JDBC中Statement接口的用法中需要注意sql注入的问题和使用PreparedStatement的基本用法

最新推荐文章于 2023-09-15 11:08:19 发布
最新推荐文章于 2023-09-15 11:08:19 发布
阅读量151 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44007988/article/details/102144876
版权

JDBC中Statement接口的用法中需要注意sql注入的问题
在Statement接口中字符串只能以拼接的形式进行传递

package cn.com.jdbc;

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.SQLException;
import java.sql.Statement;

@SuppressWarnings("all")
public class Demo02 {
    //测试执行SQL语句以及SQL注入问题
    public static void main(String[] args) {
        try {
            //加载驱动类
            Class.forName("com.mysql.jdbc.Driver");
            //建立连接
            Connection c = DriverManager.getConnection("jdbc:mysql://localhost:3306/testjdbc","root","123456");
            Statement st = c.createStatement();
//            String sql = "insert into t_user(id,name,gender) values(4,\"小红\",\"女\")";

            String name = "小军";
            String sql = "insert into t_user(id,name,gender) values(5,'"+name+"','男')";//字符串只能拼接的形式
            st.execute(sql);

            //测试SQL注入
//            String id = "5 or 1 = 1";
//            String sql = "delete from t_user where id ="+id;
//            st.execute(sql);
        } catch (ClassNotFoundException e) {
            e.printStackTrace();
        } catch (SQLException e) {
            e.printStackTrace();
        }
    }
}

这里面的values里面用?(占位符)来表示,避免了SQL注入的问题,并且有对应的set类型的方法和setObject()方法

package cn.com.jdbc;

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.SQLException;

