PreparedStatement 对象 对sql语句进行预编译防止SQL注入!!!

最新推荐文章于 2023-12-01 10:10:33 发布
最新推荐文章于 2023-12-01 10:10:33 发布
阅读量396 收藏
点赞数
分类专栏: sql 文章标签: sql mysql 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_46341930/article/details/127397233
版权
本文详细介绍了PreparedStatement在Java中如何通过预编译SQL提高性能,防止SQL注入,并通过实例展示了开启预编译功能和配置MySQL日志的过程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

PreparedStatement 好处:

  • 预编译SQL,性能更高
  • 防止SQL注入:将敏感字符进行转义
    在这里插入图片描述

Java代码操作数据库流程如图所示:

  • 将sql语句发送到MySQL服务器端

  • MySQL服务端会对sql语句进行如下操作

    • 检查SQL语句

      检查SQL语句的语法是否正确。

    • 编译SQL语句。将SQL语句编译成可执行的函数。

      检查SQL和编译SQL花费的时间比执行SQL的时间还要长。如果我们只是重新设置参数,那么检查SQL语句和编译SQL语句将不需要重复执行。这样就提高了性能。

    • 执行SQL语句
      接下来我们通过查询日志来看一下原理。

  • 开启预编译功能

    在代码中编写url时需要加上以下参数。而我们之前根本就没有开启预编译功能,只是解决了SQL注入漏洞。

    useServerPrepStmts=true

  • 配置MySQL执行日志(重启mysql服务后生效)

    在mysql配置文件(my.ini)中添加如下配置

log-output=FILE
general-log=1
general_log_file="D:\mysql.log"		//日志保存位置
slow-query-log=1
slow_query_log_file="D:\mysql_slow.log"	//日志保存位置
long_query_time=2

sql注入语句:'or '1' = '1
在这里插入图片描述当添加时我们可以看到它先进行预编译sql语句,然后再执行的
在这里插入图片描述
小结:

