Statement和PreparedStatement之间的区别以及sql注入

最新推荐文章于 2024-07-27 14:38:28 发布
最新推荐文章于 2024-07-27 14:38:28 发布
阅读量746 收藏
点赞数
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/yh_cruise/article/details/16804815
1.PreparedStatement是预编译的,对于批量处理可以大大提高效率. 也叫JDBC存储过程
2.使用 Statement 对象。在对数据库只执行一次性存取的时侯,用 Statement 对象进行处理。PreparedStatement 对象的开销比Statement大,对于一次性操作并不会带来额外的好处。
3.statement每次执行sql语句,相关数据库都要执行sql语句的编译,preparedstatement是预编译得,   preparedstatement支持批处理
4.
Code Fragment 1:

String updateString = "UPDATE COFFEES SET SALES = 75 " + "WHERE COF_NAME LIKE ′Colombian′";
stmt.executeUpdate(updateString);

Code Fragment 2:

PreparedStatement updateSales = con.prepareStatement("UPDATE COFFEES SET SALES = ? WHERE COF_NAME LIKE ? ");
updateSales.setInt(1, 75);
updateSales.setString(2, "Colombian");
updateSales.executeUpdate();

片断2和片断1的区别在于,后者使用了PreparedStatement对象,而前者是普通的Statement对象。PreparedStatement对象不仅包含了SQL语句,而且大多数情况下这个语句已经被预编译过,因而当其执行时,只需DBMS运行SQL语句,而不必先编译。当你需要执行Statement对象多次的时候,PreparedStatement对象将会大大降低运行时间,当然也加快了访问数据库的速度。
这种转换也给你带来很大的便利,不必重复SQL语句的句法,而只需更改其中变量的值,便可重新执行SQL语句。选择PreparedStatement对象与否,在于相同句法的SQL语句是否执行了多次,而且两次之间的差别仅仅是变量的不同。如果仅仅执行了一次的话,它应该和普通的对象毫无差异,体现不出它预编译的优越性。
5.执行许多SQL语句的JDBC程序产生大量的Statement和PreparedStatement对象。通常认为PreparedStatement对象比Statement对象更有效,特别是如果带有不同参数的同一SQL语句被多次执行的时候。PreparedStatement对象允许数据库预编译SQL语句,这样在随后的运行中可以节省时间并增加代码的可读性。

然而,在Oracle环境中,开发人员实际上有更大的灵活性。当使用Statement或PreparedStatement对象时,Oracle数据库会缓存SQL语句以便以后使用。在一些情况下,由于驱动器自身需要额外的处理和在Java应用程序和Oracle服务器间增加的网络活动,执行PreparedStatement对象实际上会花更长的时间。

然而,除了缓冲的问题之外,至少还有一个更好的原因使我们在企业应用程序中更喜欢使用PreparedStatement对象,那就是安全性。传递给PreparedStatement对象的参数可以被强制进行类型转换,使开发人员可以确保在插入或查询数据时与底层的数据库格式匹配。

当处理公共Web站点上的用户传来的数据的时候,安全性的问题就变得极为重要。传递给PreparedStatement的字符串参数会自动被驱动器忽略。最简单的情况下,这就意味着当你的程序试着将字符串“D'Angelo”插入到VARCHAR2中时,该语句将不会识别第一个“,”,从而导致悲惨的失败。几乎很少有必要创建你自己的字符串忽略代码。

在Web环境中,有恶意的用户会利用那些设计不完善的、不能正确处理字符串的应用程序。特别是在公共Web站点上,在没有首先通过PreparedStatement对象处理的情况下,所有的用户输入都不应该传递给SQL语句。此外,在用户有机会修改SQL语句的地方,如HTML的隐藏区域或一个查询字符串上,SQL语句都不应该被显示出来。

我通过一段测试代码 完成防止SQL注入功能的验证
/* 
 * Copyright (c) 2013, 360buy Group and/or its affiliates. All rights reserved.
 */
package com.yh.java.sqlinjection;

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;

