2. 程式人生 > >三、使用PreparedStatement進行sql語句預處理

三、使用PreparedStatement進行sql語句預處理

阿新 發佈:2018-12-18

PreparedStatement

public interface PreparedStatement extends Statement;可以看到PreparedStatement是Statement的子介面,我們在執行查詢或者更新資料表資料的時候,拼寫SQL語句是一個很費力並且容易出錯的事情,PreparedStatement可以簡化這樣的一個過程.

PreParedStatement
1).why?我們為什麼要使用它
使用Statement需要進行拼寫SQl語句,辛苦並且容易出錯,之前使用Statement的SQL語句的形式是這樣的

String sql = "insert into examstudent" + " values("
+ student.getFlowId() + "," + student.getType() + ",'"
+ student.getIdCard() + "','" + student.getExamCard() + "','"
+ student.getStudentName() + "','" + student.getLocation()
+ "'," + student.getGrade() + ")";

使用PreparedStatement:是Statement的子介面,可以傳入帶佔位符的SQL語句,提供了補充佔位符變數的方法

PreparedStatement ps=conn.preparedStatement(sql);

可以看到將sql作為引數傳入了,就不需要我們在費力拼寫了。

2)變成了這樣的形式

String sql="insert into examstudent values(?,?,?,?,?,?,?)";

可以呼叫PreparedStatement的setXxx(int index,Object val)設定佔位符的值,其中index的值從1開始

執行SQl語句:excuteQuery()或者excuteUpdate()就可以完成查詢或者資料的更新.【注意】:此時函式的引數位置不需要傳入SQL語句,注意同使用Statement的update函式的差別

@Test
    public void testPreparedStatement() {
        Connection connection = null;
        PreparedStatement preparedStatement = null;
        try {
            // 連線資料庫
            connection = JDBCTools.getConnection();
            // 使用佔位符的SQl語句
            String sql = "insert into customers(name,email,birth)"
                    + "values(?,?,?)";
            // 使用preparedStatement的setXxx方法設定每一個位置上的值
            preparedStatement = connection.prepareStatement(sql);
            // 設定name欄位
            preparedStatement.setString(1, "ATGUIGU");
            // 設定email欄位
            preparedStatement.setString(2, "
 
[email protected]");
            // 設定birth欄位
            preparedStatement.setDate(3,
                    new Date(new java.util.Date().getTime()));
            // 執行更新操作
            preparedStatement.executeUpdate();
        } catch (Exception e) {
            e.printStackTrace();
        } finally {
            // 釋放資源
            JDBCTools.release(null, preparedStatement, connection);
        }
    }

使用PreparedStatement執行SQl(更新操作:插入、刪除、更新,但不包括select查詢操作),JDBCTools中的通用函式update更改成下面的形式:這裡使用了可變引數,而不是使用陣列

public static void update(String sql,Object ...args){
        /**
         * 執行SQL語句,使用PreparedStatement
         */
        Connection connection=null;
        PreparedStatement preparedStatement=null;
        try {
            connection=JDBCTools.getConnection();
            preparedStatement=connection.prepareStatement(sql);
            for(int i=0;i<args.length;i++){
                preparedStatement.setObject(i+1, args[i]);
            }
            preparedStatement.executeUpdate();
        } catch (Exception e) {
            e.printStackTrace();
        }finally{
            JDBCTools.release(null, preparedStatement, connection);
        }
    }

使用PreparedStatement的好處:

1).提高程式碼的可讀性和可維護性;

2).最大程度的提高效能:JDBC驅動的最佳化是基於使用的是什麼功能. 選擇PreparedStatement還是Statement取決於你要怎麼使用它們. 對於只執行一次的SQL語句選擇Statement是最好的. 相反, 如果SQL語句被多次執行選用PreparedStatement是最好的.PreparedStatement的第一次執行消耗是很高的. 它的效能體現在後面的重複執行(快取的作用). 例如, 假設我使用Employee ID, 使用prepared的方式來執行一個針對Employee表的查詢. JDBC驅動會發送一個網路請求到資料解析和優化這個查詢. 而執行時會產生另一個網路請求. 在JDBC驅動中,減少網路通訊是最終的目的. 如果我的程式在執行期間只需要一次請求, 那麼就使用Statement. 對於Statement, 同一個查詢只會產生一次網路到資料庫的通訊.當使用PreparedStatement池時, 如果一個查詢很特殊, 並且不太會再次執行到, 那麼可以使用Statement. 如果一個查詢很少會被執行,但連線池中的Statement池可能被再次執行, 那麼請使用PreparedStatement. 在不是Statement池的同樣情況下, 請使用Statement.

