java操作sql server数据中,关于PreparedStatement数据注入问题

最新推荐文章于 2021-03-06 20:44:10 发布
原创 最新推荐文章于 2021-03-06 20:44:10 发布 · 641 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #sql server #PreparedStatement

本文介绍了一种在Java中使用PreparedStatement处理SQL参数的方法,通过创建特定的类模型和方法来支持不同类型的参数输入,提高了代码的复用性和灵活性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

问题描述:

在Java操作SQL Server数据库时,会使用PreparedStatement数据注入方式避免“万能密码”的产生以及提高代码执行效率。例如经常使用如下方式:

requery("select * from stu where name = ? and address = ?", new String[]{ "liu", "wo"});

或 requery("select * from stu where name = ? ", new String[]{ "liu"});

//这样实现requery函数的复用,减少代码量。

public void requery(String s,String[] data){

try{
Class.forName(className);
ct=DriverManager.getConnection(url,name,passWord);
ps=ct.prepareStatement(s);

for(int i=0; i <data.length; i++){
ps.setString(i+1,data[i]);
}
rs=ps.executeQuery();
while(rs.next()){
temp=new Vector();
temp.add(rs.getString(1));
temp.add(rs.getString(2));
rowData.add(temp);
}

}catch(Exception e){
e.printStackTrace();
}finally{
//关闭资源
try {
if(rs!=null)
rs.close();
if(ps!=null)
ps.close();
if(ct!=null)
ct.close();
} catch (SQLException e) {
// TODO Auto-generated catch block
e.printStackTrace();
}
}

}

//但接下来问题来了,若sql语句里的问号所需要填充的数据包括String 、int等各种类型,上述的方法就不能使用了,那怎样才能继续代码复用的这种思想呢?

经过笔者研究,提出如下的解决思路:

1、首先建立一个类模型,成员变量为你要访问的数据库表所对应的各种类型字段,此外加上一个int类型的数组成员变量,长度与前面成员变量个数一直,这个数组用来存放

前面对应的每一个成员变量的位置顺序。如下图



2、A类中添加一个根据位置取A的成员变量的方法

public class User {
public final static int SIZE = 2;

private String username;
private int password; 
private int[] flag = new int[SIZE];//对应上面的两个成员

public Object getMenber(int num){
Object o = null;
for(int i = 0; i < SIZE; i++){
if(num == flag[i]){
switch (i) {
case 0: //用户名
o = username;
break;
case 1: //密码
o = password;
break;
}
}
}
return o;
}

public void setFlag(int[] flag) {
this.flag = flag;
}

public void setUsername(String username) {
this.username = username;
}

public void setPassword(int password) {
this.password = password;
}

}

3、改写requery方法

public void requery(String s,User data, int count){
//查询
columnNames=new Vector();
rowData=new Vector();
//设置列名
columnNames.add("用户名");
columnNames.add("密码");
try{
Class.forName(className);
ct=DriverManager.getConnection(url,name,passWord);
ps=ct.prepareStatement(s);

for(int i=1; i <= count; i++){
ps.setObject(i, data.getMenber(i));

}
rs=ps.executeQuery();
while(rs.next()){
temp=new Vector();
temp.add(rs.getString(1));
temp.add(rs.getString(2));
rowData.add(temp);
}

}catch(Exception e){
e.printStackTrace();
}finally{
//关闭资源
try {
if(rs!=null)
rs.close();
if(ps!=null)
ps.close();
if(ct!=null)
ct.close();
} catch (SQLException e) {
// TODO Auto-generated catch block
e.printStackTrace();
}
}
}

4、最后实际应用

User data = new User();

data.setUsername("liu");

data.setPassword(123);

data.setFlag(new int[]{2, 1});
int count = 2; //两个问号
st=new stuMode();
st.requery("select * from stu where password = ? and username = ?",data, count);

