PreparedStatement JDBC域處理/SQl攻擊
感謝傳智播客提供的學習視訊 ,希望傳智播客越來越好
l 它是Statement介面的子介面;
l 強大之處:
Ø 防SQL攻擊;
Ø 提高程式碼的可讀性、可維護性;
Ø 提高效率!
l 學習PreparedStatement的用法:
Ø 如何得到PreparedStatement物件:
¨ 給出SQL模板!
¨ 呼叫Connection的PreparedStatement prepareStatement(String sql模板);
¨ 呼叫pstmt的setXxx()系列方法sql模板中的?賦值!
¨ 呼叫pstmt的executeUpdate()或executeQuery(),但它的方法都沒有引數。
l 預處理的原理
Ø 伺服器的工作:
¨ 校驗sql語句的語法!
¨ 編譯:一個與函式相似的東西!
¨ 執行:呼叫函式
Ø PreparedStatement:
¨ 前提:連線的資料庫必須支援預處理!幾乎沒有不支援的!
¨ 每個pstmt都與一個sql模板繫結在一起,先把sql模板給資料庫,資料庫先進行校驗,再進行編譯。執行時只是把引數傳遞過去而已!
¨ 若二次執行時,就不用再次校驗語法,也不用再次編譯!直接執行!
1 什麼是SQL攻擊
在需要使用者輸入的地方,使用者輸入的是SQL語句的片段,終端使用者輸入的SQL片段與我們DAO中寫的SQL語句合成一個完整的SQL語句!例如使用者在登入時輸入的使用者名稱和密碼都是為SQL語句的片段!
2 演示SQL攻擊
首先我們需要建立一張使用者表,用來儲存使用者的資訊。
CREATE TABLE user( uid CHAR(32) PRIMARY KEY, username VARCHAR(30) UNIQUE KEY NOT NULL, PASSWORD VARCHAR(30) ); INSERT INTO user VALUES('U_1001', 'zs', 'zs'); SELECT * FROM user; |
現在使用者表中只有一行記錄,就是zs。
下面我們寫一個login()方法!
public Connection con = null; Statement stmt = null; ResultSet rs = null; try { con = JdbcUtils.getConnection(); stmt = con.createStatement(); String sql = "SELECT * FROM user WHERE " + "username='" + username + "' and password='" + password +"'"; rs = stmt.executeQuery(sql); if(rs.next()) { System.out.println("歡迎" + rs.getString("username")); } else { System.out.println("使用者名稱或密碼錯誤!"); } } catch (Exception e) { throw new RuntimeException(e); } finally { JdbcUtils.close(con, stmt, rs); } } |
下面是呼叫這個方法的程式碼:
login("a' or 'a'='a", "a' or 'a'='a"); |
這行當前會使我們登入成功!因為是輸入的使用者名稱和密碼是SQL語句片段,最終與我們的login()方法中的SQL語句組合在一起!我們來看看組合在一起的SQL語句:
SELECT * FROM tab_user WHERE username='a' or 'a'='a' and password='a' or 'a'='a' |
3 防止SQL攻擊
l 過濾使用者輸入的資料中是否包含非法字元;
l 分步交驗!先使用使用者名稱來查詢使用者,如果查詢到了,再比較密碼;
l 使用PreparedStatement。
4 PreparedStatement是什麼?
PreparedStatement叫預編譯宣告!
PreparedStatement是Statement的子介面,你可以使用PreparedStatement來替換Statement。
PreparedStatement的好處:
l 提高程式碼的可讀性,以可維護性;
5 PreparedStatement的使用
l 使用Connection的prepareStatement(Stringsql):即建立它時就讓它與一條SQL模板繫結;
l 呼叫PreparedStatement的setXXX()系列方法為問號設定值
l 呼叫executeUpdate()或executeQuery()方法,但要注意,呼叫沒有引數的方法;
String sql = “select * from tab_student where s_number=?”; PreparedStatement pstmt = con.prepareStatement(sql); pstmt.setString(1, “S_1001”); ResultSet rs = pstmt.executeQuery(); rs.close(); pstmt.setString(1, “S_1002”); rs = pstmt.executeQuery(); |
在使用Connection建立PreparedStatement物件時需要給出一個SQL模板,所謂SQL模板就是有“?”的SQL語句,其中“?”就是引數。
在得到PreparedStatement物件後,呼叫它的setXXX()方法為“?”賦值,這樣就可以得到把模板變成一條完整的SQL語句,然後再呼叫PreparedStatement物件的executeQuery()方法獲取ResultSet物件。
注意PreparedStatement物件獨有的executeQuery()方法是沒有引數的,而Statement的executeQuery()是需要引數(SQL語句)的。因為在建立PreparedStatement物件時已經讓它與一條SQL模板繫結在一起了,所以在呼叫它的executeQuery()和executeUpdate()方法時就不再需要引數了。
PreparedStatement最大的好處就是在於重複使用同一模板,給予其不同的引數來重複的使用它。這才是真正提高效率的原因。
所以,建議大家在今後的開發中,無論什麼情況,都去需要PreparedStatement,而不是使用Statement。
[c1]不只它可以防!
