为什么要使用PrepareStatement详解

最新推荐文章于 2023-12-18 16:31:42 发布
最新推荐文章于 2023-12-18 16:31:42 发布
阅读量178 收藏
点赞数
文章标签: java Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_53227829/article/details/129629277
版权

不使用Statement的原因:

我们在使用Statement接口时有一个缺点。因为在使用Statement接口要进行sql语句的拼接,这样做不仅麻烦,容易出错,而且还存在安全漏洞。就是我们在不知道正确的用户名或者密码的时候,在后面加上or 1=1 也可以获取正确的数据,这就是典型的sql注入。

如果使用Statement对象在执行SQL语句很容易受到SQL的注入,那什么是SQL注入呢?

所谓SQL注入就是用户在能够控制SQL查询、更新、插入、删除等语句的参数的情况下,攻击者通过构造特殊的输入字符串使后端程序错误地识别SQL查询语句中 ·的代码与数据部分从而导致数据库管理系统输出了非预期的结果的一种行为。

SELECT * FROM Users WHERE Username='1' OR '1'='1' AND Password='1'OR '1'='1'

可以通过这样的SQL语句注入直接不需要输入正确的语句,就可以获取用户登录成功的正确账号信息等访问!

sql注入示例:

假设参数值是通过GET方法传递到服务器的,且域名为www.example.com 那么我们的访问请求就是:

http://www.example.com/index.php?username=1'%20or%20'1'%20=%20'1&password=1'%20or%20'1'%20=%20'1

对上面的SQL语句作简单分析后我们就知道由于该语句永远为真,所以肯定会返回一些数据,在这种情况下实际上并未验证用户名和密码,并且在某些系统中,用户表的第一行记录是管理员,那这样造成的后果则更为严重。而PrepareStatement接口就不存在这个问题。因为PrepareStatement使用的是预编译语句,传入的任何数据都不会和已经预编译的sql语句进行拼接,避免了sql注入攻击。

那么PrepareStatement比Statement好在哪呢?

①提高了代码的可读性和可维护性。虽然使用PreparedStatement来替代Statement会多几行代码,但是避免了繁琐麻烦又容易出错的sql语句拼接,提高了代码的可读性和可维护性。

②提高了sql语句执行的性能。创建Statement对象时不使用sql语句做参数,不会解析和编译sql语句,每次调用方法执行sql语句时都要进行sql语句解析和编译操作,即操作相同仅仅是数据不同。而PrepareStatement就不会,因为每次创建PrepareStatement对象时使用sql语句做参数,会解析和编译该sql语句。也可以使用带有占位符的sql语句做参数,在通过setXxx()方法给占位符赋值后执行sql语句时无需在解析和编译sql语句,直接执行即可。多次执行相同的操作可以大大提高性能。

