MySQL中JDBC的预处理(防止sql语句的注入问题)

最新推荐文章于 2023-09-16 17:58:10 发布
最新推荐文章于 2023-09-16 17:58:10 发布
阅读量660 收藏 2
点赞数
分类专栏: mysql Java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44392084/article/details/104928899
版权

首先来看一下未经预处理的小程序,这个小程序是注册和登录功能,静态的sql 语句,语法不确定性,通过 stmt 执行【Statement stmt 创建】,但这样的话可能会给懂的一些语言的人轻松破解你账户的机会,所以MySQL为了防止这种方式的发生,提供了一种预处理的机制PreparedStatement pstmt

package 未预处理的结果;

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;
import java.util.Scanner;
/**
 * @author Draco-_-
 * @see 未预处理的后果,stmt静态语句,语法不确定性,可能会导致别人破解你的账户
 * @version
 * @date-time 2020-03-17 - 上午9:46:59
 */
public class Test {
	Scanner scanner = new Scanner(System.in);

	public static void main(String[] args) {

		Test t = new Test();
		System.out.println("欢迎来到小程序~~");
		System.out.println("1——>注册");
		System.out.println("2——>登录");
		System.out.println("0——>退出");
		System.out.print("请选择功能序号:");
		int i = t.scanner.nextInt();
		switch (i) {
		case 1:
			t.zhuce();
			break;
		case 2:
			t.denglu();
			break;
		case 0:
			System.out.println("退出成功,欢迎下次再来~~");
			break;
		}

	}

	public void zhuce() {
		Connection conn;
		Statement stmt;// 不是预处理的,正常的
		ResultSet rs;

		String url = "jdbc:mysql://localhost:3308/crx654";
		String user = "root";
		String password = "mysql";

		try {
			Class.forName("com.mysql.jdbc.Driver");
			conn = DriverManager.getConnection(url, user, password);
			stmt = conn.createStatement();
			System.out.println("欢迎来到注册功能模块");
			System.out.print("请输入用户名:");
			String name = scanner.next();
			System.out.print("请输入密码:");
			String psd = scanner.next();

			String sql = "insert into userinfo(username,psd) values('" + name + "','" + psd + "')";
			int i = stmt.executeUpdate(sql);
			if (i == 1) {
				System.out.println("操作成功");
			} else {
				System.out.println("操作失败");
			}

		} catch (ClassNotFoundException e) {
			e.printStackTrace();
		} catch (SQLException e) {
			e.printStackTrace();
		}
	}

	/**
	 * @see 此登录方法只是简单提供登录失败的信息
	 */
	public void denglu() {
		Connection conn;
		Statement stmt;// 不是预处理的,正常的
		ResultSet rs;

		String url = "jdbc:mysql://localhost:3308/user";
		String user = "root";
		String password = "mysql";

		try {
			Class.forName("com.mysql.jdbc.Driver");
			conn = DriverManager.getConnection(url, user, password);
			stmt = conn.createStatement();
			System.out.println("欢迎来到登录功能模块");
			System.out.print("请输入用户名:");
			String name = scanner.next();
			System.out.print("请输入密码:");
			String psd = scanner.next();

			String sql = "select * from userinfo where username='" + name + "' and psd='" + psd + "'";
			rs = stmt.executeQuery(sql);
			if (rs.next()) {
				System.out.println("登录成功");
			} else {
				System.out.println("登录失败");
			}

		} catch (ClassNotFoundException e) {
			e.printStackTrace();
		} catch (SQLException e) {
			e.printStackTrace();
		}
	}
}

经过预处理之后的jdbc代码,只需要更换【Statement stmt; 】——>【PreparedStatement pstmt;】,其他的 jdbc 顺序不变

package jdbc的预处理;

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.util.Scanner;

/**
 * @author Draco-_-
 * @see 经过PreparedStatement预处理的jdbc语句,动态的语句,语法先确定,不会影响sql的语法,避免了sql的注入问题
 * @version 
 * @date-time 2020-03-17 - 下午7:37:25
 */
public class Test {

	Scanner scanner = new Scanner(System.in);

	public static void main(String[] args) {

		Test t = new Test();
//		t.zhuce();
		t.denglu();
		
	}

	public void zhuce() {
		Connection conn;
		PreparedStatement pstmt;// 是经过预处理的
//		Statement stmt;// 不是预处理的,正常的

		String url = "jdbc:mysql://localhost:3308/crx654";
		String user = "root";
		String password = "mysql";

		try {
			Class.forName("com.mysql.jdbc.Driver");
			conn = DriverManager.getConnection(url, user, password);
			//变量用?代替
			String sql = "insert into userinfo(username,psd) values(?,?)";
			
			pstmt = conn.prepareStatement(sql);// 直接要sql语句来预编译
			System.out.println("欢迎来到注册功能模块");
			System.out.print("请输入用户名:");
			String name = scanner.next();
			System.out.print("请输入密码:");
			String psd = scanner.next();
			
