20220606_JDBC_API预编译PrepareStatement作用详细测试

原创 已于 2022-06-07 02:09:02 修改 · 259 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#数据库 #sql #mysql

于 2022-06-07 01:53:57 首次发布
本文通过详细测试探讨了JDBC API中的PrepareStatement在MySQL数据库中的预编译功能。通过对比开启预编译和未开启时的日志输出,揭示了预编译如何减少SQL解析和编译次数,从而提升性能。

文章目录


先在代码连接的库中建一个表

create table test_for_prepare
(
    id      int primary key auto_increment,
    user_name    varchar(10),
    password varchar(32)
);
insert into test_for_prepare (user_name, password) values
('马大帅','1234'),('范德彪','5678');

select *
from test_for_prepare;

select *
from test_for_prepare where user_name = '马大帅' and password = '1234';

请添加图片描述

文章目录


作用一,防SQL注入攻击
测试代码


    @Test
    public void testSqlInject() throws Exception {
        String url = "jdbc:mysql:///my_temp?useSSL=false";
        String uName = "root" ;
        String pWord = "1234" ;
        Connection con = DriverManager.getConnection(url,uName,pWord);

//        String name = "马大帅";
//        String pwd = "1234";
        String name = "Not_exist";
        String pwd = "' or '1' = '1";
         String sql_st = "select * from test_for_prepare where user_name = '"+name+"' and password = '"+pwd+"'";
        /**
         * 用DQL语句模拟登录,当输入的名字和密码找得到数据,代表存在该条,登录成功
         * 如果不使用prepareStatement预编译,则只要密码写成' or '1' = '1
         * 就可以使得传给数据库的SQL语句变成
         * select *
         *  from test_for_prepare
         *  where user_name = '瞎写' and password = '' or '1' = '1';
         * 凭借or,则永远可以登录成功了,这就叫SQL注入攻击
         */
        Statement stt = con.createStatement();

        ResultSet rs = stt.executeQuery(sql_st);

        if (rs.next()){
            System.out.println("Login succeed.");
        }else {
            System.out.println("Login failed.");
        }

        rs.close();
        stt.close();
        con.close();
    }

    @Test
    public void testPrepare() throws Exception {
        String url = "jdbc:mysql:///my_temp?useSSL=false";
        String uName = "root" ;
        String pWord = "1234" ;
        Connection con = DriverManager.getConnection(url,uName,pWord);

//        String name = "马大帅";
//        String pwd = "1234";
        String name = "Not_exist";
        String pwd = "' or '1' = '1";

        String sql_st = "select * from test_for_prepare where user_name = ? and password = ?";

        PreparedStatement ppst = con.prepareStatement(sql_st);
        ppst.setString(1,name);
        ppst.setString(2,pwd);
        /**
         * 当使用prepareStatement之后,sql的String变量就不需要拼接,里头写?即可
         * 用prepare,将?转成传入的值,并且会给传入的值转义,不会发生SQL语义结构上的变化
         * 此时依然 String pwd = "' or '1' = '1",用prepare后的sql语句为
         * select *
         *  from test_for_prepare
         *  where user_name = '瞎写' and password = '\' or \'1\' = \'1';
         *  password 为 \' or \'1\' = \'1 了,不可能登录成功
         */
        ResultSet rs = ppst.executeQuery();//ppst里已经有sql语句参数了,这里括号一定要空,否则报错

        if (rs.next()){
            System.out.println("Login succeed.");
        }else {
            System.out.println("Login failed.");
        }

        rs.close();
        ppst.close();
        con.close();
    }

文章目录


作用二,预编译

先设置数据库日志输出

如果是较老的MySQL版本,具体多老不知,5.7开头的
预编译的数据库my.ini文件添加配置,路径自定义,保存后重启mysql服务

log-output=FILE
general-log=1
general_log_file="C:\MySQL_Script_Log\mysql.log"
slow-query-log=1
slow_query_log_file="C:\MySQL_Script_Log\mysql_slow.log"
long_query_time=2

较新MySQL版本,8.0以上的,需要先在数据库开启日志功能
操作语句如下,路径同样自定义,斜杠要双反斜杠,单正斜杠貌似无效

Show variables like 'slow_query%';
set global slow_query_log_file = 'C:\\log\\mysql-slow.log';
set global slow_query_log = 'ON';

Show variables like 'general_log%';
set global general_log_file = 'C:\\log\\mysql-general.log';
set global general_log = 'ON';