jdbc中预编译语句PreparedStatement的深层分析
zhangw1236的博客
03-01 4336
翻阅大大小小的博客,无论中外只要你搜索PreparedStatement这个关键字,得到的大多数结果是在重复执行一条语句多次的情况下PreparedStatement会获得比Statement更好的性能,辟如下文引用的这段文字。 选择PreparedStatement还是Statement取决于你要怎么使用它们. 对于只执行一次的SQL语句选择Statement是最好的. 相反, 如果SQL语句
java调用sql数据库_java调用SQL Server数据库 Statement和PreparedStatement
weixin_35977449的博客
02-24 877
我们知道,数据的存储使用数据库是最方便的,一来不随程序的关闭而关闭,永久性存储。二来处理方便,以对象的思想来说,数据库中的表格就是一个类,表中每一行都是一个对象,表的属性就是类的属性。数据库的存在使得每一个对象都能轻易保存,删除和修改,只需要调用一个sql语句即可。同时,表与表的之间的关系在java中该如何表示,存在一对一与一对多。一对一的比较方便,一对多则需要采用特殊的数据结构。下面先描述一下,...
SQL预处理语句(Prepared Statements)
that3的专栏
05-20 1万+
SQL预处理语句(Prepared Statements) 许多成熟的数据库都支持预处理语句(Prepared Statements)的概念。它们是什么东西?你可以把它们想成是一种编译过的要执行的SQL语句模板,可以使用不同的变量参数定制它。预处理语句具有两个主要的优点: 查询只需要被解析(或准备)一次,但可以使用相同或不同的参数执行多次。当查询准备好(Prepared)之后,数据
MySQL ServerPreparedStatement查询
Donald_Draper
12-06 412
JDBC驱动初始化-Mysql:[url]http://donald-draper.iteye.com/blog/2342010[/url] JDBC连接的获取:[url]http://donald-draper.iteye.com/blog/2342011[/url] Mysql负载均衡连接的获取:[url]http://donald-draper.iteye.com/blog/234208...
mysql preparedstatement 查询_MySQL ServerPreparedStatement查询
weixin_30495789的博客
01-31 382
http://donald-draper.iteye.com/blog/2342010JDBC连接的获取:http://donald-draper.iteye.com/blog/2342011Mysql负载均衡连接的获取:http://donald-draper.iteye.com/blog/2342089Mysql主从复制读写分离连接的获取:http://donald-draper.iteye....
java连接SQL server数据库时使用PreparedStatement遇到的赋值问题
weixin_43498703的博客
06-13 704
最近在使用java操作SQL server 数据库时,碰到了该问题: 我需要在数据库的两张表中查询传入的uid和upasswd两个值 写代码时,我将sql语句中的表名和表中字段名都当作了参数写到了数组中,当时的想法是sql变量只保留一个查询框架,以后还需要查询相似的情况时,就可以复用,但结果表名这种做法是错误的,在使用过程中,我们只能将自己需要查询的数据当作参数,表名等数据库内部字段不能当作参数进行传递, 提示的错误信息为: com.microsoft.sqlserver.jdbc.SQLServerExc
java操作sqlserver 数据库实例.rar.rar
06-22
这个压缩包文件"java操作sqlserver 数据库实例.rar.rar"很可能是包含了一系列示例代码和教程,教你如何使用Java连接并执行SQL语句在SQL Server数据库上。以下是关于这个主题的一些关键知识点: 1. **JDBC(Java ...
java 连接sqlserver使用的java-sqlserver-connect.jar包
04-09
总结来说,"java-sqlserver-connect.jar"是Java应用程序连接SQL Server数据库的关键组件,它为开发者提供了在Java环境中执行SQL查询和操作数据库的能力,同时支持JRE7和JRE8,确保了兼容性和灵活性。在实际项目中,...
[Java][SQL Server][Tomcat] Java本地服务器读取SQL Server中的数据及账号密码核对
07-10
在IT领域,尤其是在Web开发中,常常需要将后端服务与数据库进行交互,以便处理用户请求、存储和检索数据。本示例中的标题和描述提到了一个基于Java和Tomcat的本地服务器应用,该应用与SQL Server数据库进行交互,...
基于JAVASQL server的仓库管理系统.zip
02-15
- **预编译SQL语句(PreparedStatement)**:防止SQL注入攻击,提高性能,适合多次执行相同SQL的情况。 4. **系统设计与实现**: - **系统功能**:包括物品入库、出库、查询、库存预警、统计报表等功能,满足仓库...