			//给两个??赋值
			pstmt.setString(1, name);//第一个
			pstmt.setString(2, psd);//第二个

			int i = pstmt.executeUpdate();
			if (i == 1) {
				System.out.println("操作成功");
			} else {
				System.out.println("操作失败");
			}

		} catch (ClassNotFoundException e) {
			e.printStackTrace();
		} catch (SQLException e) {
			e.printStackTrace();
		}
	}
	
	public void denglu() {
		Connection conn;
		PreparedStatement pstmt;// 是经过预处理的
//		Statement stmt;// 不是预处理的,正常的
		ResultSet rs;

		String url = "jdbc:mysql://localhost:3308/user";
		String user = "root";
		String password = "mysql";

		try {
			Class.forName("com.mysql.jdbc.Driver");
			conn = DriverManager.getConnection(url, user, password);
			//变量用?代替
			String sql = "select * from userinfo where username=? and psd=?";
			
			pstmt = conn.prepareStatement(sql);// 直接要sql语句来预编译
			System.out.println("欢迎来到登录功能模块");
			System.out.print("请输入用户名:");
			String name = scanner.next();
			System.out.print("请输入密码:");
			String psd = scanner.next();
			
			//给两个??赋值
			pstmt.setString(1, name);//第一个
			pstmt.setString(2, psd);//第二个

			rs = pstmt.executeQuery();
			if(rs.next()) {
				System.out.println("登录成功");
			}else {
				System.out.println("登录失败");
			}

		} catch (ClassNotFoundException e) {
			e.printStackTrace();
		} catch (SQLException e) {
			e.printStackTrace();
		}
	}

}

最后,上面的两个Java的运行的效果是一样的,但是大家不觉得这样写 jdbc 代码会冗余吗,所以下一篇将会写一篇关于 jdbc 封装的博文,到时候会给一个链接的。
谢谢观看,如有错误,还请不吝赐教

