JDBC-预防SQL注入-预处理对象PrepareStatement

头像
chain_xx_wdm
    阅读 3 分钟
    1

    PreparedStatement接口介绍

    • PreparedStatementStatement接口的子接口,继承于父接口中所有的方法.它是一个预编译的SQL语句对象
    • 预编译: 是指SQL语句被预编译,并存储在PreparedStatement对象中. 然后可以使用此对象多次市郊地执行该语句

    PreparedStatement特点

    • 因为有预先编译的功能, 提高SQL的执行效率
    • 可以有效的防止SQL注入的问题,安全性更高

    获取PreparedStatement对象

    Statement类似, 都是通过Connection进行创建创建

    Connection接口中的方法说明
    PreparedStatement prepareStatement(String sql)指定预编译的SQL语句
    • 预编译的SQL语句: SQL语句中使用占位符?

    PreparedStatement接口常用方法

    • Statement类似,接口常用方法名都是int executeUpdate()ResultSet executeQuery
    • Statement不同,上述两个方法是没有参数的.因为在构造PrepareStatement对象时,就已经传入SQL进行了预编译
    常用方法说明
    int executeUpdate()执行insert / update / delete 语句.返回受影响的行数
    ResultSet executeQuery()执行select语名.返回结果集对象Result

    使用PreparedStatement的步骤

    • 编定SQL语句,未知内容使用 ? 占位
      select * from test_02 where name = ? and password = ?
    • 获取PreparedStatement对象
    • 设置实际参数: 调用setXxx方法
    • 执行参数化SQL
    • 关闭资源

    使用PreparedStatement完成登录案例

    代码示例

    public class LoginTest02 {

    public static void main(String[] args) throws SQLException {

        // 1.获取连接
        Connection conn = JDBCUtils.getConnection();
        // 2.使用占位符创建sql语句,获取prepareStatement对象
        // 使用?占位符的方式来设置参数
        String sql = "select * from test_02 where name = ? and password = ?";
        PreparedStatement preparedStatement = conn.prepareStatement(sql);
        // 3.提示用户输入用户名和密码
        Scanner sc = new Scanner(System.in);
        System.out.println("请输入用户名:");
        String user = sc.next();
        System.out.println("请输入密码:");
        String pass = sc.next();
        // 4.替换占位符,执行sql语句
        // 设置参数,使用setXXX(int 占位符位置 从1开始, 要设置/替换的值)的方法设置占位符的参数
        preparedStatement.setString(1,user); // 设置第一个问号值为name
        preparedStatement.setString(2,pass);
        ResultSet resultSet = preparedStatement.executeQuery();
        // 5.处理结果集,判断是否登录成功
        if(resultSet.next()){
            System.out.println("登录成功!欢迎:" + user);
        }else{
            System.out.println("登录失败!");
        }
        // 6.关闭对象
        JDBCUtils.close(conn,preparedStatement,resultSet);
    }
}

    运行结果(正常)

    image.png

    运行结果(SQL注入)

    image.png

    这里提示登录失败,也就是SQL注入的方式没有成功.
    原因是: 刚刚我们使用了?作为占位符,那么在输入密码时,无论输入什么,其实都会整体以String形式赋值给sql语句.
    所以这里最终的sql语句其实是select * from test_02 where name = 'wdm' and password = "'0704' or '1' = '1' ". 很明显, 这个就不会返回正常结果

    PreparedStatement的执行原理

    image.png

    Statement与PrepareStatement的区别

    • Statement用于执行静态SQL语句,在执行时,必须指定一个事先准备好的SQL语句
    • PreparedStatement是预编译的SQL语句对象,语句中可以包含动态参数"?", 在执行时可以为"?"动态设置参数值
    • PreparedStatement可以减少编译次数提高数据库性能
    jdbcjavasql注入
    chain_xx_wdm
    64 声望2 粉丝

    1.领养代替买卖

    « 上一篇
    JDBC-SQL注入案例:模拟用户登录
    下一篇 »
    DBCP/C3P0/Druid-数据库连接池简述

    引用和评论

    推荐阅读
    头像
    [解决]ssh: connect to host xxx port 22: Network is unreachable

    chain_xx_wdm1阅读 16.8k

    头像
    在Java程序中监听mysql的binlog

    huan199311阅读 2k

    头像
    Jerry和您聊聊Chrome开发者工具

    注销9阅读 4.5k评论 3

    头像
    Bitmap 和 布隆过滤器傻傻分不清?你这不应该啊

    程序员小富8阅读 1.7k评论 1

    头像
    Just for fun——迅速写完快速排序

    ufdf3阅读 2.6k

    头像
    Spring 实现 3 种异步流式接口,干掉接口超时烦恼

    程序员小富5阅读 1.7k

    头像
    💢线上高延迟请求排查

    crossoverJie6阅读 928评论 5

    0 条评论
    得票最新