然后测试
用剪切的方式添加或删除开启预编译的连接参数

    @Test
    public void testPrepare2() throws Exception {
        /**
         * 启用预编译首先要在连接中加参数 &useServerPrepStmts=true
         * 撤销参数再测试,查看日志结果差异
         */
        String url = "jdbc:mysql:///my_temp?useSSL=false&useServerPrepStmts=true";
        String uName = "root" ;
        String pWord = "1234" ;
        Connection con = DriverManager.getConnection(url,uName,pWord);

        String name = "马大帅";
        String pwd = "1234";
        String name1 = "范德彪";
        String pwd1 = "5678";


        String sql_st = "select * from test_for_prepare where user_name = ? and password = ?";

        PreparedStatement ppst = con.prepareStatement(sql_st);
        ResultSet rs;

        ppst.setString(1,name);
        ppst.setString(2,pwd);
        rs = ppst.executeQuery();
        if (rs.next()){
            System.out.println("Login succeed.");
        }else {
            System.out.println("Login failed.");
        }
        /**查询两次,更看出预编译和没有预编译的效果,去日志里看,if判断其实可以省略,本例还是不省*/
        ppst.setString(1,name1);
        ppst.setString(2,pwd1);
        rs = ppst.executeQuery();
        if (rs.next()){
            System.out.println("Login succeed.");
        }else {
            System.out.println("Login failed.");
        }

        rs.close();
        ppst.close();
        con.close();
    }

开预编译和不开的日志如图,编号,其实是id,编号17和18的两次连接;
编号17无预编译的query了两次sql语句,这就是检查语法,编译sql,执行sql各两次;
编号18的有预编译,在prepare时就检查了语法,编译了sql,这一次就管后面的两次或N次执行了;
所以execute直接两次;请添加图片描述

预编译因此在性能上实现优化;

