statement和preparestatement 小问题

最新推荐文章于 2021-02-09 01:55:57 发布
最新推荐文章于 2021-02-09 01:55:57 发布
阅读量804 收藏
点赞数
分类专栏: java 文章标签: sql注入 sqlite java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011700281/article/details/23679567
版权

statement比较容易被sql注入,因为他是直接把用户传进来的数据加入数据库

preparestatement 由于只是预留了空位,提高了防范注入的可能性。

不安全版

Statement s = connection.createStatement();
ResultSet rs = s.executeQuery("SELECT email FROM member WHERE name = "
                             + formField); // *boom*

安全版

PreparedStatement ps = connection.prepareStatement(
    "SELECT email FROM member WHERE name = ?");
ps.setString(1, formField);
ResultSet rs = ps.executeQuery();


statement的用户数据作为数据库语句的一部分传递进来的,因此在任何情况下,这个变量的内容都可以解析为SQL语句。而引号、分号、反斜杠、SQL注释表示法-其中的任何一个都不会产生任何特殊的效果,这个因为它们“只是数据”。这不会对其他东西造成破坏,因此这个应用很大程度上防止了SQL注入攻击。


021117
关注
专栏目录
PreparedStatement用法总结
thunder_1985的专栏
09-16 4085
       PreparedStatement 接口继承 Statement,并与之在两方面有所不同:      PreparedStatement 实例包含已编译的 SQL 语句。这就是使语句“准备好”。包含于 PreparedStatement 对象中的 SQL 语句可具有一个或多个 IN 参数。IN参数的值在 SQL 语句创建时未被指定。相反的,该语句为每 个 IN 参数保留一个问号(
mybatis - prepareStatementstatement的区别
m0_60309952的博客
01-11 950
首先看两段代码: 首先是使用prepareStatement: public void add(Config config){ String sql = "insert into category values(null,?,?)"; try { Connection c = DBUtil.getConnection(); PreparedStatement ps = c.prepareStatement(sql)
Statement与PrepareStatement问题
weixin_43788929的博客
11-27 225
Statement执行 ,其实是拼接sql语句的。 先拼接sql语句,然后在一起执行。 String sql = "select * from t_user where username='"+ username +"' and password='"+ password +"'"; UserDao dao = new UserDaoImpl(); dao.login("admin...
事务超时
热门推荐
08-29 1万+
事务超时       本文概览:介绍了超时有关的概念:@Transaction的timeout、mybatis的timeout、mysql的innodb_lock_wait_timeout。 1 问题 1.1 背景 在一个事务中完成解析一个大文件,分批存入到数据库。遇到问题,执行时间比较长,就讨论了事务超时的问题,担心执行时间太长,事务超时自动回滚了。 为了考虑这个问题,需要考虑如下...
Spring事务处理的实现
水灵动的博客
06-03 4297
一、事务概览 TransactionProxyFactoryBean:生成代理对象,通过TransactionInterceptor拦截代理方法。 具体到事务的生成、提交、回滚、挂起,需要适配应用指定的数据源对应事务处理,如DataSourceTransactionManager。 二、事务的应用场景 编码式事务:(控制狂)  展开原码 编码式事
Mysql事务超时
I want to know a little more.
07-16 7811
本文概览:介绍了超时有关的概念:@Transaction的timeout、mybatis的timeout、mysql的innodb_lock_wait_timeout。 1 问题 1.1 背景 在一个事务中完成解析一个大文件,分批存入到数据库。遇到问题,执行时间比较长,就讨论了事务超时的问题,担心执行时间太长,事务超时自动回滚了。 为了考虑这个问题,需要考虑如下超时相关的设置: 一个事务的超时时间。spring的@Transactional 一个stametn的执行时间。包括mybais的tim
prepareStatementStatement的区别
09-23
prepareStatementStatement的区别 prepareStatementStatementJava 中两个常用的数据库操作接口,它们都可以用来执行 SQL 语句,但是它们之间有着明显的区别。 首先,从创建时的区别开始,Statement 需要...
利用JDBC的PrepareStatement打印真实SQL的方法详解
08-29
PreparedStatement ps = connection.prepareStatement(sql); ps.setInt(1, 10); ``` 在这个例子中,我们想知道实际执行的SQL语句是"SELECT * FROM table WHERE id = 10"。为了实现这个需求,我们可以自定义一个辅助...
statement和preparestatement
06-06
statement和preparestatement都是Java中用于执行SQL语句的接口。 statement是最基本的接口,可以执行静态的SQL语句,但是存在SQL注入的风险。因为statement将SQL语句和参数一起拼接成字符串,如果参数中包含恶意...
JDBC PrepareStatement 使用(附各种场景 demo)
最新发布
01-14
在使用JDBC和PrepareStatement时,别忘了关闭资源,例如ResultSet、Statement和Connection,以避免内存泄漏。可以使用try-with-resources语句来确保资源的正确关闭。 这个资源提供的示例代码将帮助开发者深入理解...
JDBC PreparedSatement 解决 SQL 注入问题
Regino的博客
05-09 424
本文介绍了 JDBC 中用 PreparedSatement 类解决 SQL 注入问题的相关内容。。。
MySQL对PreparedStatement的支持
逆水行舟不进则退,学无先后达者为先。
09-18 271
关键字:No value specified for parameter HQL:[code="sql"]FROM User user WHERE UPPER(user.loginid)=? AND user.passwd=?[/code] 执行的Java代码:[code="java"]getHibernateTemplate().find(hql, new Object[]{uppe...
PreparedStatement是如何防止SQL注入的?
weixin_30920597的博客
09-26 483
为什么在Java中PreparedStatement能够有效防止SQL注入?这可能是每个Java程序员思考过的问题。 首先我们来看下直观的现象(注:需要提前打开mysql的SQL文日志) 1. 不使用PreparedStatement的set方法设置参数(效果跟Statement相似,相当于执行静态SQL) String param = "'test' or 1=1"; ...
深入理解PreparedStatementStatement
weixin_30826761的博客
11-16 62
  执行SQL语句时,就执行一次使用Statement对象,当一句SQL语句要执行多次,这时使用PrepareStatement。虽然使用PrepareStatement执行一次时非内存,但是,在后来的执行SQL语句就会表现出它的优势。 转载于:https://www.cnblogs.com/wolf-miaoqing/p/4970343.html...
python cx_oracle clob对象_Python cx_Oracle 操作Oracle 数据库
weixin_31759829的博客
02-09 386
Developer: Open SourceMastering Oracle+Python, Part 1: Querying Best Practicesby Przemyslaw PiotrowskiAs a first step, get familiar with the basic concepts of Oracle-Python connectivityPublished Septe...
关于mysql的错误 - no query specified
系统运维
05-14 610
Mysql----error:no query specified mysql下抛出错误: error:no query specified 出现此错误是sql不合法原因: 如:select * from abc\G; 或者 select * from abc;; <wbr></wbr> \G后面不需要再加分号; ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值