JDBC-Statement

1.Statement执行静态sql语句（“字符串”）
返回结果
2.！实际工作一般用PreparedStatement来进行sql语句的执行，因为sql注入的风险
3and4.SQl注入就是Statement没有检查我们输入sql语句，一些别有用心的可能写一些危害数据库语句，直接指向的话，数据库可能受到攻击
5.用PreparedStatement可以检查语句从而防止sql注入
SQL注入案例
计算没有输入对应的用户名密码也可以获得对应的信息
！！！，输入的和我们源程序进行了一个拼接

如图那样输入的话无论怎样
‘1’='1’那么就会获取对应的数据
获取对应的权限等

SQL注入实例

package yuan.hsp.JDBC;

import static org.junit.jupiter.api.Assertions.assertTimeoutPreemptively;

import java.io.FileInputStream;
import java.io.FileNotFoundException;
import java.io.IOException;
import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;
import java.util.Properties;
import java.util.Scanner;
@SuppressWarnings("all")
public class SQL注入 {
public static void main(String[] args) throws FileNotFoundException, IOException, ClassNotFoundException, SQLException {
	Scanner scanner = new Scanner(System.in);
	System.out.println("请输入管理员名");
	String admin_name= scanner.nextLine();
	System.out.println("请输入管理员密码");
	String admin_password=scanner.nextLine();// 注意：想要出现SQL注入需要nextLine接收，不然的话接收到空格就停止了！
	Properties properties = new Properties();
	properties.load(new FileInputStream("src\\pra.properties"));
	Class.forName(properties.getProperty("driver"));
	String user = properties.getProperty("user");
	String password = properties.getProperty("password");
	String url = properties.getProperty("url");
	//得到连接
	Connection connection = DriverManager.getConnection(url, user, password);
	System.out.println(connection);
	//statement
	Statement createStatement = connection.createStatement();
	//组织sql
	String sql ="select name,pwd from admin where name='"+admin_name+"' and pwd='"+admin_password+"'";
	ResultSet executeQuery = createStatement.executeQuery(sql);
	if (executeQuery.next()) {//查询到一条记录登陆就成功
		System.out.println("登陆成功");
	}
	else {
		System.out.println("登陆失败");
	}
	createStatement.close();
	connection.close();
}
}

正常输入

根据连接特性来输入（SQL注入）

PreparedStatement

继承图

方法

2是Statement就有的
3的话Statement是execute我们这里是executeUpdate
1的话就是
从原来的输出到现在的用SETXXX方法
匹配问号具体看案列

好处

具体案例

package yuan.hsp.JDBC;
//演示PreparedStatement的基本操作
import java.io.FileInputStream;
import java.io.FileNotFoundException;
import java.io.IOException;
import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;
import java.util.Properties;
import java.util.Scanner;

import com.mysql.jdbc.PreparedStatement;
@SuppressWarnings("all")
public class PreparedStatement解决SQL注入 {
	public static void main(String[] args) throws FileNotFoundException, IOException, ClassNotFoundException, SQLException {
		Scanner scanner = new Scanner(System.in);
		System.out.println("请输入管理员名");
		String admin_name= scanner.nextLine();
		System.out.println("请输入管理员密码");
		String admin_password=scanner.nextLine();// 注意：想要出现SQL注入需要nextLine接收，不然的话接收到空格就停止了！
		//1.正常的配置文件读写
		Properties properties = new Properties();
		properties.load(new FileInputStream("src\\pra.properties"));
		Class.forName(properties.getProperty("driver"));
		String user = properties.getProperty("user");
		String password = properties.getProperty("password");
		String url = properties.getProperty("url");
		//2.得到连接
		Connection connection = DriverManager.getConnection(url, user, password);
		System.out.println(connection);
		//和Statement不同，这个要先组织SQL语句
		//3.组织sql,?就相当于占位符
		String sql ="select name,pwd from admin where name= ? and pwd= ?";
		//4.得到PreparedStatement
		java.sql.PreparedStatement prepareStatement =connection.prepareStatement(sql);
		//5.给?赋值
		prepareStatement.setString(1, admin_name);
		prepareStatement.setString(2, admin_password);
		//6.执行select语句
		//注意：这里执行executeQuery参数就不要写了，上面已经关联了！！！写了
		ResultSet executeQuery = prepareStatement.executeQuery();
		if(executeQuery.next())
		{
			System.out.println("成功登陆");
		}
		else {
			System.out.println("失败登陆");
		}
		connection.close();
	}
}

注意：preparedStatement运行excute…（）不要填参数，预处理已经和我们组织的sql语句绑定了！

正常输入

SQL注入形式输入

可以看到登陆失败
那么它是怎么防止sql注入的呢？
可以观察一下

select name,pwd from admin 
where name='1' or 'and pwd=' or '1'='1';
如果是原来的Statement替换完后就是这样的
不说别的就这个单引号和双引号和加号你都搞不清
新的的话
select name,pwd from admin where name= 1' or and pwd= or '1'='1
就没有单引号匹配
可能不是这样控制的？-反正可以控制 

预处理DML（excuteUpdate()）

和之前差不多
这里就放张图片
excuteUpdate（）也不需要参数
增添

修改

删除-只用名字筛选即可