JDBC——批处理和防止SQL注入问题

最新推荐文章于 2024-04-23 13:01:43 发布
最新推荐文章于 2024-04-23 13:01:43 发布
阅读量431 收藏 1
点赞数
文章标签: jdbc java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45541906/article/details/109258126
版权

1.批处理

(1)批处理的概念

所谓的批处理指的是一次性向数据库之中发出多条操作命令一起执行。 需要向数据库发送多条sql语句时, 为了提升执行效率, 可以采用JDBC的批处理机制.

(2)批处理的方法

  • addBatch(String sql) :Statement类的方法, 调用该方法可以将sql语句添加到Statement对象的命令列表中。执行批处理时将一次性的把这些sql语句发送给数据库进行处理
  • addBatch(): PreparedStatement类的方法, 调用该方法可以将预编译的sql语句添加到PreparedStatement对象的命令列表中。执行批处理时将一次性的把这些sql语句发送给数据库进行处理
  • executeBatch():把Statement对象或PreparedStatement对象命令列表中的所有sql语句发送给数据库进行处理.
  • clearBatch(): 清空当前sql命令列表.

(3)批处理的实际操作

public class BatchTest {
	@Test
	public void statementBatch() {
		Connection conn = null;
		Statement st = null;
		String sql_1 = "insert into test(name, age) values('miao', 24)";
		String sql_2 = "insert into test(name, age) values('xie', 22)";
		String sql_3 = "insert into test(name, age) values('wang', 21)";
		String sql_4 = "update test set name='java' where id=1";
 
		try {
			//工具包来连接数据库
			conn = JdbcUtils.getConnection();
			st = conn.createStatement();
			st.addBatch(sql_1);
			st.addBatch(sql_2);
			st.addBatch(sql_3);
			st.addBatch(sql_4);
			//执行所有的sql语句
			st.executeBatch();
			//清空sql命令列表
			st.clearBatch();
		} catch (SQLException e) {
			e.printStackTrace();
		} finally {
			JdbcUtils.release(null, st, conn);
		}
	}
 
	@Test
	public void preparedStatementBatch() {
		Connection conn = null;
		PreparedStatement st = null;
		String sql = "insert into test(name, age) values(?, ?)";
 
		try {
			conn = JdbcUtils.getConnection();
			//通过只打开一个连接
			st = conn.prepareStatement(sql);
			for (int i = 0; i < 10002; i++) {
				st.setString(1, "student_" + i);
				st.setInt(2, i);
				st.addBatch();
				// 需要防止Preparedstatement对象中的命令列表包含过多的待处理sql语句
				// 而造成outOfMemory错误
				if (i % 500 == 0) {
					st.executeBatch();
					st.clearBatch();
				}
			}
			// 将剩下的未处理命令发送给数据库
			st.executeBatch();
		} catch (SQLException e) {
			e.printStackTrace();
		} finally {
			//关闭连接,释放资源
			//resultSet.close();
        	//statement.close();
        	//connection.close();
			JdbcUtils.release(null, st, conn);
		}
	}
}

注意 不要一次性向命令列表中添加数量过多的sql语句, 防止出现outOfMemory错误.

(4)总结

Statement.addBatch(String sql) 来实现批处理的话,可以批处理不同的sql语句, 但是这些sql语句没有进行预编译,执行效率不高。 且需要列出每一个sql语句。而PreparedStatement.addBatch() 只能应用在类型相同参数不同的sql语句中, 此种形式的批处理经常用于在同一个表中批量插入数据, 或批量更新表的数据.

2.防止SQL注入问题

(1)什么是SQL注入

指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。

任何一个基于SQL语言的数据库都可能被攻击,很多开发人员在编写Web应用程序时未对从输入参数、Web表单、cookie等接受到的值进行规范性验证和检测,通常会出现SQL注入漏洞。

(2)怎么防止SQL注入

A.使用PreparedStatement来代替Statement来执行SQL语句

java防SQL注入,最简单的办法是杜绝SQL拼接。使用PreparedStatement来代替Statement来执行SQL语句,其后只是输入参数,SQL注入攻击手段将无效,这是因为PreparedStatement不允许在不同的插入时间改变查询的逻辑结构

B.采用正则表达式将包含有 单引号,分号和注释符号的语句给替换掉来防止SQL注入,

......
public static String TransactSQLInjection(String str){
	return str.replaceAll(".*([';]+|(--)+).*", " ");
}
userName=TransactSQLInjection(userName);
password=TransactSQLInjection(password);
String sql="select * from users where username='"+userName+"' and password='"+password+"' "
Statement sta = conn.createStatement();
ResultSet rs = sta.executeQuery(sql);
......

C.使用Hibernate框架的SQL注入防范

Hibernate是目前使用最多的ORM框架,在Java Web开发中,很多时候不直接使用JDBC,而使用Hibernate来提高开发效率。

(3)总结

如今在进行项目开发时已经很少使用原生的jdbc了,大多数都用功能强大的框架去完成,他们帮我们简化了很多操作,如获取数据库连接、封装结果集、SQL预编译(可以防止SQL注入)