3).可以防止SQL注入

SQL注入指的是通過構建特殊的輸入作為引數傳入Web應用程式,而這些輸入大都是SQL語法裡的一些組合,通過執行SQL語句進而執行攻擊者所要的操作,其主要原因是程式沒有細緻地過濾使用者輸入的資料,致使非法資料侵入系統。

比如我們新建一個數據表users,表中有兩個欄位username和password;

我們在圖形化介面SQLyog的sql語句的查詢介面輸入這樣的查詢語句:select * from users where username='a' or password='and password=' or '1'='1';

執行該語句,會得到我們表中的資料:

我們可以分析一下這條語句:where的後面,通過多個欄位的組合作為查詢過濾的條件。

欄位一:username='a'

欄位二:password='and password='

欄位三:'1'='1'

因為用邏輯連線符OR來連線的三個欄位,只要有一個為真就可以將查詢工作完成.

下面我們看下具體的程式碼實現:

@Test
    public void testSQLinjection() {
        String username = "a' or password =";
        String password = " or '1'='1";
        String sql = "select * from users where username='" + username
                + "' AND " + "password='" + password + "'";
        System.out.println(sql);
        Connection connection = null;
        Statement statement = null;
        ResultSet resultSet = null;
        try {
            connection = getConnection();
            statement = connection.createStatement();
            resultSet = statement.executeQuery(sql);
            if (resultSet.next()) {
                System.out.println("登陸成功");
            } else {
                System.out.println("不匹配");
            }
        } catch (Exception e) {
            e.printStackTrace();
        } finally {
            JDBCTools.release(resultSet, statement, connection);
        }
    }

執行結果:

select * from users where username='a' or password =' AND password=' or '1'='1'
登陸成功

可以看到我們的SQl語句中都沒有明確我們要查的欄位的名,但是還是獲取了查詢的結果(SQL語句太能混了)

於是,我們用了PreparedStatement就可以解決SQL注入的問題。

@Test
    public void testSQLinjection2() {
        String username = "a' or password =";
        String password = " or '1'='1";
        String sql = "select * from users where username=?" + " and password=?";
        System.out.println(sql);
        Connection connection = null;
        PreparedStatement preparedStatement = null;
        ResultSet resultSet = null;
        try {
            connection = getConnection();
            preparedStatement = connection.prepareStatement(sql);
            preparedStatement.setString(1, username);
            preparedStatement.setString(2, password);
            resultSet = preparedStatement.executeQuery();
            if (resultSet.next()) {
                System.out.println("登陸成功");
            } else {
                System.out.println("不匹配");
            }
        } catch (Exception e) {
            e.printStackTrace();
        } finally {
            JDBCTools.release(resultSet, preparedStatement, connection);
        }
    }

執行結果:

select * from users where username=? and password=?
不匹配

可以看到:再次使用偽裝後的SQL語句已經不能獲取我們資料表中的資訊,我們這裡在sql語句中使用了佔位符。因此使用PreparedStatement可以結解決這裡的SQL注入的問題。

相關推薦

使用PreparedStatement進行sql語句處理

PreparedStatement public interface PreparedStatement extends Statement;可以看到PreparedStatement是Statement的子介面,我們在執行查詢或者更新資料表資料的時候,拼寫SQL語句是一個很費力並且容易出錯的事

PDO進行sql語句處理和操作結果集詳細介紹(二)

<span style="font-size:18px;">一:預處理語句及其繫結引數執行insert try { $pdo=new PDO("mysql:host=localhost;dbname=xsphpdb", "root", "123

SQL注入防禦之——SQL語句處理(PHP)

許多成熟的資料庫都支援預處理語句(Prepared Statements)的概念。它們是什麼東西?你可以把它們想成是一種編譯過的要執行的SQL語句模板,可以使用不同的變數引數定製它。預處理語句的引數不需要使用引號,底層驅動會為你處理這個。如果你的應用獨佔地

兩個日期間隔個工作日的sql語句

cas 語句 eight log urn num sel then when CREATE OR REPLACE FUNCTION "FUN_BETWEENDAYS" (start_dt date, end_dt date) return int is t_days in

mysql中sql語句分類及常用操作

所表 desc 直接 常用操作 文件 ble div alter .cn 1.sql語句分類: DQL語句  數據查詢語言  select DML語句  數據操作語言  insert delete update DDL語句  數據定義語言  create drop

