Jdbc系列五:PreparedStatement接口

最新推荐文章于 2022-08-29 09:20:51 发布
最新推荐文章于 2022-08-29 09:20:51 发布
阅读量326 收藏 2
点赞数 1
CC 4.0 BY-SA版权
分类专栏: JDBC
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/lizhiqiang1217/article/details/90549101

一、SQL 注入攻击
 SQL 注入是利用某些系统没有对用户输入的数据进行充分的检查,而在用户输入数据中注入非法的 SQL 语句段或命令,从而利用系统的 SQL 引擎完成恶意行为的做法。
 对于 Java 而言,要防范 SQL 注入,只要用 PreparedStatement 取代 Statement 就可以了。

/**
 * SQL 注入.
 */
@Test
public void testSQLInjection() {
    String name = "a' OR '1'='1'";

    String sql = "SELECT * FROM user WHERE name = '" + name;

    System.out.println(sql);

    Connection connection = null;
    Statement statement = null;
    ResultSet resultSet = null;

    try {
        connection = JDBCTools.getConnection();
        statement = connection.createStatement();
        resultSet = statement.executeQuery(sql);

        while(resultSet.next()){
            int id = resultSet.getInt(1);
            String name1 = resultSet.getString("name");

            System.out.println(id);
            System.out.println(name1);
        }
    } catch (Exception e) {
        e.printStackTrace();
    } finally {
        JDBCTools.release(resultSet, statement, connection);
    }
}

在这里插入图片描述
二、PreparedStatement
 可以通过调用 Connection 对象的 preparedStatement() 方法获取 PreparedStatement 对象。
 PreparedStatement 接口是 Statement 的子接口,它表示一条预编译过的 SQL 语句。
 PreparedStatement 对象所代表的 SQL 语句中的参数用问号(?)来表示,调用 PreparedStatement 对象的 setXXX() 方法来设置这些参数. setXXX() 方法有两个参数,第一个参数是要设置的 SQL 语句中的参数的索引(从 1 开始),第二个是设置的 SQL 语句中的参数的值。

@Test
public void testPreparedStatement() {
    Connection connection = null;
    PreparedStatement preparedStatement = null;

    try {
        connection = JDBCTools.getConnection();
        String sql = "INSERT INTO user (id, name) "
                + "VALUES(?,?)";

        preparedStatement = connection.prepareStatement(sql);
        preparedStatement.setString(1, "2");
        preparedStatement.setString(2, "Tom");

        preparedStatement.executeUpdate();
    } catch (Exception e) {
        e.printStackTrace();
    } finally {
        JDBCTools.release(null, preparedStatement, connection);
    }
}

三、PreparedStatement和Statement的区别
1、代码的可读性和可维护性。
2、PreparedStatement 能最大可能提高性能:
 DBServer会对预编译语句提供性能优化。因为预编译语句有可能被重复调用,所以语句在被DBServer的编译器编译后的执行代码被缓存下来,那么下次调用时只要是相同的预编译语句就不需要编译,只要将参数直接传入编译过的语句执行代码中就会得到执行。
 在statement语句中,即使是相同操作但因为数据内容不一样,所以整个语句本身不能匹配,没有缓存语句的意义.事实是没有数据库会对普通语句编译后的执行代码缓存.这样每执行一次都要对传入的语句编译一次。
 (语法检查,语义检查,翻译成二进制命令,缓存)。
3、PreparedStatement 可以防止 SQL 注入

/**
 * 使用 PreparedStatement 将有效的解决 SQL 注入问题.
 */
@Test
public void testSQLInjection2() {
    String name = "a' OR '1'='1'";

    String sql = "SELECT * FROM user WHERE name = ? ";

    Connection connection = null;
    PreparedStatement preparedStatement = null;
    ResultSet resultSet = null;

    try {
        connection = JDBCTools.getConnection();
        preparedStatement = connection.prepareStatement(sql);

        preparedStatement.setString(1, name);

        resultSet = preparedStatement.executeQuery();

        while(resultSet.next()){
            int id = resultSet.getInt(1);
            String name1 = resultSet.getString("name");

            System.out.println(id);
            System.out.println(name1);
        }
    } catch (Exception e) {
        e.printStackTrace();
    } finally {
        JDBCTools.release(resultSet, preparedStatement, connection);
    }
}

