JDBC访问数据库的过程，sql注入问题预总结

最新推荐文章于 2024-08-25 21:52:08 发布

二月添

最新推荐文章于 2024-08-25 21:52:08 发布

阅读量347

点赞数

本文链接：https://blog.csdn.net/yzwdnn/article/details/60869021

版权

package cn.mybats.jdbc;

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;

/***
*
* @author yzw
*
*/
public class JdbcTest {

public static void main(String[] args) {
// --1.定义数据连接
Connection connection = null;

// --2.定义预处理(预处理就是将编译后的sql保存在数据库端的缓存中，如果之后的sql一样，就不用编译了，提高数据库性能)
PreparedStatement preparedStatement = null;
// --3.数据结果集
ResultSet resultSet = null;
try {
// --4.加载数据库驱动,驱动名称在数据库驱动jar包中
Class.forName("com.mysql.jdbc.Driver");
//--5.获取数据库连接，通过驱动管理类DriverManager，url,用户名，密码
connection = DriverManager.getConnection("jdbc:mysql://localhost:3306/study?characterEncoding=utf-8",
"root", "521125");
//--6.定义sql
String sql = "select * from test001 where t_name = ?";
//--7.sql被编译并且存储在preparedstatement中，更高效的多次访问sql
preparedStatement = connection.prepareStatement(sql);
//--8.填充参数
preparedStatement.setString(1, "yzw");
// --8.执行sql，并返回查询结果集
resultSet = preparedStatement.executeQuery();
// --9.遍历查询
while (resultSet.next()) {
System.out.println(resultSet.getString("t_id") + " " + resultSet.getString("t_name"));
}
// 1，执行效率：Statement 采取直接编译 SQL 语句的方式，扔给数据库去执行，而 PreparedStatement 则先将 SQL 语句预编译一遍，再填充参数，这样效率会高一些。JDK 文档说：SQL 语句被预编译并且存储在 PreparedStatement 对象中，其后可以使用该对象高效地多次执行该语句。

// 2，代码可读性：Statement 中 SQL 语句中需要 Java 中的变量，加就得进行字符串的运算，还需要考虑一些引号、单引号的问题，参数变量越多，代码就越难看，而且会被单引号、双引号搞疯掉；而 PreparedStatement，则不需要这样，参数可以采用“?”占位符代替，接下来再进行参数的填充，这样利于代码的可读性，并且符合面向对象的思想。

// 3，安全性：Statement 由于可能需要采取字符串与变量的拼接，很容易进行 SQL 注入攻击，而 PreparedStatement 由于是预
// 编译，再填充参数的，不存在 SQL 注入问题。
} catch (Exception e) {
e.printStackTrace();
} finally {
if (resultSet != null) {
try {
resultSet.close();
} catch (SQLException e) {
e.printStackTrace();
}
}
if (preparedStatement != null) {
try {
preparedStatement.close();
} catch (SQLException e) {
e.printStackTrace();
}
}
if (connection != null) {
try {
connection.close();
} catch (SQLException e) {
e.printStackTrace();
}
}
}
}

}

Statement和PreparedStatement的区别; 什么是SQL注入，怎么防止SQL注入？

问题一：Statement和PreparedStatement的区别

　　先来说说，什么是java中的Statement：Statement是java执行数据库操作的一个重要方法，用于在已经建立数据库连接的基础上，向数据库发送要执行的SQL语句。具体步骤：

　　1.首先导入java.sql.*；这个包。

　　2.然后加载驱动，创建连接，得到Connection接口的的实现对象，比如对象名叫做conn。

　　3.然后再用conn对象去创建Statement的实例，方法是：Statement stmt = conn.creatStatement("SQL语句字符串");

　　Statement 对象用于将 SQL 语句发送到数据库中。实际上有三种 Statement 对象，它们都作为在给定连接上执行 SQL语句的包容器：Statement、PreparedStatement（它从 Statement 继承而来）和CallableStatement（它从 PreparedStatement 继承而来）。它们都专用于发送特定类型的 SQL 语句：Statement 对象用于执行不带参数的简单 SQL 语句；PreparedStatement 对象用于执行带或不带参数的预编译 SQL 语句；CallableStatement 对象用于执行对数据库已存储过程的调用。

　　综上所述，总结如下：Statement每次执行sql语句，数据库都要执行sql语句的编译，最好用于仅执行一次查询并返回结果的情形，效率高于PreparedStatement.但存在sql注入风险。PreparedStatement是预编译执行的。在执行可变参数的一条SQL时，PreparedStatement要比Statement的效率高，因为DBMS预编译一条SQL当然会比多次编译一条SQL的效率高。安全性更好，有效防止SQL注入的问题。对于多次重复执行的语句，使用Prepared

Statement效率会更高一点。执行SQL语句是可以带参数的，并支持批量执行SQL。由于采用了Cache机制，则预编译的语句，就会放在Cache中，下次执行相同的SQL语句时，则可以直接从Cache中取出来。

PreparedStatement pstmt  =  con.prepareStatement("UPDATE EMPLOYEES  SET name= ? WHERE ID = ?");
pstmt.setString(1, "李四");
pstmt.setInt(2, 1);
pstmt. executeUpdate();

那么CallableStatement扩展了PreparedStatement的接口，用来调用存储过程，它提供了对于输入和输出参数的支持，CallableStatement 接口还有对 PreparedStatement 接口提供的输入参数的sql查询的支持。

PreparedStatement: 数据库会对sql语句进行预编译，下次执行相同的sql语句时，数据库端不会再进行预编译了，而直接用数据库的缓冲区，提高数据访问的效率（但尽量采用使用？号的方式传递参数），如果sql语句只执行一次，以后不再复用。

 从安全性上来看，PreparedStatement是通过?来传递参数的，避免了拼sql而出现sql注入的问题，所以安全性较好。
 在开发中，推荐使用 PreparedStatement