JDBC-PreparedStatement

于 2024-11-09 16:50:09 发布
阅读量538 收藏 11
点赞数 7
分类专栏: java 文章标签: java 数据库 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_74386799/article/details/143641480
版权

    在前面使用的Statement中,编写sql语句使用的是拼接的形式,这样不仅可读性差,还非常容易导致出错,最大的问题是安全问题。

sql注入

    在需要用户输入的地方,用户输入的是SQL语句的片段,最终用户输入的SQL片段与我们DAO中写的SQL语句合成一个完整的SQL语句!例如用户在登录时输入的用户名和密码都是为SQL语句的片段!

    我准备了一张user表,上面有username和password用来模拟用户表,接下来准备了代码模拟登录过程

public static void main(String[] args) {
        Scanner sc = new Scanner(System.in);
        try {

            Class.forName("com.mysql.jdbc.Driver");
            Connection conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/esa?useSSL=false", "root", "123456");
            System.out.println("数据库连接成功");
            System.out.println("请输入用户名:");
            String name = sc.nextLine();
            System.out.println("请输入密码:");
            String pwd = sc.nextLine();
            String sql = "select count(1) from user where username = '"+name+"' and password = '"+pwd+"' ";
            Statement statement = conn.createStatement();
            ResultSet rs = statement.executeQuery(sql);
            rs.next();
            int count = rs.getInt(1);
            if (count > 0){
                System.out.println("登录成功");
            }else {
                System.out.println("登录失败");
            }
            if (statement != null){
                statement.close();
            }
            if (conn != null){
                conn.close();
            }
        } catch (ClassNotFoundException e) {
            throw new RuntimeException(e);
        } catch (SQLException e) {
            throw new RuntimeException(e);
        }
    }

通常情况下登录正常。 

但是!

 由于我们是拼接的sql语句,导致可以拼接上or '1' = '1'的语句,这样无论输入的账户密码是什么都会判断true,这种拼接的sql语句非常危险!

PreparedStatement

PreparedStatement是Statement的子接口,可以使用PreparedStatement来替换Statement。

PreparedStatement的好处:

  • 防止SQL攻击;

  • 提高代码的可读性,以可维护性;

  • 提高效率。

PreparedStatement的使用

  1. 使用Connection的prepareStatement(String sql):即创建它时就让它与一条SQL模板绑定;

  2. 调用PreparedStatement的setXXX()系列方法为问号设置值

  3. 调用executeUpdate()或executeQuery()方法,但要注意,调用没有参数的方法;

 此时sql语句用问号占位,写成:

String sql = "select count(1) from user where uswrname = ? and password = ?";

 还要传入参数填充占位,索引从1开始,如果不知道数据类型可以实现setObject:

stat.setString(1,name);
stat.setString(2,pwd);

 

   Scanner sc = new Scanner(System.in);
        try {

            Class.forName("com.mysql.jdbc.Driver");
            Connection conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/esa?useSSL=false", "root", "123456");
            System.out.println("数据库连接成功");
            System.out.println("请输入用户名:");
            String name = sc.nextLine();
            System.out.println("请输入密码:");
            String pwd = sc.nextLine();

            String sql = "select count(1) from user where uswrname = ? and password = ?";
            PreparedStatement stat = conn.prepareStatement(sql);
            stat.setString(1,name);
            stat.setString(2,pwd);
            ResultSet rs = stat.executeQuery();
            rs.next();
            int count = rs.getInt(1);
            if (count > 0){
                System.out.println("登录成功");
            }else {
                System.out.println("登录失败");
            }
            if (stat != null){
                stat.close();
            }
            if (conn != null){
                conn.close();
            }
        } catch (ClassNotFoundException e) {
            throw new RuntimeException(e);
        } catch (SQLException e) {
            throw new RuntimeException(e);
        }

这样就可以防止sql注入 

 