/**
 * 
 * @version 2013-11-18
 * @author dbyanghao
 */
public class SqlTest {
	
	public static void main(String[] args) {
		testSql("liming","123456","statement");
		testSql("liming","12345","statement");
		testSql("liming' or '1'='1","12345","statement");
		testSql("liming","123456","preparedStatemet");
		testSql("liming","12345","preparedStatemet");
		testSql("liming' or '1'='1","12345","preparedStatemet");
	}
	public static void testSql(String name,String pwd,String type)
	{
		if(type.equals("statement"))
		{
			boolean statementTestResult = statementTest(name,pwd);
			if(statementTestResult==true)
			{
				System.out.println("用户名密码正确");
			}else
			{
				System.out.println("用户名密码错误");
			}
		}
		if(type.equals("preparedStatemet"))
		{
			boolean preparedStatemetResult = preparedStatemetTest(name,pwd);
			if(preparedStatemetResult==true)
			{
				System.out.println("用户名密码正确");
			}else
			{
				System.out.println("用户名密码错误");
			}
		}
	}
	public static boolean statementTest(String name,String pwd)
	{
		boolean result = false;
		//创建用于连接数据库的Connection对象
		Connection conn = null;	
		//创建Statement对象  
		Statement st = null;
		try {
			// 加载Mysql数据驱动
			Class.forName("com.mysql.jdbc.Driver");
			// 创建数据连接
			conn = DriverManager.getConnection(
					"jdbc:mysql://localhost:3307/test", "root", "root");
			
		} catch (Exception e) {
			System.out.println("数据库连接失败" + e.getMessage());
		}
		try {
			// 查询数据的sql语句
			String sql = "select * from test where username='" +name+ "' and pwd='"+pwd +"'";
			System.out.println(sql);
			//创建用于执行静态sql语句的Statement对象,st属局部变量
			st = (Statement) conn.createStatement();	
			//执行sql查询语句,返回查询数据的结果集
			ResultSet rs = st.executeQuery(sql);	
			// 判断是否还有下一个数据	
			while (rs.next()) {				
				result = true;	
				String rname = rs.getString("username");
				String rpwd = rs.getString("pwd");
				System.out.println("用户名,密码为:"+rname+"--"+rpwd);
			}			
			//关闭数据库连接	
			conn.close();			
		} catch (SQLException e) {
			System.out.println("查询数据失败");
		}	
		return result;
	}
	
	public static boolean preparedStatemetTest(String name,String pwd)
	{
		boolean result = false;
		//创建PreparedStatement对象  
        PreparedStatement pstmt = null; 
        //创建连接对象  
        Connection conn = null; 
        try {
			// 加载Mysql数据驱动
			Class.forName("com.mysql.jdbc.Driver");
			// 创建数据连接
			conn = DriverManager.getConnection(
					"jdbc:mysql://localhost:3307/test", "root", "root");
			
		} catch (Exception e) {
			System.out.println("数据库连接失败" + e.getMessage());
		}
		try {
			// 查询数据的sql语句
			String sql = "select * from test where username= ? and pwd= ?";			
			//使用PreparedStatement对象里来构建并执行SQL语句,2个问号代表2个字段预先要保留的值  
			pstmt = conn.prepareStatement(sql);
			//通过PreparedStatement对象里的set方法去设置插入的具体数值  
            pstmt.setString(1, name);  
            pstmt.setString(2, pwd); 
            System.out.println(sql+"/1:"+name+"/2:"+pwd);
			//执行sql查询语句,返回查询数据的结果集
			ResultSet rs = pstmt.executeQuery();
			// 判断是否还有下一个数据	
			while (rs.next()) {				
				result = true;	
				String rname = rs.getString("username");
				String rpwd = rs.getString("pwd");
				System.out.println("用户名,密码为:"+rname+"--"+rpwd);
			}			
			//关闭数据库连接	
			conn.close();			
		} catch (SQLException e) {
			System.out.println("查询数据失败");
		}finally {  
            try {  
                if(pstmt != null) {  
                    pstmt.close();  
                    pstmt = null;  
                }  
                if(conn != null) {  
                    conn.close();  
                    conn = null;  
                }  
            //捕获SQL异常  
            } catch (SQLException e) {  
                e.printStackTrace();  
            }  
        }  	
		