  • 在获取PreparedStatement对象时,将sql语句发送给mysql服务器进行检查,编译(这些步骤很耗时)
  • 执行时就不用再进行这些步骤了,速度更快
  • 如果sql模板一样,则只需要进行一次检查、编译
《网络安全自学教程》- 预编译防止SQL注入的原理分析
wangyuxiang946的博客
08-16 1万+
SQL执行过程,预编译原理,预编译如何防止SQL注入预编译的局限性
PreparedStatement 预编译SQL 就不会有被 SQL 注入的风险?
数字化小李的博客
12-07 842
当我们说到关于持久层框架的功能,必然需要先想想这个功能的源头到底是不是直接通过数据库提供的。实际上和事务一样,SQL 预编译的功能也是需要数据库提供底层支持的。以 MySQL 为例,在 MySQL 中,所谓预编译其实是指先提交带占位符的 SQL 模板,然后为其指定一个 key,MySQL 先将其编译好,然后用户再拿着 key 和占位符对应的参数让 MySQL 去执行,用法有点像 python 中的 format 函数。一个标准的预编译 SQL 的用法如下:先通过 设置一个 SQL 模板,然后通过 提交参
JDBC中的——PreparedStatement 预编译原理
孤影渡寒江的博客
06-20 1万+
JDBC中的——PreparedStatement 预编译原理 一、prepareStatement语句有三大好处:1、提高了代码的可读性和可维护性 虽然用PreparedStatement来代替Statement会使代码多出几行,但这样的代码无论从可读性还是可维护性上来说.都比直接用Statement的代码高很多档次:Statement.executeUpdate("INSERT INTO tb
PreparedStatement原理
m0_46596099的博客
07-22 392
PreparedStatement好处预编译SQL,性能更高防止SQL注入==将敏感字符进行转义==Java代码操作数据库流程将sql语句发送到MySQL服务器端MySQL服务端会对sql语句进行如下操作检查SQL语句。检查SQL语句的语法是否正确。编译SQL语句。将SQL语句编译成可执行的函数。检查SQL和编译SQL花费的时间比执行SQL的时间还要长。如果我们只是重新设置参数,那么检查SQL语句和编译SQL语。...
PreparedState 原理
Event driven
12-13 185
数据库有一个艰巨的任务。 他们接受来自许多客户端的并发SQL查询和尽可能有效地处理对数据的查询。 处理语句是一个昂贵的数据库操作,但现在写的这样一种方式使这一开销降到最低。 然而,如果我们要利用这些优势,这些优化需要从应用程序开发得到援助。 本文介绍如何正确使用PreparedStatements可以大大帮助数据库执行这些优化。 数据库如何 执行一个语句? 显然,不要指望在这...
第25章 JDBC核心技术第3节
孔繁玉的专栏
03-26 415
第3节:实现CRUD操作 3.1 操作和访问数据库 数据库连接被用于向数据库服务器发送命令SQL 语句,并接受数据库服务器返回的结果。其实一个数据库连接就是一个Socket连接。 在 java.sql 包中有 3 个接口分别定义了对数据库的调用的不同方式: Statement:用于执行静态 SQL 语句并返回它所生成结果的对象。 PrepatedStatement:SQL 语句被预编...
关于PreparedStatement你知道多少
LeBlock的博客
07-21 940
序言  对应PreparedStatement相信大家都很熟悉,那么为什么要用PreparedStatement呢?也许你会回答PreparedStatement为预处理语句,可以提高数据库执行效率。也许还会回答用PreparedStatement可以防止SQL注入。那么再问下,你觉得你对PreparedStatement有足够的了解吗,你在项目中PreparedStatement用对了
【JDBC】PreparedStatement执行动态sql语句对象预编译
Need not to know
11-30 1193
PreparedStatement执行动态(预编译sql语句对象   功能:   1.防止sql注入问题 SELECT * FROM 表名 WHERE username = '江河' AND password = 'Foriver' OR 'a' = 'a' - 这里由于添加了OR 'a' = 'a',使得WHERE表达式的结果恒为true,所以会查询出表中所有的数据,造成安全性问题   2.效率更高(※后期使用PreparedStateme
如何获得PreparedStatement最终执行的sql语句
03-24
在Java的JDBC编程中,`PreparedStatement`是一个非常重要的接口,它用于预编译SQL语句,提高了数据库操作的效率和安全性。当我们处理大量重复的SQL操作时,使用`PreparedStatement`可以避免SQL注入等问题,同时提升...
预编译防止sql注入
热门推荐
mbtlami
05-17 1万+
使用PreparedStatement 怎么使用PreparedStatement?如何避免SQL注入式攻击?PreparedStatement与Statement有什么区别,有什么样的优势? [TOC] JDBC连接数据库操作步骤 public class JDBCTest { public static void main(String[] args) { ...
PreparedStatement 预编译原理
iteye_7657的博客
12-07 248
Databases have a tough job. They accept SQL queries from many clients concurrently and execute the queries as efficiently as possible against the data. Processing statements can be an expensive operat...
preparedstatement本质原理
silencediors的博客
01-26 1844
SQL注入预编译疑惑 前几天拜读绿盟大佬写的web应用安全编码时,看到有一页PPT上加了一句话备注,preparedstatement预编译本质也是过滤。就这一点问题我请教了一个老司机和阅读了相关资料后,觉得有必要写出来一下。 preparedstatement和statement 这两个对象字如其意,可以参考相关文档对他们的详细分析。preparedstatement就是我们常用的在JDBC中...
PreparedStatement预处理的原理
weixin_46245201的博客
02-13 250
PreparedStatement预处理的原理
PreparedStatement预编译原理及基础使用
最新发布
qq_71443736的博客
12-01 2097
是 JDBC 中的一个接口,用于执行预编译SQL 语句。与普通的Statement不同,的 SQL 语句在执行之前已经经过编译,因此更高效且安全,同时可以防止 SQL 注入攻击。通常用于执行多次相似的 SQL 查询或更新,只需编译一次,多次执行。对象所代表的 SQL 语句中的参数用问号来表示,调用对象的setXxx()方法来设置这些参数.setXxx()方法有两个参数,第一个参数是要设置的 SQL 语句中的参数的索引(从 1 开始),第二个是设置的 SQL 语句中的参数的值。
PreparedStatement 原理
qq_45168853的博客
02-11 410
PreparedStatement 原理 将敏感字符转义 PreparedStatement 预编译功能开启:在url中添加 useServerPrepStmts=true 配置MySQL执行日志 修改my.ini 添加如下配置信息,并重新启动MySQL log-output=FILE general-log=1 general_log_file=C:/Users/Lee/software/mysql-5.7.36-winx64/log/mysql.log slow-query-log=1 slow
SQL注入原理及PreparedStatement的使用
weixin_34288121的博客
10-30 104
SQL注射原理 SQL注射能使***者绕过认证机制,完全控制远程服务器上的数据库SQL是结构化查询语言的简称,它是访问数据库的事实标准。目前,大多数Web应用都使用SQL数据库来存放应用程序的数据。几乎所有的Web应用在后台都使用某种SQL数据库。跟大多数语言一样,SQL语法允许数据库命令和用户数据混杂在一起的。如果开发人员不细心的话,用户数据就有可能被解释成命令,这样的...
关于PreparedStatement原理的理解
12-28 228
详细介绍:https://www.zybuluo.com/stefanlu/note/254899 参考链接:http://www.xuebuyuan.com/2021136.html 代码: 1 public class Main { 2 public static void main(String[] args){ 3 Connection...
mysql预编译sql语句
08-12
MySQL预编译SQL语句是一种优化手段,可以提高SQL语句的执行效率和安全性。预编译SQL语句的过程是将SQL语句的结构和参数分离,先将SQL语句编译为一个可执行的执行计划,然后在每次执行时只需传入参数,无需重新编译,从而减少了重复解析和编译的开销。 在MySQL中,预编译SQL语句可以通过使用预处理语句来实现。预处理语句使用占位符(?)来表示参数,然后使用预处理器将SQL语句发送给MySQL服务器进行编译。一旦SQL语句预编译,就可以多次执行该语句,只需传入不同的参数值即可。 以下是一个使用预编译SQL语句的示例: ```java String sql = "SELECT * FROM users WHERE id = ?"; PreparedStatement statement = connection.prepareStatement(sql); statement.setInt(1, 1); // 设置第一个参数的值为1 ResultSet result = statement.executeQuery(); ``` 在上述示例中,先定义了一个带有占位符的SQL语句,然后通过`prepareStatement`方法创建了一个`PreparedStatement`对象。通过`setInt`方法设置了第一个参数的值为1,最后执行`executeQuery`方法执行查询操作。 使用预编译SQL语句可以有效地防止SQL注入攻击,并且可以提高查询的性能。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值