PreparedStatement最大的好处就是在于重复使用同一模板,给予其不同的参数来重复的使用它。这才是真正提高效率的原因。  

JDBC中的PreparedStatement
weixin_40273144的博客
04-21 349
使用Statement需要进行拼写SQL语句,很麻烦而且容易出错,这就用到了PreparedStatementPreparedStatement是Statement的子接口,可以传入带占位符的SQL语句,并且提供了补充占位符变量的方法。 1.使用PreparedStatement 1.1 创建PreparedStatement; String sql="INSERT INTO EXAMS...
sqljdbc_7.4.1.0_enu.tar.gz、mssql-jdbc-7.4.1.jre8.jar 等
03-18
标题中的"sqljdbc_7.4.1.0_enu.tar.gz"是一个包含SQL Server JDBC驱动的压缩包,这是微软官方提供的用于Java应用程序与Microsoft SQL Server数据库之间进行数据交互的驱动程序。"enu"通常代表"English",意味着这是...
JDBC教程之PreparedStatement
weixin_34236497的博客
10-13 194
JDBC教程之PreparedStatement csdn 2004-9-14 18:10:00 文/键者天行   概述   该 PreparedStatement 接口继承 Statement,并与之在两方面有所不同:  PreparedStatement 实例包含已编译的 SQL 语句。这就是使语句“准备好”。包含于 PreparedStatemen...
JDBCPreparedStatement
刘顺顺的博客
10-11 733
文章目录JDBCPreparedStatement是什么?相对于Statement,PreparedStatement的优点是什么? JDBCPreparedStatement是什么? PreparedStatement对象代表的是一个预编译的SQL语句。 用它提供的setter方法可以传入查询的变量。由于 PreparedStatement是预编译的,通过它可以将对应的SQL语句高效的执行多次。 由于PreparedStatement自动对特殊字符转义,避免了SQL注入攻击,因此应当尽量的使用它。 相
JDBCPreparedStatement
weixin_37590761的博客
01-14 249
why: 1.1 使用 Statement 需要进行拼写 SQL 语句 . 很辛苦 . 而且容易出错 . 1.2 使用 Statement 可能会发生 SQL 注入 SQL注入:SQL 注入是利用某些系统没有对用户输入的数据进行充分的检查,而在用户输入数据中注入非法的 SQL 语句段或命令,从而利用系统的 SQL 引擎完成恶意行为的做法对于 Java 而言,要防范 SQL 注入,只要用Prep...
jdbcPreparedStatement
ljinshuo的博客
02-21 169
1>PreparedStatement 它是statement的子接口 它的优点: 防SQL攻击 提高代码的可读性、可维护性; 提高效率! 学习PreparedStatement用法: 如何得到PreparedStatement的用法 给出SQL模板 调用Connection的PreparedStatement prepareStatement(String sql模板); 调用pstmt...
hive-jdbc-1.1.0-cdh5.12.1 连接库 jar包
08-01
Hive JDBC还支持多种特性,如预编译的`PreparedStatement`,事务处理,以及批处理等,提高了性能和安全性。对于大数据应用来说,Hive JDBC是一个强大而灵活的工具,能够帮助开发者轻松地将Hadoop集群的数据整合到...
gbase-jdbc-9.5.0.1-build1-bin.zip
最新发布
08-30
《GBase数据库JDBC驱动详解》 GBase是一款由中国南大通用数据技术有限公司开发的高性能分布式数据库系统。在Java编程环境中,与GBase数据库进行交互通常会用到JDBCJava Database Connectivity)驱动,它是Java...
Sqlite-jdbc-3.7.2.jar和sqlite-jdbc-3.20.1.jar上传,亲测可用
07-13
本主题主要围绕“Sqlite-jdbc-3.7.2.jar”和“sqlite-jdbc-3.20.1.jar”两个Java JDBC驱动进行讨论,它们是Java连接SQLite数据库的关键组件。 Sqlite-jdbc驱动是Java开发者用来与SQLite数据库进行交互的桥梁。JDBC...
mssql-jdbc-8.4.0.jre8.jar
08-11
jdk1.8可使用的jdbc驱动... DriverManager:负责加载各种不同驱动程序(Driver),并根据不同的请求,向调用者返回相应的数据库连接(Connection)。Driver:驱动程序,会将自身加载到DriverManager中去,并处理...
JDBC PreparedStatement
Sue12347的博客
05-29 247
为什么使用PreaparedStatement:1.使用statement需要通过字符串,拼写出对应的数据库命令2. 使用PreparedStatement可以有效防止sql注入,sql注入攻击是利用某些系统没有对用户输入的数据进行充分的检查,而在用户输入数据中注入非法的SQL语句段或命令,从而利用系统的SQL引擎完成恶意行为的做法,对于Java而言,只要使用PreparedStatement取代...
jdbcPreparedStatement
YRZsir的博客
11-26 323
package jdbc; import java.sql.*; public class PreparedStatementDemo { public static void main(String[] args) throws SQLException{ // 在test1中,SQL语句的执行是通过Statement对象实现的。Statement对象每次执行SQL语句时,都会对其进行编译...
JDBC PreparedStatement Statement
dimei8552的博客
01-26 163
参考:预编译语句(Prepared Statements)介绍,以MySQL为例 1. 背景 本文重点讲述MySQL中的预编译语句并从MySQL的Connector/J源码出发讲述其在Java语言中相关使用。注意:文中的描述与结论基于MySQL 5.7.16以及Connect/J 5.1.42版本。 2. 预编译语句是什么 通常我们的一条sql在db接收到最终执行完毕返回可以分为...
JDBCPreparedStatement
又言又语
03-19 376
JDBCPreparedStatement
JDBCPreparedStatement
一个很懒的人
01-28 318
1.SQL注入问题 1.什么是SQL注入问题? 用户输入的数据中有SQL关键字或语法并且参与了SQL语句的编译,导致SQL语句编译后的条件含义为true,一直得到正确的结果。这种现象称为SQL注入。 2.如何避免SQL注入 由于编写的SQL语句是在用户输入数据,整合后再进行编译。所以为了避免SQL注入的问题,我们要使SQL语句在用户输入数据前就已进行编译成完整的SQL语句,再进行填充数据。 2.PreparedStatement PreparedStatement继承了Statement接口,执行SQ.
JDBCPreparedStatement
qq_37400096的博客
11-22 378
import org.junit.Test; import com.mysql.jdbc.Connection; import com.mysql.jdbc.PreparedStatement; import com.mysql.jdbc.ResultSet; public class TestPreparedStatement { /** * 使用preparedS...
JdbcPreparedStatement(推荐使用)
weixin_44966780的博客
09-29 151
JdbcPreparedStatement(推荐使用) package jdbc; import org.junit.Test; import java.sql.Connection; import java.sql.PreparedStatement; import java.sql.SQLException; /** * @author 小邱 * @version 0.0.1 * @description JdbcPreparedStatementTest * @since 2021/9/
JDBC PreparedStatement 详解
Dulm2016的博客
11-11 220
JDBC(五)PreparedStatement 详解
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值