6C_宏定義與處理函數與函數庫

a10 使用 不可 find 字符串比較 pos cde 文件包含 mnt C語言預處理理論 由源碼到可執行程序的過程 源碼.c->(編譯)->elf可執行程序 源碼.c->(編譯)->目標文件.o->(鏈接)->elf可執行程

MySQL創建用戶以及授權常用的sql語句MySQL數據庫的備份與恢復

Linux學習筆記MySQL創建用戶以及授權 常用的sql語句 MySQL數據庫的備份與恢復 對於大數據的備份請查閱資料MySQL創建用戶以及授權、常用的sql語句、MySQL數據庫的備份與恢復

代寫數據庫表設計代寫SQL語句代做數據庫項目代做MySQL數據庫

日期 學分 HR edit 腳本 cat eth 數據庫 業務 代寫數據庫表設計、代寫SQL語句、代做數據庫項目、代做MySQL數據庫一、實訓目的通過綜合實訓進一步鞏固和深化學生的數據庫管理和開發的基本知識和技能,使學生掌握基本的SQL腳本編寫規範、養成良好的數據庫操作習慣

基於pandas進行數據處理

連續 matrix mis timestamp head scribe range 字典 數值 很久沒用pandas,有些有點忘了,轉載一個比較完整的利用pandas進行數據預處理的博文:https://blog.csdn.net/u014400239/article/de

通過身份證分析出生年月日性別年齡的SQL語句

int rda mat get sta 字符串格式化 pan pre class update [表名] set [性別]=(case when (left(right([身份證],2),1) % 2 = 0) then ‘女‘ else ‘男‘ end ) where

pandas進行數據處理

異常 選擇 數據 數據透視表 ping 執行函數 處理 特定 行數據 Pandas選擇:數據訪問(標簽、特定值、布爾索引等)缺失值處理:對缺失數據行進行刪除或填充重復值處理:重復值的判斷與刪除異常值處理:清除不必要的空格和極端、異常數據相關操作:描述性統計、Apply、直方

Excel生成批量SQL語句處理大量資料的好辦法

當有大量重複體力工作寫入或修改資料到資料庫中時,可以 第一,將Excel資料整理好了之後,通過SQL的匯入功能直接導進資料庫,但是得保證資料庫欄位和Excel的欄位一致。 第二,通過Excel來生成對應的SQL語句,直接將SQL語句複製到分析器裡面執行即可。 如:使用excel的

PreparedStatement執行sql語句

run student urn stack 風險 tst new etc insert import com.loaderman.util.JdbcUtil; import java.sql.Connection; import java.sql.Prepare

ms SQL server資料庫備份壓縮與SQL資料庫資料處理的方法

ms SQL server資料庫備份、壓縮與SQL資料庫資料處理的方法 一、備份資料庫 1、開啟SQL企業管理器,在控制檯根目錄中依次點開Microsoft SQL Server 2、SQL Server組-->雙擊開啟你的伺服器-->雙擊開啟資料庫目錄 3、選擇你的資料庫名稱(如論

sql語句字串處理函式

函式 database() 查詢當前所使用的資料庫名 user() 或 current_user() 查詢當前使用者 version() 或 @@version 檢視當前資料庫的版本 文字處理函式 eg: mysql> SELECT LEFT('

各種按日期時間段統計SQL語句

--前一日  select * from 表名 where  datediff(d,cast(日期  as  datetime),getdate())=1  --上週 select *

【python資料探勘課程】十二.PandasMatplotlib結合SQL語句對比圖分析

一. 直方圖四圖對比        資料庫如下所示,包括URL、作者、標題、摘要、日期、閱讀量和評論數等。        執行結果如下所示,其中繪製多個圖的核心程式碼為:        p1 = plt.subplot(221)        plt.bar(ind, num

Python系列:流程控制迴圈語句--技術流ken

  Python條件語句   Python條件語句是通過一條或多條語句的執行結果(True或者False)來決定執行的程式碼塊。 可以通過下圖來簡單瞭解條件語句的執行過程:   Python程式語言指定任何非0和非空(null)值為true,0 或者 null為f

navicat 匯出嚮導 , 通過Excel生成批量SQL語句處理大量資料

     如果要改一個數據量很大的表格的某些欄位,可以先將這個表格的資料匯出來,導成excel 形式: 工具:navicat formysql     資料庫:mysql 1. 2. 3.

java基礎鞏固---jdbc介面PreparedStatement執行sql語句

PreparedStatement執行sql語句 public class Demo1 {     /**      * 增加      */     @Test     public vo