利用PreparedStatement预防SQL注入

时间：2018-06-10 19:33:13 阅读：145 评论：0 收藏：0 [点我收藏+]

标签：prepare SQ 用户 str div insert class utils 通过

1、什么是sql注入

　　SQL 注入是用户利用某些系统没有对输入数据进行充分的检查，从而进行恶意破坏的行为。　　

　　例如登录用户名采用 ‘ or 1=1 or username=‘，后台数据查询语句就变成

　　sql = select * from users where username=‘‘ or 1=1 or username=‘‘ and password=‘"+password+"‘"，由于sql中and的优先级比or高，所以整条查询语句等价于：

　　sql = select * from users where true;这样就造成随意登录

2、预防sql注入

PreperedStatement是Statement的孩子，它的实例对象可以通过调用Connection.preparedStatement()方法获得，相对于Statement对象而言：PreperedStatement可以避免SQL注入的问题。Statement会使数据库频繁编译SQL，可能造成数据库缓冲区溢PreparedStatement 可对SQL进行预编译，从而提高数据库的执行效率。并且PreperedStatement对于sql中的参数，允许使用占位符的形式进行替换，简化sql语句的编写。

 1 public void add(User user) {
 2         Connection conn = null;
 3         PreparedStatement st = null;
 4         ResultSet rs = null;
 5         try{
 6             conn = JdbcUtils.getConnection();
 7             String sql = "insert into users(id,username,password,email,birthday,nickname) values(?,?,?,?,?,?)";//利用占位符
 8             st = conn.prepareStatement(sql);
 9             st.setString(1, user.getId());
10             st.setString(2, user.getUsername());
11             st.setString(3, user.getPassword());
12             st.setString(4, user.getEmail());
13             st.setDate(5, new java.sql.Date(user.getBirthday().getTime()));
14             st.setString(6, user.getNickname());
15             int num = st.executeUpdate();
16             if(num<1){
17                 throw new RuntimeException(”用户不存在");
18             }
19         }catch (Exception e) {
20             throw new DaoException(e); 
21         }finally{
22             JdbcUtils.release(conn, st, rs);
23         }
24         
25         
26     }

利用PreparedStatement预防SQL注入

标签：prepare SQ 用户 str div insert class utils 通过

原文地址：https://www.cnblogs.com/niuchuangfeng/p/9164003.html

踩

(0)

评论一句话评论（0）

分享档案

更多>

2021年07月29日 (22)
2021年07月28日 (40)
2021年07月27日 (32)
2021年07月26日 (79)
2021年07月23日 (29)
2021年07月22日 (30)
2021年07月21日 (42)
2021年07月20日 (16)
2021年07月19日 (90)
2021年07月16日 (35)

周排行