探讨Java中JDBC预处理功能如何通过预编译SQL语句和参数化查询,有效提升数据库操作效率并防范SQL注入攻击,保障应用程序的安全。
转载地址:https://blog.youkuaiyun.com/chenleixing/article/details/44024095
大家都知道,java中JDBC中,有个预处理功能,这个功能一大优势就是能提高执行速度尤其是多次操作数据库的情况,再一个优势就是预防SQL注入,严格的说,应该是预防绝大多数的SQL注入。
用法就是如下边所示:
-
String sql="update cz_zj_directpayment dp"+ -
"set dp.projectid = ? where dp.payid= ?"; -
try { -
PreparedStatement pset_f = conn.prepareStatement(sql); -
pset_f.setString(1,inds[j]); -
pset_f.setString(2,id); -
pset_f.executeUpdate(sql_update); -
}catch(Exception e){ -
//e.printStackTrace(); -
logger.error(e.message()); -
}
那为什么它这样处理就能预防SQL注入提高安全性呢?其实是因为SQL语句在程序运行前已经进行了预编译,在程序运行时第一次操作数据库之前,SQL语句已经被数据库分析,编译和优化,对应的执行计划也会缓存下来并允许数据库已参数化的形式进行查询,当运行时动态地把参数传给PreprareStatement时,即使参数里有敏感字符如 or '1=1'也数据库会作为一个参数一个字段的属性值来处理而不会作为一个SQL指令,如此,就起到了SQL注入的作用了!
转载请注明—作者:Java我人生(陈磊兴) 原文出处:http://blog.youkuaiyun.com/chenleixing/article/details/44024095
--------------------- 本文来自 Java我人生 的优快云 博客 ,全文地址请点击:https://blog.youkuaiyun.com/chenleixing/article/details/44024095?utm_source=copy
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