		return result;
	}
}

执行结果为:
select * from test where username='liming' and pwd='123456'
用户名,密码为:liming--123456
用户名密码正确
select * from test where username='liming' and pwd='12345'
用户名密码错误
select * from test where username='liming' or '1'='1' and pwd='12345'
用户名,密码为:liming--123456
用户名密码正确
select * from test where username= ? and pwd= ?/1:liming/2:123456
用户名,密码为:liming--123456
用户名密码正确
select * from test where username= ? and pwd= ?/1:liming/2:12345
用户名密码错误
select * from test where username= ? and pwd= ?/1:liming' or '1'='1/2:12345
用户名密码错误

防止sql注入还要在先后台进行安全字符过滤。
yh_cruise
关注
PreparedStatement 预编译的 SQL 就不会有被 SQL 注入的风险?
数字化小李的博客
12-07 874
当我们说到关于持久层框架的功能,必然需要先想想这个功能的源头到底是不是直接通过数据库提供的。实际上事务一样,SQL 预编译的功能也是需要数据库提供底层支持的。以 MySQL 为例,在 MySQL 中,所谓预编译其实是指先提交带占位符的 SQL 模板,然后为其指定一个 key,MySQL 先将其编译好,然后用户再拿着 key 占位符对应的参数让 MySQL 去执行,用法有点像 python 中的 format 函数。一个标准的预编译 SQL 的用法如下:先通过 设置一个 SQL 模板,然后通过 提交参
**原生JDBC与预处理对象preparedStament*
java_oysj的博客
07-30 300
JDBC的插入,删除,更新数据的方式类似,只需修改一下sql语句 @Test public void testJDBC2() throws SQLException, ClassNotFoundException { /** JDBC 实现的步骤 JDBC 完成 记录的插⼊ 1.注册驱动 2.获得连接 3.获得执⾏sql语句对象 4.执⾏sql语句, 并返回结果 5.处理结果 6.释放资源 注意: 若插⼊中⽂出现乱码, 请设置编码 ?useUnicode=true&characterEncodi
StatementPreparedStatement之间区别
Jenhy的专栏
10-17 1629
1.PreparedStatement是预编译的,对于批量处理可以大大提高效率. 也叫JDBC存储过程2.使用 Statement 对象。在对数据库只执行一次性存取的时侯,用 Statement 对象进行处理。PreparedStatement 对象的开销比Statement大,对于一次性操作并不会带来额外的好处。3.statement每次执行sql语句,相关数据库都要执行sql
24、PrepareStament
JavaDayUp
11-12 1727
学习目标: 1、了解PreparedStatement接口的意义 2、掌握PreparedStatement的使用 学习过程: 一、PreparedStatement接口简介 PreparedStatement是预编译的SQL语句,它继承了Statement 接口,使用PreparedStatement的优点是: (1)书写代码比较规范,不需要字符串的连接,毕竟字符串连接长了之后,看起...
StatementPreparedStatement区别
liuhuan1534的专栏
05-08 563
1.PreparedStatement是预编译的,对于批量处理可以大大提高效率. 也叫JDBC存储过程2.使用 Statement 对象。在对数据库只执行一次性存取的时侯,用 Statement 对象进行处理。PreparedStatement 对象的开销比Statement大,对于一次性操作并不会带来额外的好处。3.statement每次执行sql语句,相关数据库都要执行sql语句的编译,pre...
Statement PreparedStatement 详解
最新发布
yjp1240201821的博客
07-27 1119
本节主要讲解StatementpreparedStatement,从其相关的定义,优缺点区别等等帮助理解。
如何使用Java中的PreparedStatement来防止SQL注入
waitaikong_的博客
05-23 914
参数化查询(Parameterized Query)是一种在数据库操作中使用的编程技术,主要用于防止SQ注入攻击,同时也能提高代码的可读性稳定性。在参数化查询中,不是直接将用户输入或变量拼接到SQL语句中,而是将变量值作为参数传递给查询。这样做的好处是,即使用户输入包含了SQL命令,数据库系统也会将其视为普通的字符串值,而不是可执行的SQL代码,从而有效防止了SQL注入攻击。参数化查询的工作原理是在数据库完成SQL指令的编译后,才套用参数运行,因此即使参数中含有恶意的指令,也不会被数据库所运行。
