首先介绍一下JDBC    JDBC API是一系列抽象的接口,应用程序开发人员通过它可以编写访问数据库的Java应用程序。JDBC API中,抽象类的实现是由驱动程序开发商提供的。驱动程序实现了应用程序和某个数据库产品之间的接口,它的治理器则对应用程序和驱动程序之间的交互进行控制。JDBC API主要用来连接数据库和直接调用SQL命令,执行各种SQL语句。利用JDBC API可以执行一般的SQL语句、动态SQL语句,以及带IN和OUT参数的存储过程。 <br
JDBC 中preparedStatementStatement区别
发呆的程序猿
05-16 4万+
一、概念PreparedStatement是用来执行SQL查询语句的API之一,Java提供了 Statement、PreparedStatement 和 CallableStatement三种方式来执行查询语句,其中 Statement 用于通用查询, PreparedStatement 用于执行参数化查询,而 CallableStatement则是用于存储过程。同PreparedStateme
Statement 和 PreparedStatement之间的关系和区别
热门推荐
suwu150
10-06 6万+
关系:PreparedStatement继承自Statement,都是接口 区别:PreparedStatement可以使用占位符,是预编译的,批处理比Statement效率高表示预编译的 SQL 语句的对象。 接口:public interface PreparedStatement extends Statement之间的继承关系 SQL 语句被预编译并存储在 PreparedStatement 对象中。然后可以使用此对象多次高效地执行该语句。 注:用于设置 IN 参数值的设置方法(setShort
JDBC中的Statement和PreparedStatement的区别
严老板的技术梦想博客
05-05 8651
应该尽可能以PreparedStatement代替Statement: (1)代码的可读性和可维护性; (2)PreparedStatement尽最大可能提高性能; (3)极大的提高了安全性。
jdbc连接mysqlstatement和preparedStatement的区别
L_ILove的博客
12-16 1935
直接上代码public class StringTest { public static void main(String[]args) throws SQLException { String url="jdbc:mysql://localhost:3306/test1?useUnicode=true&charsetEncoding=utf8"; String username="ro
sqlite-jdbc-3.34.0.jar
最新发布
01-19
,还可以使用PreparedStatement和ResultSet对象来处理带参数的SQL语句和查询结果。 为了使用sqlite-jdbc-3.34.0.jar,我们需要导入驱动程序的类库,并通过Class.forName()方法加载驱动程序。然后,可以通过...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值