③提高了安全性。因为PrepareStatement使用的是预编译语句,传入的任何数据都不会和已经预编译的sql语句进行拼接,避免了sql注入攻击。

是小邪邪呀
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
利用JDBC的PrepareStatement打印真实SQL的方法详解
08-29
PreparedStatement ps = connection.prepareStatement(sql); ps.setInt(1, 10); ``` 在这个例子中,我们想知道实际执行的SQL语句是"SELECT * FROM table WHERE id = 10"。为了实现这个需求,我们可以自定义一个辅助...
掌握数据库操作的关键技巧:深入解析prepareStatement方法
2301_77478553的博客
07-12 4140
prepareStatement是表示预编译的 SQL 语句的对象。prepareStatement方法是Java中用于准备执行SQL语句的方法。它可以避免SQL注入攻击,提高执行效率,且支持占位符,可以方便地设置参数。2.为什么要使用prepareStatementStatement与preparedStatement的区别:1. preparedStatement可以写动态参数化的查询。
JDBC中PreparedStatement详解及应用场景介绍
weixin_62079735的博客
03-20 5975
在Java中,当需要向数据库中执行SQL语句并传递参数时,我们通常会使用PreparedStatement接口。PreparedStatement继承自Statement接口,用于预编译SQL语句并执行参数化查询,这样可以提高执行效率并防止SQL注入攻击。
使用PrepareStatement执行SQL的好处
K_kzj_K的博客
01-22 1414
主要有两个好处: 一是PrepareStatement会预先提交带占位符的SQL到数据库进行预处理,提前生成执行计划。当给定占位符参数真正执行SQL时,执行引擎可以直接执行,效率更高一点。 另一个好处则更为重要,PrepareStatement可以防止SQL注人攻击。 假设我们允许用户通过App输人一个名字到数据中心查找用户信息,如果用户输人的字符串是Frank,那么生成的SQL如下: select from users where username = 'Frank'; 但是,如果用户输入的是
为什么PrePareStatement预处理对象能提升性能
最新发布
qq_71443736的博客
12-18 1227
PreparedStatement在第一次编译后,存放在数据库里,类似于K-V对应的方式存储,这样,当下一条同样的PreparedStatement发送到数据库里,数据库查找到有相应的K存在,就调用K中的方法,省却了再去重新创建语句的过程,提高数据库的性能。ORACLE只对简单的表提供高速缓冲(cache buffering) ,这个功能并不适用于多表连接查询。
24、PrepareStament
JavaDayUp
11-12 1614
学习目标: 1、了解PreparedStatement接口的意义 2、掌握PreparedStatement的使用 学习过程: 一、PreparedStatement接口简介 PreparedStatement是预编译的SQL语句,它继承了Statement 接口,使用PreparedStatement的优点是: (1)书写代码比较规范,不需要字符串的连接,毕竟字符串连接长了之后,看起...
MySQL prepare原理详解
12-15
”占位符的SQL语句,进行硬解析并生成语法树,然后存储在当前线程的PrepareStatement缓存中,用stmt->id作为键。Execute阶段,客户端只需提供stmt->id和参数,服务器就能从缓存中找到已解析的语句,设置参数并执行,...
Java JDBC基本使用方法详解
08-19
Statement对象可以使用createStatement()来获取,PreparedStatement对象可以使用prepareStatement(sql)来获取。 使用Statement执行语句时,需要使用executeQuery(sql)或executeUpdate(sql)方法来执行sql语句。...
php使用PDO方法详解
10-25
`PDOStatement::execute()` 是在预处理语句(prepared statement)上下文中使用的。预处理语句可以提高效率并增强安全性。`execute()` 返回布尔值,`true`表示成功,`false`表示失败。如果需要获取受影响的行数,应...
详解Java的JDBC中Statement与PreparedStatement对象
09-03
pstmt = conn.prepareStatement(SQL); // ... }catch (SQLException e) { // ... }finally { pstmt.close(); } ``` 在PreparedStatement中,参数是通过它们的顺序引用的,第一个问号对应位置1,第二个对应位置2...
PrepareStatement用法(附源码解析)
Sherlock1020的博客
08-11 5507
PrepareStatement 基本用法 与 SQL注入分析
JDBC连接mysql数据库及PrepareStatement的作用及原理
qq_36742720的博客
08-09 4121
java连接mysql数据库,首先需要引入mysql-connection-java.jar包,前面的博客中给大家分享了mysql-connection-java-5.1.28.jar包,有需要的自行下载。好了,上代码 //准备四大参数 String driverClassName="com.mysql.jdbc.Driver"; String url="jdbc:mysql://localh...
为什么PrepareStatement性能更好更安全?
轩1024的博客
08-14 585
行业现实在于面试要求大而全,实际工CRUD。以前我也觉得什么数据库搭建,什么性能优化,什么缓存。都是DBA要考虑的,我们只管CRUD。什么?你们公司连DBA都没有?太落后了吧?现在发现,以前都是井底之蛙,没机会遇到性能问题,而不是没有性能问题。现在基本上出去面试,SQL优化,数据库优化,JDBC底层原理都是硬性指标了。闲话不扯,主题开始吧。 我们Java用SQL操作数据库,有两种方式: 直接提交用Statement statement.executeUpdate("UPDATE Users .
JDBC学习笔记(4)——PreparedStatement的使用
weixin_34232363的博客
05-04 825
PreparedStatement public interface PreparedStatement extends Statement;可以看到PreparedStatement是Statement的子接口,我们在执行查询或者更新数据表数据的时候,拼写SQL语句是一个很费力并且容易出错的事情,PreparedStatement可以简化这样的一个过程. PreParedStatement1...
prepareStatement使用
weixin_44720982的博客
05-06 4606
使用prepareStatement完成数据库增删改查功能
使用PrepareStatement预编译对象执行sql语句
m0_70503831的博客
05-22 1128
使用PrepareStatement预编译对象执行sql语句 prepareStatement和Statement的对比
statement 、prepareStatement的用法和解释
热门推荐
bit-cafe
09-06 2万+
一、prepareStatement 的用法和解释 1.PreparedStatement是预编译的,对于批量处理可以大大提高效率. 也叫JDBC存储过程 2.使用 Statement 对象。在对数据库只执行一次性存取的时侯,用 Statement 对象进行处理。PreparedStatement 对象的开销比Statement大,对于一次性操作并不会带来额外的好处。 3.stateme
prepareStatement的用法和解释
苇草的博客
03-10 1万+
1.PreparedStatement是预编译的,对于批量处理可以大大提高效率. 也叫JDBC存储过程2.使用 Statement 对象。在对数据库只执行一次性存取的时侯,用 Statement 对象进行处理。PreparedStatement 对象的开销比Statement大,对于一次性操作并不会带来额外的好处。3.statement每次执行sql语句,相关数据库都要执行sql语句的编译,pre...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

是小邪邪呀

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值