Java PreparedStatementStatement区别SQL注入防范
"Java编程语言中的PreparedStatementStatement是两种不同的SQL语句执行方式,它们在处理用户输入数据防止SQL注入方面存在显著差异。本文将深入探讨这两种接口的特性应用场景,以及为何PreparedStatement更适合...
prepareStatementStatement区别
09-23
prepareStatementStatement区别
关于StatementPrestatement区别
qq_47938856的博客
09-19 1099
Statement 是java.sql包下的一个接口,想必在学习过jdbc的同学们就对这个接口有一定的印象,Statement接口下有很多方法是对sql语句处理的,例如executeQuery(“sql语句”)方法 //3,创建数据库对象 Statement stmt=con.createStatement(); //4,对数据库进行操作 String sql="select * from dept"; ResultSe..
JDBC基础教程之PreparedStatement
盗也有道>>>>
11-12 3056
概述该 PreparedStatement 接口继承 Statement,并与之在两方面有所不同:PreparedStatement 实例包含已编译的 SQL 语句。这就是使语句“准备好”。包含于 PreparedStatement 对象中的 SQL 语句可具有一个或多个 IN 参数。IN参数的值在 SQL 语句创建时未被指定。相反的,该语句为每个 IN 参数保留一个问号(“?”)作为占位符。每个
06丨数据库原理:为什么PrepareStatement性能更好更安全?
qq_37756660的博客
11-08 552
做应用开发的同学常常觉得数据库由 DBA 运维,自己会写 SQL 就可以了,数据库原理不需要学习。其实即使是写 SQL 也需要了解数据库原理,比如我们都知道,SQL 的查询条件尽量包含索引字段,但是为什么呢?这样做有什么好处呢?你也许会说,使用索引进行查询速度快,但是为什么速度快呢?此外,我们在 Java 程序中访问数据库的时候,有两种提交 SQL 语句的方式,一种是通过 Statement 直接提交 SQL;另一种是先通过 PrepareStatement 预编译 SQL,然后设置可变参数再提交执行。
PreparedStament 批处理性能调优
或渊在田的专栏
01-05 3807
     PreparedStament是大家在做单个数据库查询更新中经常用到的一个API,也经常用来做一些批处理的插入操作,但对这个接口是如何运行性能怎样才能达到最优方面了解较少。下面我们用例子数据来说明这两个问题。      首先我们需要准备好测试环境,我这里用的是数据MySql 5.0,DB2/AIX64 9.1.7,其中MySql 用来查询数据,查询出来的数据插入到DB2,实
PreparedStatement实现对表数据的增删改查操作-详解
mofeigege的博客
11-03 4558
PreparedStatement的使用的插入案例进行封装如下 package com.atmf; import java.io.InputStream; import java.sql.Connection; import java.sql.DriverManager; import java.sql.PreparedStatement; import java.util.Properties; import org.junit.Test; /** * @Describe 操作数据库的工具类.
StateMent、PrepareStateMent 异同收集
06-26 644
1 stmt=conn.CreateStatement(); resultSet rs=stmt.executeQuery(sql); 上面是statement的用法 ============================ 下面是PrepareStatement的用法 ptmt=conn.PreparedStatement(sql); resultSet
PrestatementStatement区别
wenzi1984的专栏
12-22 358
看下面两段程序片断: Code Fragment 1: String updateString = "UPDATE COFFEES SET SALES = 75 " + "WHERE COF_NAME LIKE ′Colombian′"; stmt.executeUpdate(updateString); Code Fragment 2: PreparedStatement up
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值