@SuppressWarnings("all")
public class Demo03 {
    //测试PreparedStatement的基本用法
    public static void main(String[] args) {
        try {
//            //加载驱动类
//            Class.forName("com.mysql.jdbc.Driver");
//            //建立连接
//            Connection c = DriverManager.getConnection
//                    ("jdbc:mysql://localhost:3306/testjdbc","root","123456");
//            String sql = "insert into t_user(id,name,gender) values(?,?,?)"; //?占位符 防止SQL注入
//            PreparedStatement ps = c.prepareStatement(sql);
            ps.setString(1,"小明"); //jdbc中参数索引从1 开始计算
            ps.setString(2,"男");
//            ps.setInt(1,5);
//            ps.setString(2,"小高");
//            ps.setString(3,"男");
//
            ps.setObject(1,"小亮");
            ps.setObject(2,"男");
//            System.out.println("插入一行数据");
//            ps.execute();
            Class.forName("com.mysql.jdbc.Driver");
            Connection c = DriverManager.getConnection("jdbc:mysql://localhost:3306/testjdbc","root","123456");
            String sql = "insert into t_user(id,name,gender) values(?,?,?)";
            PreparedStatement ps = c.prepareStatement(sql);
            ps.setObject(1,"8");
            ps.setObject(2,"小浩");
            ps.setObject(3,"男");
            System.out.println("执行添加语句");
            ps.execute();
        } catch (ClassNotFoundException e) {
            e.printStackTrace();
        } catch (SQLException e) {
            e.printStackTrace();
        }
    }
}
旧时光的小弥猫
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JDBC使用Statement操作数据库时产生的SQL注入问题原因分析
weixin_45873215的博客
12-16 569
SQL注入问题简单介绍 1.JDBC使用Stement对数据库增删改查, 执行sql语句时使用拼接字符串会导致SQL注入 2.JDBC使用PreaparedStement可以有效避免SQL注入问题 应用实例:创建一个login数据表且设置好其用户名与密码,然后使用jdbc连接该数据库,其登录数据库的账号和密码在java控制台由键盘输入。 建表语句(本人使用的数据库是mysql数据库) create datebase basketball; use basketball; create table l
JDBC连接如何防止SQL注入
lucyLee的博客
10-07 4917
1. 绪言 想要学习mybatis的相关知识,学习之前复习了下JDBC的相关知识 发现自己竟然连如何实现JDBC连接都不知道了,真的是少壮用CV(粘贴复制),老大徒伤悲???? 总结一下,JDBC连接分为三步: 加载JDBC驱动 创建数据库连接 操作数据库实现增删改查:获取statement,执行SQL语句,处理执行结果 简单的连接和查询示例如下: import java.sql.*; public class Test { private static final String DR
Java——JDBC
qq_41424681的博客
03-24 524
1. PreparedStatement 1.1 PreparedStatement插入数据 @Test public void testInsert() { User user = new User(1, "lb", "851425"); Connection connection = null; PreparedStatement preparedStatement =...
使用PreparedStatement避免sql注入
qq_40327787的博客
06-07 1149
此时#后面的就变成了注释,而select查询时,判断的是哪条语句能使where后面为真,当输入or 1=1 时候,后面就永远为真,所有语句都会存入resultSet,这时候就会有人说可以将判断设置成resultSet = 1;这里产生这种情况的原因是,我们在定义sql语句时,是把我们输入的部分聚合成字符串,再去执行语句,当时输入的部分内容有关键字时,他并不会做特殊处理,只会一股脑执行。当我们输入 dqwdqw’ or 1 = 1;但我们输入如下代码,就会提示登录成功。当我们随便输入时,会提示登录失败!
PreparedStatement的setObject
Context
04-30 9971
【PreparedStatement的setObject的作用和setString的作用是一样的!】 2015-01-31 01:59 1757人阅读 评论(0) 收藏 举报  分类: web入门(3)  版权声明:本文为博主原创文章,未经博主允许不得转载。 【PreparedStatement的setObject的作用和setString
JDBCStatement和Preparement的使用讲解
08-26
JDBC Statement 和 PrepareStatement使用讲解 Statement 对象是用来执行 SQL 语句的接口,提供了基本SQL 语句执行功能。PrepareStatementStatement 的子接口,提供了预编译的功能,可以提高性能和安全...
详解Java的JDBCStatement与PreparedStatement对象
09-03
在Java的JDBC(Java Database Connectivity),与数据库交互的核心接口Statement和PreparedStatement。这两个接口都是用于执行SQL语句的,但它们在特性和效率上有所不同。 Statement接口是最基本SQL执行方式...
javaPreparedStatementStatement详细讲解
08-25
Java 的 PreparedStatementStatement 是两个常用的数据库操作接口,但是它们之间存在着一些关键的区别,特别是在防止 SQL 注入攻击方面。PreparedStatement 对象可以防SQL 注入,而 Statement 对象则不能...
Java JDBC基本使用方法详解
08-19
Java JDBC基本使用方法详解 Java JDBC是Java语言用于连接数据库的API,提供了统一的接口来访问不同的数据库。下面是Java JDBC基本使用方法的详细解释。 1. 什么是JDBCJDBC全称Java Database Connectivity,...
利用JDBC的PrepareStatement打印真实SQL方法详解
08-29
在Java的JDBC编程,`PreparedStatement`是一个非常重要的接口,它提供了预编译的SQL语句功能,能够显著提高执行效率,尤其是在批量处理大量数据时。`PreparedStatement`也被称为JDBC存储过程,因为它允许开发者...
通用的增删改查方法(反射)附带MySQL数据库连接
wxj123465的博客
11-07 1038
/**  * 数据库连接类  * getConnection获取一个Connection对象,利用的是从文件读取配置文件,此处这个配置文件在项目下,不在包下。  * getPreparedStatement(String sql) 赋值前的preparedStatment  * setPreparedStatement(PreparedStatement statement, Objec
PreparedStatement的setObject作用
顺其自然~专栏
12-02 405
在了解setObject作用前讲解一下PreparedStatement这个接口,然后循序渐进从setXxx()方法讲解到setObject。
PreparedStatement的setObject与getObject方法
qq_43750656的博客
03-10 1841
使用setObject方法填充占位符时,setObject会判断实际传入的参数类型,进行参数转换,例如,如果是String类型,则会在参数开始和结尾追加 ',setString的源码 parameterAsBytes = null; buf = new StringBuilder(x.length() + 2); buf.append('\''); buf..
【运维】PreparedStatement防止SQL注入
最新发布
weixin_37543485的博客
09-15 470
参数化查询是编写安全数据库代码的最佳实践之一。
PreparedStatement 防止 SQL 注入原理
Acx7的博客
12-10 2582
前言   PreparedStatement 对象可以防SQL 注入,而 Statement 对象不能防止 SQL 注入,接下来使用一个案例剖析原理。 原理 使用如下代码模拟 SQL 注入 总结   由最终执行的 SQL 可以看出,PreparedStatement 防止 SQL 注入的原理就是把用户非法输入的单引号进行转义,最终传入参数作为一个整体执行,从而防止 SQL 注入,而 Statement 对象不会进行此操作。   PreparedStatement 可以有效防止 SQL 注入,你
PreparedStatement防止SQL注入
qq_42732184的博客
04-19 1553
添加数据: package com.hyc.study03; import com.hyc.study02.utils.JDBCUtils; import java.sql.Connection; import java.sql.ResultSet; import java.util.Date; import java.sql.PreparedStatement; import java.sql.SQLException; public class TestInsert { public stat
【Java】 Java Project 挑战系列第11篇:Java Database-• Java Database Connectivity (JDBC
m0_74331272的博客
04-09 181
• public boolean execute(String sql): is used to execute queries that may return multiple results.(存疑?•JDBC API允许从数据库执行查询,如保存,更新,删除和获取数据。•JDBC API提供了对存储在任何关系数据库的表格数据的访问。•JDBC API使用JDBC驱动程序连接数据库。
JDBC使用preparedStatement防止SQL注入
龟的小号的博客
02-17 5379
文章目录一、SQL注入二、SQL注入实例登录场景:情形1:(免账号登录)情形2:(删除数据库)三、防止SQL注入方法四、登录项目1、用户表2、项目结构3、登录实现4、登录测试 一、SQL注入 SQL注入是一种比较常见的网路攻击方式,一些恶意人员在需要用户输入的地方,恶意输入SQL语句的片段,通过SQL语句,实现无账号登录,甚至篡改数据库。 二、SQL注入实例 登录场景: 在一个登录界面,要求用户输...
SQL编写常见错误记录
weixin_34295316的博客
12-15 94
2019独角兽企业重金招聘Python工程师标准>>> ...
写出jdbcStatement和PreparedStatement区别?
06-01
JDBCStatement和PreparedStatement都是执行SQL语句的接口,但是它们之间有以下几个区别: 1. 预编译:PreparedStatement在执行前会先进行编译,这意味着它可以重复执行,而不需要每次都编译一遍,因此可以...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值