Java -- JDBC 学习--PreparedStatement

时间：2017-06-05 00:33:46 阅读：277 评论：0 收藏：0 [点我收藏+]

标签：最大输入 select into too sts injection 相同语句

可以通过调用 Connection 对象的 preparedStatement() 方法获取 PreparedStatement 对象。
PreparedStatement 接口是 Statement 的子接口，它表示一条预编译过的 SQL 语句。
PreparedStatement 对象所代表的 SQL 语句中的参数用问号(?)来表示，调用 PreparedStatement 对象的 setXXX() 方法来设置这些参数. setXXX() 方法有两个参数，第一个参数是要设置的 SQL 语句中的参数的索引(从 1 开始)，第二个是设置的 SQL 语句中的参数的值。

PreparedStatement 和 Statement 比较

1、代码的可读性和可维护性.

2、PreparedStatement 能最大可能提高性能：
DBServer会对预编译语句提供性能优化。因为预编译语句有可能被重复调用，所以语句在被DBServer的编译器编译后的执行代码被缓存下来，那么下次调用时只要是相同的预编译语句就不需要编译，只要将参数直接传入编译过的语句执行代码中就会得到执行。
在statement语句中,即使是相同操作但因为数据内容不一样,所以整个语句本身不能匹配,没有缓存语句的意义.事实是没有数据库会对普通语句编译后的执行代码缓存.这样每执行一次都要对传入的语句编译一次.
(语法检查，语义检查，翻译成二进制命令，缓存)

3、PreparedStatement 可以防止 SQL 注入。

例子：

@Test
    public void testPreparedStatement() {
        Connection connection = null;
        PreparedStatement preparedStatement = null;

        try {
            connection = JDBCTools.getConnection();
            String sql = "INSERT INTO customers (name, email, birth) "
                    + "VALUES(?,?,?)";

            preparedStatement = connection.prepareStatement(sql);
            preparedStatement.setString(1, "soyoungboy");
            preparedStatement.setString(2, "soyoungboy@163.com");
            preparedStatement.setDate(3,
                    new Date(new java.util.Date().getTime()));

            preparedStatement.executeUpdate();
        } catch (Exception e) {
            e.printStackTrace();
        } finally {
            JDBCTools.releaseDB(null, preparedStatement, connection); 
        }
    }

SQL 注入攻击

概念：

SQL 注入是利用某些系统没有对用户输入的数据进行充分的检查，而在用户输入数据中注入非法的 SQL 语句段或命令，从而利用系统的 SQL 引擎完成恶意行为的做法。

对于 Java 而言，要防范 SQL 注入，只要用 PreparedStatement 取代 Statement 就可以了。

sql注入例子：

/**
     * SQL 注入.
     */
    @Test
    public void testSQLInjection() {
        String username = "a‘ OR PASSWORD = ";
        String password = " OR ‘1‘=‘1";

        String sql = "SELECT * FROM users WHERE username = ‘" + username
                + "‘ AND " + "password = ‘" + password + "‘";

        System.out.println(sql);

        Connection connection = null;
        Statement statement = null;
        ResultSet resultSet = null;

        try {
            connection = JDBCTools.getConnection();
            statement = connection.createStatement();
            resultSet = statement.executeQuery(sql);

            if (resultSet.next()) {
                System.out.println("登录成功!");
            } else {
                System.out.println("用户名和密码不匹配或用户名不存在. ");
            }

        } catch (Exception e) {
            e.printStackTrace();
        } finally {
            JDBCTools.releaseDB(resultSet, statement, connection);
        }
    }

使用PreparedStatement 解决sql注入例子：

/**
     * 使用 PreparedStatement 将有效的解决 SQL 注入问题.
     */
    @Test
    public void testSQLInjection2() {
        String username = "a‘ OR PASSWORD = ";
        String password = " OR ‘1‘=‘1";

        String sql = "SELECT * FROM users WHERE username = ? "
                + "AND password = ?";

        Connection connection = null;
        PreparedStatement preparedStatement = null;
        ResultSet resultSet = null;

        try {
            connection = JDBCTools.getConnection();
            preparedStatement = connection.prepareStatement(sql);

            preparedStatement.setString(1, username);
            preparedStatement.setString(2, password);

            resultSet = preparedStatement.executeQuery();

            if (resultSet.next()) {
                System.out.println("登录成功!");
            } else {
                System.out.println("用户名和密码不匹配或用户名不存在. ");
            }

        } catch (Exception e) {
            e.printStackTrace();
        } finally {
            JDBCTools.releaseDB(resultSet, preparedStatement, connection);
        }
    }

Java -- JDBC 学习--PreparedStatement

标签：最大输入 select into too sts injection 相同语句

原文地址：http://www.cnblogs.com/androidsuperman/p/6942486.html

踩

(0)

评论一句话评论（0）

分享档案

更多>

2021年07月29日 (22)
2021年07月28日 (40)
2021年07月27日 (32)
2021年07月26日 (79)
2021年07月23日 (29)
2021年07月22日 (30)
2021年07月21日 (42)
2021年07月20日 (16)
2021年07月19日 (90)
2021年07月16日 (35)

周排行