sql数据库查询_java_java_sqlserver_sql_
10-01
在IT行业中,数据库查询是核心技能之一,尤其是在Java开发中,与SQL Server的交互更是常见。本主题将深入探讨如何使用Java连接SQL Server数据库并执行SQL查询,这涉及到多个关键知识点,包括Java的JDBC(Java ...
Java语句对SQLserver数据库的操作
qq_43201403的博客
01-05 2830
Eclipse中完成查询数据SQLserver,必须得先完成eclipse和数据库的连接。 最近完成了职工信息管理系统的编程,本篇文章在Employee类的基础下总结的。 一. 需要查询数据库,我就先创建一个类(SQLServer类),类里面包括数据库的连接和查询方法的重写,存放结果集的结果池。如果你想在其他方法查询数据,就可以直接实例化SQLServer,利用构造函数完成数据库的连接。 pa...
数据SQL Server2012笔记(八)——Statement与PreparedStatement的区别,JDBC方式操作数据
shangqing1123的博客
08-25 1162
1、Statement与PreparedStatement的区别 1)都可用于  把sql语句从java程序中发送到制定数据库,并执行sql语句。 2)区别 直接使用Statement,驱动程序一般不会对sql语句做处理,而直接交给数据库。使用PreparedStatement,形成预编译的过程,并且会对语句做字符集的转换(至少在sql  server中如此)。好处:对于多次重复执行
java preparestatement sql注入_浅析Statement和PreparedStatementSQL注入
weixin_30950075的博客
03-06 2742
一、SQL注入所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。上述语句摘自百度百科,可能对于有些人来说晦涩难懂,那么我举个最简单的例子,来体验这一过程;假设有一个登录表单,后台数据校验sql为select * from user where username = 'XXX' and password = 'XXX',...
java preparestatement sql注入_使用PreparedStatement防止SQL注入
weixin_39674978的博客
02-25 211
PreparedStatement可以实现Statement的所有功能,但是之所以叫它预编译指令,是因为在创建它的一个对象时可以给定具有一定格式的SQL字符串,然后用它的setXXX方法给指定的SQL语句以填空的方式赋值,具有这样的特性后,它在多次执行一条固定格式的字符串时就很方便,也更效率.不像Statement那样每次执行都要先编译字符串在执行SQL了.SQL注入攻击是利用设计上的漏洞,在目标...
JDBC 笔记3 通过PreparedStatement数据库进行增删改查 (转载)
weixin_33860553的博客
06-19 119
  之前MVC时一直用它,学了框架后就没怎么用了。这里转载一位同学的博客,以后可能也会用到的。   转自:https://www.cnblogs.com/zilong882008/archive/2011/11/13/2247065.html 1 插入数据 public boolean ChaRu3(User user){ boolean flag=true; ...
PreparedStatement 用问号传参引发查询(SQLServer数据慢的解决方案
weixin_34029680的博客
04-03 1049
2019独角兽企业重金招聘Python工程师标准>>> ...
Java中连结MySQL启用预编译的先决条件是useServerPstmts=true.
诗剑书生的专栏
10-28 1万+
Java编程中,应用代码绝大多数使用了PreparedStatement,无论你是直接使用JDBC还是使用框架。    在Java编程中,绝大多数使用了使用了PreparedStatement连接MySQL的应用代码没有启用预编译,无论你是直接使用JDBC还是使用框架。    在我所能见到的项目中,几乎没有见过启用MySQL预编译功能的。网上更有文章说MySQL不支持预编译,实在是害人不浅。
Java数据库JDBC——prepareStatement的用法和解释
热门推荐
nnzhuilian的博客
01-10 15万+
转自:http://blog.youkuaiyun.com/QH_JAVA/article/details/48245945 一、prepareStatement 的用法和解释 1.PreparedStatement是预编译的,对于批量处理可以大大提高效率. 也叫JDBC存储过程 2.使用 Statement 对象。在对数据库只执行一次性存取的时侯,用 Statement 对象进行处理。Prepared...
掌握JavaSQLServer驱动的使用和操作
为了在Java中连接SQL Server,需要使用由微软提供的JDBC驱动,即sqljdbc.jar(或在最新版本中可能是sqlserver-jdbc.jar或其他类似的名称)。这个JDBC驱动是用Java编写的,提供了纯Java的网络协议连接方式,属于JDBC...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值