Draco-_-
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
MySQL预处理语句prepare、execute与deallocate的使用教程
09-09
- **防止SQL注入**:预处理语句能够确保参数值被正确地处理,避免了直接拼接字符串可能导致的SQL注入问题。 在实际应用预处理语句可以适应各种复杂的场景。例如,你可以用它来动态构建SQL语句,如上面示例的...
java使用JDBC动态创建数据表及SQL预处理的方法
08-29
Java 使用 JDBC 动态创建数据表及 SQL 预处理的方法是 Java 语言常用的数据库操作技术。该方法主要涉及到 JDBC 操作数据库的连接、创建表、添加数据、查询等相关实现技巧。 一、JDBC 操作数据库的连接 在使用 ...
JDBCJDBC如何实现预处理SQL
后端研发工程师Marion的博客
03-20 854
2. 在PreparedStatement对象上调用setXXX()方法,为SQL语句的参数设置值。其XXX表示Java数据类型,例如setString()用于设置字符串类型参数,setInt()用于设置整型参数等等。首先创建了一个预处理语句对象pstmt,然后使用setInt()方法设置第一个参数为1,最后执行executeQuery()方法获取查询结果。3. 在PreparedStatement对象上调用executeQuery()或executeUpdate()方法来执行SQL语句
JDBC | 第三章: SQL预编译与防注入CRUD操作
qq_39449880的博客
02-14 1763
SQL预编译与防注入CRUD操作
预编译为什么能防止SQL注入?一看你就明白了。预编译原理详解
wangyuxiang946的博客
09-16 1万+
预编译可以将SQL语句模板化,值的位置用占位符替代,这样数据库就会事先编译好SQL语法结构,等真正调用的时候,再传入值执行,省掉了重复建立语法树的时间用户传入的参数不参与语法树的构建,就改不了SQL的语法结构,也就避免了注入
防止sql注入方法之预编译
波波豆奶
06-08 1022
PreparedStatement的预编译功能是指首先将SQL语句编译成可重复使用的预处理语句(PreparedStatement),然后将其保存在数据库服务器端的缓存以备后续使用。当需要执行该SQL语句时,只需将具体参数传入预处理语句即可快速执行SQL语句,而无需每次都重新解析和编译SQL语句。(3)打开mysql.log,发现其Prepare就是预编译SQL语句,Execute就是执行SQL语句。4.验证方法:通过日志文件来看一下预编译的效果(如果之前开启过日志可直接跳至(3))
JDBC连接如何防止SQL注入
lucyLee的博客
10-07 4893
1. 绪言 想要学习mybatis的相关知识,学习之前复习了下JDBC的相关知识 发现自己竟然连如何实现JDBC连接都不知道了,真的是少壮用CV(粘贴复制),老大徒伤悲???? 总结一下,JDBC连接分为三步: 加载JDBC驱动 创建数据库连接 操作数据库实现增删改查:获取statement,执行SQL语句,处理执行结果 简单的连接和查询示例如下: import java.sql.*; public class Test { private static final String DR
人工智能-项目实践-数据预处理-SQL语句分析、内置变量预处理、命名参数支持以及关系数据库访问与写入
最新发布
03-04
在人工智能项目实践,数据预处理是至关重要的一步,它涵盖了多个方面,如SQL语句的运用、内置变量的预处理、命名参数的支持以及关系数据库的访问与写入。这些环节对于确保数据的质量、准确性和可用性起着决定性的...
Java学习日志(三十三): JDBC预处理对象,连接池C3P0
12-14
**JDBC预处理对象(PreparedStatement)** 预处理对象是JDBC提供的一种增强的安全性和效率的SQL语句执行方式。在使用PreparedStatement时,我们先定义SQL模板,然后在执行时将参数动态插入。这样做的好处有: 1. *...
JDBC连接MySQL数据库批量插入数据过程详解
08-25
4. 设置SQL语句:使用PreparedStatement对象设置批量插入数据的SQL语句。 5. 遍历Map:遍历Map对象,获取每个JSONObject对象。 6. 设置实际参数:使用PreparedStatement对象设置实际参数。 7. 批量插入数据:使用...
JDBC是执行SQL语句的Java API
01-02
JDBC是执行SQL语句的Java API。其实,JDBC本身是一个产品的商标名。相对与ODBC(Open Database Connectivity开放数据库连接),也可以把JDBC看作“Java Database Connectivity(Java数据库连接)”。它由一组用Java语言编写的类与接口组成。JDBC已成为一种供工具/数据库开发者使用的标准API,用户可以用纯Java API来编写数据库应用。
JDBC预处理执行技术
程麒阁的博客
07-24 1054
JDBC预处理执行 预处理执行就是我先不执行它,在我需要的时候再执行它 我们先准备一个数据库 这个数据库是下面JDBC代码运行基础 只需要复制到你的mysql上执行下,刷新下就好 /* SQLyog Ultimate v11.24 (32 bit) MySQL - 5.6.39 : Database - af_school ********************************************************************* */ /*!40101 SET NAMES
SQL预处理语句(Prepared Statements)
热门推荐
that3的专栏
05-20 1万+
SQL预处理语句(Prepared Statements) 许多成熟的数据库都支持预处理语句(Prepared Statements)的概念。它们是什么东西?你可以把它们想成是一种编译过的要执行的SQL语句模板,可以使用不同的变量参数定制它。预处理语句具有两个主要的优点: 查询只需要被解析(或准备)一次,但可以使用相同或不同的参数执行多次。当查询准备好(Prepared)之后,数据
JDBC预处理语句setDate()方法的问题
congyuwei2490的博客
03-06 623
JDBC预处理语句setDate()方法的问题[@more@]JDBC预处理语句的setDate()设置的时间只包括年月日。要完整时间需要调用setTimeStamp()以前都是这样插入系统当前时间的:ps.setDate(1,...
JDBC的预编译语句
weixin_34236497的博客
12-18 205
什么是预编译语句 预编译语句PreparedStatement 是java.sql的一个接口,它是Statement的子接口。通过Statement对象执行SQL语句时,需要将SQL语句发送给DBMS,由DBMS首先进行编译后再执行。预编译语句和Statement不同,在创建PreparedStatement 对象时就指定了SQL语句,该语句立即发送给DBMS进行编译。当...
预处理语句
佳颖的专栏
04-15 1114
7.2.2  预处理语句JDBC API可以看到,PreparedStatement扩展自Statement,PreparedStatement是用于执行预编译的SQL语句,在提高性能方面有很多优点。下面以PreparedStatement举个例子,保存为TestPrepStmt.java。 例7-5  PreparedStatement预处理语句。 import java.sq
MySQL第六天----Java实现预处理、批处理、大数据字段与存储过程
~~~~~~~~~~~~
11-07 3225
1.预处理、批处理 JdbcDemo.java @Test public void saveAutoGenerateKeys(){ //自动增长列,实行的也是唱票机制,即只会往后增加,即使上面的记录被删除,也不会再从新使用 Connection con=ConnFactory.getConn(); String sql="insert into book(name,price,b
Java笔记4.4--JDBC简单预处理批处理防SQL注入
lfanchenyu的博客
08-05 142
预处理批处理语法: PreparedStatement pstmt; String query = "insert into student valuse (?,?)"; pstmt = connection.prepareStatement(query); pstmt.setString(1,"1"); pstmt.setString(2,"Peter"); pstmt.addBatch(); pstmt.executeBatch(); 项目一般PreparedStatement比Statemen
jdbc怎么获取预处理生成的实体sql
05-10
JDBC ,可以通过 `PreparedStatement` 接口的 `toString()` 方法来获取预处理生成的实体 SQL 语句。这个方法会返回完整的 SQL 语句,其占位符 `?` 会被预处理的参数值替换。 示例代码: ```java // 假设...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值