在这里插入图片描述

PreparedStatement接口
08-06
NULL 博文链接:https://chaoyi.iteye.com/blog/2088080
JDBCPreparedStatement接口
a3060858469的博客
09-26 705
PreparedStatement接口继承自Statement接口,用于执行含有或不含有参数的预编译的SQL语句,相对于Statement接口,用于执行静态SQL语句,PreparedStatement接口中的SQL语句是预编译的,重复执行的效率会比较高。 创建执行SQL的语句(Statement) Statement与PreparedStatement区别 方式一:Statement...
JDBC深入讲解:PreparedStatement接口与数据库交互
"PreparedStatement接口是JAVA连接数据库操作的一部分,它是一种预编译的SQL语句接口,相较于Statement接口PreparedStatement提供了更高的效率和安全性。Statement接口虽然简单,但它的每次执行都需要解析和编译...
JavaEE数据库操作:PreparedStatement接口详解与优化
"这篇内容主要介绍了Java EE数据库中PreparedStatement接口的使用,以及相关的数据库操作技术和JDBC的基础知识。此外,还提供了对教学建议的反馈和一些推荐的学习资源。" PreparedStatement接口是Java EE数据库编程...
Java JDBC指南:PreparedStatement与批处理操作
"这篇文档主要介绍了Java中的JDBC概念、使用...理解和熟练掌握JDBC是进行Java数据库编程的基础,PreparedStatement接口的使用则是提高数据库操作安全性和效率的重要工具。熟悉这些知识点对于Java开发者来说至关重要。
Java JDBC数据库应用:ResultSetMetaData接口详解
JDBC是Java中用于数据库操作的标准API,它包含了一系列类和接口,如DriverManager、Connection、Statement、PreparedStatement和CallableStatement等。使用JDBC,开发者首先需要配置数据库连接环境,然后通过...
JavaWeb JDBC深入探索:Statement与PreparedStatement处理大数据
JDBC API包含了一系列接口,如DriverManager、Connection、Statement、PreparedStatement和CallableStatement等。 1. DriverManager是JDBC的核心组件,负责管理数据库驱动。加载数据库驱动通常需要调用Class.for...
JDBC3):PreparedStatement接口
weixin_39855497的博客
04-22 239
参考资料http://study.163.com/course/courseLearn.htm?courseId=1455026#/learn/video?lessonId=1821070&courseId=1455026 一、Statement接口问题 虽然在JDBC里面提供有Statement接口,但实际来讲,Statement接口存在严重操作缺陷,是不会在工作中使用的 范例:观...
Java数据库编程---PreparedStatement接口
SkewRain的专栏
02-13 2245
PreparedStatement简介 PreparedStatement是Statement的接口,属于预处理操作,与直接使用Statement不同的是,PreparedStatement在操作时,是先在数据表之中准备好了一条SQL语句,但是此SQL语句的具体内容暂时不设置,而是之后再进行设置,以插入数据为例,使用PreparedStatement插入数据时,数据表中的指针首先指向最后一条数
Java中的PreparedStatement接口
Zhonger_MaTT的博客
03-22 2520
PreparedStatement接口继承自Statement接口,用于执行含有或不含有参数的预编译的SQL语句。相对于Statement接口用于执行静态SQL语句,PreparedStatement接口中的SQL语句是预编译的,重复执行的效率会比较高。 PreparedStatement对象用Connection接口中的prepareStatement方法所创建。如: 为SQL语
PreparedStatement数据操作接口
qq_45128719的博客
09-06 527
PreparedStatement是Statement的接口,属于SQL的预处理操作,与直接使用Staement不同的是,PreparedStatement在操作时,是先在数据表中准备好了一条待执行的Sql语句,随后再设置,这样的处理操作模型使得数据库操作更为安全,为了解释PreparedStatement的作用 。下面给出几段代码进行解释。 PreparedStatement数据更新 在使用这个接口进行数据更新操作的时候,可以在编写SQL语句的时候通过占位符‘?’的设计。在进行更新操作或查询操作前利用s
JDBC知识【JDBC API详解】第三章下篇
日常学习总结
08-23 554
JDBC API:案例,Prepared Statement:SQL注入,模拟问题,解决问题
PreparedStatement数据库操作接口
weixin_47798423的博客
04-05 508
statement问题分析 如果需要用户输入,statement将不方便执行。 利用statement执行SQL的三个问题: 不能很好的描述出日期的形式 SQL语句拼凑处理导致维护困难 无法拼接敏感字符数据 最大的问题:需要进行SQL语句的拼凑 PreparedStatement接口简介 PreparedStatement是statement的接口 优点:数据和SQL语法可以不混合,利用占位符,当SQL正常执行完毕后可以进行数据的设置。 实现PreparedStatement的实例需要通过Conne
18【PreparedStatement接口详细解析】
緑水長流*z
08-29 2077
PreparedStatement 是 Statement 的类,也能执行Statement之前的所有操作,其中最主要的功能就是提供了占位符传参处理、预编译等功能;我们实际开发中PreparedStatement会使用的更多;PreparedStatement 占位符参数处理:PreparedStatement的方法说明void setXxx(int 参数1,参数2) Xxx数据类型替换SQL语句中的占位符参数1: 占位符的位置,第几个位置,从1开始参数2: 用来替换占位符的真实的值。......
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值