JDBC中的——PreparedStatement 预编译原理
孤影渡寒江的博客
06-20 1万+
JDBC中的——PreparedStatement 预编译原理 一、prepareStatement语句有三大好处:1、提高了代码的可读性和可维护性 虽然用PreparedStatement来代替Statement会使代码多出几行,但这样的代码无论从可读性还是可维护性上来说.都比直接用Statement的代码高很多档次:Statement.executeUpdate("INSERT INTO tb
PreparedStatement
06-09
jdbc2.0版 PreparedStatement接口的用法
PreparedStatement 预编译
Ldbiy的专栏
08-01 4066
什么是预编译语句?  预编译语句PreparedStatement是java.sql中的一个接口,它是Statement的子接口。通过Statement对象执行sql语句时,需要将sql语句发送给DBMS,由DBMS首先进行编译再执行(在创建通道的时候并不进行sql的编译工作,事实上也无法进行编译)。而通过PreparedStatement不同,在创建PreparedStatement对象时就指
你不知道的PreparedStatement预编译
布道
11-28 7890
大家都知道,Mybatis内置参数,形如#{xxx}的,均采用了sql预编译的形式,大致知道mybatis底层使用PreparedStatement,过程是先将带有占位符(即”?”)的sql模板发送至mysql服务器,由服务器对此无参数的sql进行编译后,将编译结果缓存,然后直接执行带有真实参数的sql。如果你的基本结论也是如此,那你就大错特错了。 目录 1. mysql是否默认开启了预编译功...
JDBC使用PrepareStatedment预编译机制的好处
zhang__1234的博客
08-29 603
PreparedStatementment预编译机制的原理和使用预编译的好处
Java_MySQL_JDBC.rar_JDBC程序_java jdbc mysql_java mysql jd_jdbc 样例
09-24
` 或 `PreparedStatement pstmt = conn.prepareStatement(sql);` 5. 处理结果集:`ResultSet rs = stmt.executeQuery(sql);` 6. 关闭资源:`rs.close(); stmt.close(); conn.close();` 在提供的样例中,你可能会...
jdbc.rar_java jdbc_java 数据库 连接_jdbc_jdbc-odbc_数据 插入 删除
09-23
Java JDBC(Java Database Connectivity)是Java编程语言与各种数据库之间通信的标准接口,它允许Java程序通过JDBC API来访问和操作数据库。在本教程中,我们将深入探讨如何在Java环境下,特别是MyEclipse开发环境中...
JavaJDBC.rar_JAVA数据库_JDBC 驱动_jdbc
09-21
` 或 `PreparedStatement pstmt = conn.prepareStatement(sql);` 5. ** 执行SQL操作 **:通过Statement或PreparedStatement对象的executeQuery()或executeUpdate()方法执行SQL。 6. ** 处理结果集 **:对于查询...
jdbc_demo.zip_DEMO_jdbc java demo
09-21
5. **预编译PreparedStatement**:对于需要多次执行的SQL语句,使用`Connection.prepareStatement()`创建`PreparedStatement`对象,可以提高性能并防止SQL注入。比如,`PreparedStatement pstmt = conn.prepare...
jabc.rar_JDBC增删改查_java jdbc
09-15
PreparedStatement pstmt = conn.prepareStatement("INSERT INTO Employees (id, name, salary) VALUES (?, ?, ?);")) { pstmt.setInt(1, 1001); pstmt.setString(2, "John Doe"); pstmt.setDouble(3, 50000.0);...
预编译PrepareStatement
feimeng4s的博客
07-24 946
2020.7.24、(1)PreparedStatement的学习JDBC的标准使用、(2)JDBC事务管理(1)PreparedStatement的学习JDBC的标准使用昨天学习的登录程序竟然出问题了,输入别的密码竟然能登录(2)JDBC事务管理 (1)PreparedStatement的学习JDBC的标准使用 昨天学习的登录程序竟然出问题了,输入别的密码竟然能登录 请输入用户名: dfgdf 请输入密码: a’ or ‘a’ ='a 登录成功 就是上面这个 原来这是因为查询语句的问题 原来的查询语句是这
[MYSQL]prepare 预编译SQLMysql
HakIu's Blog
03-28 2044
预编译SQLSQL代码prepare pstmt from select a from table;   上面这句SQL创建了一个预编译SQL。名为pstmt,这个预编译SQL的存活期就是当前的会话,也就是当前的数据库连接。如果连接一断开 ,那就会消失。from后面跟的就是要进行编译的那个SQL,这个值可以是一个字面的字符串值 ,就像上面,也可以是一个变量。比如:
使用preparedStatement预编译statement
Ant_in_IT的博客
03-11 350
使用PrepareStatement预编译Statement import java.sql.*; import java.sql.DriverManager; import java.sql.SQLException; /** * 使用preparedStatement预编译statement,可以是sql语句灵活化 * @author 可敢离我近点 * */ public clas...
对PreparedStatement预编译功能的详解
m0_74570541的博客
05-10 1479
对PreparedStatement预编译功能的详解
PreparedStatement预编译原理及基础使用
qq_71443736的博客
12-01 2507
JDBC 中的一个接口,用于执行预编译SQL 语句。与普通的Statement不同,的 SQL 语句在执行之前已经经过编译,因此更高效且安全,同时可以防止 SQL 注入攻击。通常用于执行多次相似的 SQL 查询或更新,只需编译一次,多次执行。对象所代表的 SQL 语句中的参数用问号来表示,调用对象的setXxx()方法来设置这些参数.setXxx()方法有两个参数,第一个参数是要设置的 SQL 语句中的参数的索引(从 1 开始),第二个是设置的 SQL 语句中的参数的值。
JDBC知识【JDBC API详解】第三章下篇
日常学习总结
08-23 674
JDBC API:案例,Prepared Statement:SQL注入,模拟问题,解决问题
JDBC API详解——PreparedStatement
weixin_45348240的博客
03-15 1445
JDBC API详解——PreparedStatement PreparedStatement是一个接口,继承自Statement,表示预编译SQL语句的对象。 作用: 1.预编译SQL语句,性能更高; 2.预防SQL注入问题,将敏感字符进行转义 SQL注入:SQL注入是通过操作输入来修改事先定义好的SQL语句。用以达到执行代码对服务器进行攻击的方法。 以下是一个简单的登录代码: //接受用户输入的用户名和密码 String input_name = "Mike"; St
JDBC核心API---preparedStatement基本使用步骤和总结
这知识都不进脑子啊!
07-13 553
JDBC核心API---preparedStatement基本使用步骤和总结
Day13_单元测试;使用PrepareStatement预编译对象执行sql语句(DML/DQL);Statement和PreparedStatement的区别;引入连接池以及它的使用(笔记)
m0_67499084的博客
05-21 565
文章目录1.单元测试2.使用PrepareStatement预编译对象执行sql语句(DML/DQL)2.1简介:2.2 准备:配置文件2.3 封装工具类代码:2.4 使用PrepareStatement预编译对象执行sql语句DML代码2.5 使用PrepareStatement预编译对象执行sql语句DQL代码3.Statement和PreparedStatement的区别(面试题)4.引入连接池以及它的使用4.1 什么是DataSource?4.2 操作步骤:4.3 数据库连接池的好处4.4代码 1.
JDBC PrepareStatement 实战演示与代码示例
PrepareStatementJDBC中的一个接口,它用于执行预编译SQL语句。预编译SQL语句会先发送给数据库进行编译,之后就可以用不同的参数反复执行,这可以提高程序的性能,特别是在执行大量重复SQL操作时更为明显。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值