本文详细介绍了如何使用PreparedStatement来防止SQL攻击。通过预编译SQL语句,将动态内容用?占位,然后设置参数,可以确保SQL执行的安全性。步骤包括加载驱动、建立连接、预编译SQL、设置参数、执行查询以及处理结果集,最后关闭资源。这种方法有效避免了直接拼接SQL字符串导致的安全风险。
早期项目中普遍存在SQL攻击,在需要输入查询条件的地方输入了 sql片段 导致了整体执行的SQL语句发 生了变化,进而影响了查询的功能; 为了解决SQL攻击问题,提出了preparedStatement对象;
使用preparedStatement 预处理模板对象:
1.导入mysql-java连接jar包,并加载jar包;
2.加载MySQL的驱动类;Driver
3.通过DriverManager创建java-mysql之间的连接对象Connection对象;url地址、数据库用 户名、数据库密码
4.取preparedStatement对象, 预编译对象 需要使用sql模板语句 将sql语句中的不确定内 容,使用? 进行替换 // 其中 ? --> 表示一个字符串 ,在进行sql补全的时,会将?换成一个整体的被""括起来 的字符串 String sql = "select count(*) from user where u_username = ? and u_password = ?" ; // 使用sql模板创建一个 sql预编译对象 preparedStatement = connection.prepareStatement(sql);
5.将预编译对象中的 不完整内容进行补全; zs 123 preparedStatement.setString(1,user); preparedStatement.setString(2,password);
6.执行完整sql语句 此时完整的SQL语句,已经prepared Statement保存了,所以不需要再另外 添加sql语句参数 resultSet = preparedStatement.executeQuery();
7.对结果集对象进行处理 while(resuletSet.next()){ resultSet.getString(列数) }
8.关闭资源,从下往上,先创建后关闭,后创建的先关闭;
扫一扫
1879
到【灌水乐园】发言