[c2]很重要!
[崔3]再次使用時需要把原來的設定清空。
<pre name="code" class="java">package cn.itcast.jdbc;
import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;
import org.junit.Test;
import com.mysql.jdbc.PreparedStatement;
public class JdbcPreparedStatement {
/**
* 登入方法 可以被SQL攻擊的
* 使用UserName和UserCode去查詢資料庫
* @throws ClassNotFoundException
* @throws SQLException
*/
public boolean loginOne(String username,String password) throws Exception{
/**
* 一、得到Connection
* 二、得到Statement
* 三、得到ResultSet
* 四、rs.next()返回的是什麼,我們就返回什麼
*/
//準備四大引數
String driverClassName="com.mysql.jdbc.Driver";
String url="jdbc:mysql://localhost:3306/db3";
String myUserName="root";
String mypassword="123";
//載入驅動類
Class.forName(driverClassName);
//得到connection
Connection con=DriverManager.getConnection(url,myUserName,mypassword);
//得到statement
Statement statm=con.createStatement();
//給出SQL語句
String sql="select * from student where UserName='"+username+"' and UserCode='"+password+"'";
//在這可以輸出SQL,是否寫正確
//System.out.println(sql);
//執行SQL語句,呼叫statm中的excuteQuery(),得到ResultSet
ResultSet rs=statm.executeQuery(sql);
//設定返回值 ,有結果表示查詢到資料,沒有,表示沒有查詢到
return rs.next();
}
@Test
public void fun1() throws Exception {
String userName="a'or 'a'='a";
String passWord="a'or 'a'='a";
//這樣傳過去的SQL結果是:這就是SQL注入攻擊
//select * from student where UserName='a'or 'a'='a' and UserCode='a'or 'a'='a'
boolean bool= loginOne(userName,passWord);
System.out.println(bool);
}
/**
* 防SQL攻擊的登入
* @throws Exception
*/
public boolean loginTwo(String username,String password) throws Exception{
/**
* 一、得到Connection
* 二、得到Statement
* 三、得到ResultSet
* 四、rs.next()返回的是什麼,我們就返回什麼
*/
//準備四大引數
String driverClassName="com.mysql.jdbc.Driver";
String url="jdbc:mysql://localhost:3306/db3";
String myUserName="root";
String mypassword="123";
//載入驅動類
Class.forName(driverClassName);
//得到connection
Connection con=DriverManager.getConnection(url,myUserName,mypassword);
/////////////////////////////////////////
//從這裡開始,與上面的loginOne()方法中不一樣,這裡使用的是preparedStatement物件來處理
/*
* 得到preparedStatement
* 1,給出SQL模板:所有的引數使用?來替代
// * 2.呼叫connection的preparedStatement()方法來生成preparedStatement物件
* 3,給SQL模板賦值 ,用preStatm.setString方法來賦值
* 4,呼叫 preparedStatement的executeQuery方法,來執行語句
*/
//給出SQL模板
String sqlTwo="select * from student where UserName=? and UserCode=?";
//得到 preparedStatement物件
PreparedStatement preStatm = (PreparedStatement) con.prepareStatement(sqlTwo);
//給引數賦值
preStatm.setString(1, username);
preStatm.setString(2, password);
//呼叫 preStatm的executeQuery方法,來執行語句
ResultSet rsTwo= preStatm.executeQuery();//沒有引數的,向資料庫傳送查詢方法
//得到查詢結果
return rsTwo.next();
}
@Test
public void TestTwo() throws Exception {
String userName="ZhangSan";
String PassWord="201401";
boolean bool=loginTwo(userName, PassWord);
System.out.println(bool);
}
}