旧雪
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JDBC如何有效防止SQL注入
12-14
在我们平时的开发中,作为新手写JDBC很有可能忽略了一点,那是根本没有考虑SQL注入问题,   那么,什么是SQL注入,以及如何防止SQL注入问题。   一什么是SQL注入   所谓SQL注入,是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。[1] 比如先前的很多影视网站泄露VIP会员密码大多是通过WEB表单递交查询字
Hibernate使用中防止SQL注入的几种方案
01-20
 在获取便利操作的同时,SQL的注入问题也值得我们的密切注意,下面就来谈谈几点如何避免SQL注入:  1.对参数名称进行绑定: Query query=session.createQuery(hql); query.setString(“name”,name);  2.对参数...
JDBC技术【SQL注入JDBC批量添加数据、JDBC事务处理、其他查询方式】(三)-全面详解(学习总结---从入门到深化)
07-11 439
JDBC技术【SQL注入JDBC批量添加数据、JDBC事务处理、其他查询方式】(三)-全面详解(学习总结---从入门到深化)
SQL注入的解决方案
交小新的博客
09-24 572
SQL注入的解决方案 //解决SQL注入攻击的方案 private static void login2() { try{ Class.forName("com.mysql.jdbc.Driver"); String url="jdbc:mysql:///cgb2104?characterEncoding=utf8"; Connection conn = DriverManager.getConnection(url, "root", "root");
JDBC小记——SQL注入及预编译操作对象、批处理
m0_63138660的博客
06-25 647
首先建一个工具包,在里面定义JBDC工具类但是,数据库、用户名和密码总不是固定不变的,当我们需要去改变时,需要打开这个工具类来改变数据,不如我们创建一个配置文件,使用配置文件来读取数据、修改数据来的方便。1.创建配置文件2.配置3.在工具类中使用配置文件。
使用PreparedStatement执行批量插入sql的三种方式以及效率
weixin_45861045的博客
08-01 4477
jdbc学习
jdbc批处理原理分析
dennyWang的专栏
05-31 1万+
需要向数据库发送多条sql语句时, 为了提升执行效率, 可以考虑采用JDBC批处理机制. JDBC批处理机制主要涉及Statement或PreparedStatement对象的以下方法: |--addBatch(String sql) :Statement类的方法, 多次调用该方法可以将多条sql语句添加到Statement对象的命令列表中. 执行批处理时将一次性的把这些sql语句发送
使用JdbcTemplate解决SQL注入问题
m0_74582314的博客
04-22 1140
int affected =jdbcTemplate.update(sql, 11, "红孩儿 11", "红色头更大了");String sql = "INSERT INTO monster VALUES(10, '红孩儿', '红色头大')";方式一存在sql注入问题,使用方式二绑定参数的形式可有效解决sql注入问题
JdbcTemplate防注入的几种方式
热门推荐
夜晓星的博客
01-18 1万+
使用数组 public void deleteItemByName(String name) { Object[] obj = new Object[] { name}; String sql = "DELETE FROM t_item WHERE name = ? "; jdbcTemplate.update(sq...
JdbcTemplate防止sql注入攻击的源码解析
阿呆的专栏
09-04 9626
概述 使用spring中org.springframework.jdbc.core.JdbcTemplate进行sql上查询时,如果采用拼接sql的方式,是会发生sql注入攻击的。 会发生sql注入的查询 query(String sql, RowMapper<T> rowMapper) 源码解析 @Override public <T> List<T> q...
sql注入和xss攻击, springmv拦截器
07-24
sql注入和xss攻击, springmv拦截器,可自由调整需要拦截的字符
JDBC进行批处理共4页.pdf.zip
10-30
JDBC进行批处理共4页.pdf.zip
sqljdbc和sqljdbc4 sqlserver最新驱动
04-21
sqljdbc和sqljdbc4最新sqlserver驱动,java连接数据库驱动,亲测试正常,放心下载使用
string模拟实现
最新发布
m0_73969414的博客
04-23 815
c++中string的模拟实现,面试必会知识点
【1524】java投票管理系统Myeclipse开发mysql数据库web结构java编程计算机网页项目
qq_251836457的博客
04-18 827
2、开发环境为TOMCAT7.0,Myeclipse8.5开发,数据库为Mysql5.0,使用java语言开发。(5)投票选项管理:对投票选项信息进行添加、删除、修改和查看。(6)投票记录管理:对投票记录信息进行添加、删除、修改和查看。(1)管理员管理:对管理员信息进行添加、删除、修改和查看。(2)用户管理:对用户信息进行添加、删除、修改和查看。(3)公告管理:对公告信息进行添加、删除、修改和查看。(4)投票管理:对投票信息进行添加、删除、修改和查看。4)投票浏览查看、查看投票、投票记录。
javaweb-SpringBoot基础
kussm_的博客
04-20 1089
Spring的官网(Spring的简介:Spring makes Java simple。Spring Boot 可以帮助我们非常快速的构建应用程序、简化开发、提高效率。创建一个子包controller。
2.8 构建gradle环境
蚊者逆袭的博客
04-18 2249
Gradle是一种现代化的构建工具,用于自动化地构建、测试和部署软件项目。它是一种基于JVM(Java虚拟机)的构建工具,最初是为了解决Apache Ant和Apache Maven等传统构建工具的一些限制而开发的。
Web前端 Javascript笔记5
cycyzh的博客
04-18 971
script>'console.log("哈哈哈佳人们好困")'}, 3000)​let t1 = setTimeout('console.log("你们看到这句话的时候我早已身价百万!!")', 4000)​</script>3秒,四秒后出来的东西,出现前会返回计时器编号。
JUC(java.util.concurrent) 的常见类
weixin_43497876的博客
04-20 1235
Callable 是一个 interface(类似之前的 Runnable,用来描述一个任务,但是没有返回值)也是描述一个任务的,有返回值。方便程序猿借助多线程的方式计算结果.创建线程计算 1 + 2 + 3 + ... + 1000, 不使用 Callable。
jdbc怎么防止sql注入
06-10
为了防止SQL注入攻击,我们可以采取以下措施: ...总之,为了防止SQL注入攻击,我们需要使用预处理语句、参数化查询、过滤用户输入和限制数据库用户权限等多种方法,从多个层面保证数据库的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值