Statement 和 PrepareStatement安全機制

原創 小飞飞12 2020-07-02 09:40


對比 Statement 和 PrepareStatement    使用    PrepareStatement 避免SQL注入

Statement 

一:查詢,SQL注入將導致條件過濾無效,直接暴露所有信息。

Connection connection = JDBCUtils.getCon();   //獲取連接,省略了連接的步驟
		String stuNo = "123456789' OR '1' = '1";
		//由於一等於一的原因,此條SQL語句執行後,就是永遠爲真的情況,會查數據庫中所有的字段。
		String sql = "SELECT COUNT(*) FROM tb_stu WHERE stu_no ='"+stuNo+"'";
		//可能會造成SQL注入
		Statement statement = connection.createStatement();//建立連接
		ResultSet resultSet = statement.executeQuery(sql);//執行SQL語句
System.out.println("--------statement---------");
		while(resultSet.next()){//此處將遍歷出數據庫第一列的所有信息
			System.out.println(resultSet.getString(1));
		}
二:SQL注入刪除操作,將造成數據庫所有數據消失。
/**
	 * SQL注入現象造成表數據被清空
	 * @throws SQLException
	 */
	@Test
	public void test1() throws SQLException{
		Connection connection = JDBCUtils.getCon();
		Statement statement = connection.createStatement();
		//SQL注入現象
		// 123456' or '1' = '1
		//select * from tb_stu where stu_no = '12345' or '1' = '1';
		String no = "12345' or '1' = '1";
		//加上轉義字符可以避免SQL注入
		//String no = "123456789";
		//no.replace("'", "\\'");
		String sql = "delete from tb_stu where stu_no = '"+no+"'";
		System.out.println(sql);
		statement.execute(sql);
	}


PrepareStatement    使用,有效防止SQL注入

一:查詢  

//獲取preparedStatement對象
		String sql2 = "SELECT COUNT(*) FROM tb_stu WHERE stu_no = ?";
		//將SQL語句放入連接中,等待執行
		PreparedStatement preparedStatement = connection.prepareStatement(sql2);
		preparedStatement.setString(1, stuNo);//sql語句中的第一問號中填入的值
		ResultSet resultSet2 = preparedStatement.executeQuery();//真正執行SQL語句
System.out.println("--------preparedStatement---------");
		while(resultSet2.next()){
			System.out.println(resultSet2.getString(1));
		}
二:查詢二 

public void test3() throws SQLException{
		Connection connection = JDBCUtils.getCon();
		String sql = "UPDATE tb_stu SET stu_head = ? WHERE stu_id >= ? and stu_id < ?";
		PreparedStatement preparedStatement = connection.prepareStatement(sql);
		//第一個問號處替換爲    1-5的頭像
		preparedStatement.setString(1, "1-5的頭像");
		//第二個問號出替換爲    1
		preparedStatement.setInt(2, 1);
		//第三個問號處替換爲    5
		preparedStatement.setInt(3, 5);
		System.out.println("影響了:"+preparedStatement.executeUpdate());
	}

三:批處理 

/**
	 * 測試批處理
	 * 		Batch
	 * 		addBatch()
	 * 		executeBatch()
	 * @throws SQLException
	 */
	@Test
	public void test4() throws SQLException{
		Connection connection = JDBCUtils.getCon();
		String sql = "UPDATE tb_stu SET stu_head = ? WHERE stu_id >= ? and stu_id < ?";
		System.out.println("-------------------");
		PreparedStatement preparedStatement = connection.prepareStatement(sql);
	   	preparedStatement.setString(1, "1-5的頭像2");
		preparedStatement.setInt(2, 1);
		preparedStatement.setInt(3, 5);
		preparedStatement.addBatch();
		System.out.println("-------------------");
		preparedStatement.setString(1, "5-10的頭像");
		preparedStatement.setInt(2, 5);
		preparedStatement.setInt(3, 10);
		preparedStatement.addBatch();
		System.out.println("-------------------");
		preparedStatement.setString(1, "10-20的頭像");
		preparedStatement.setInt(2, 10);
		preparedStatement.setInt(3, 20);
		preparedStatement.addBatch();
		//addBatch()方法是將查詢的方法放入隊列中,等待執行方法executeBatch()的執行,
		//只有當方法executeBatch()執行後,更新操作纔會生效
		System.out.println("影響了:"+preparedStatement.executeBatch());
	}


發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

JAVA基礎——初認識(一)

Java特性 簡單性 在java語言中,不需要程序員自己操作內存,這些工作轉爲JVM操作。所有的java程序都是運行在JVM當中,而JVM執行過程中回去操作內存。 C和C++可以直接操作內存,更加靈活,效率更高,但容易出現內

龙王.*? 2020-07-08 02:15:03

java的Overriding和Overloading

首先我們來講講:重載(Overloading)     (1) 方法重載是讓類以統一的方式處理不同類型數據的一種手段。多個同名函數同時存在,具有不同的參數個數/類型。 重載Overloading是一個類中多態性的一種表現。     (2)

XiaoBaiZhuanJia 2020-07-08 01:18:15

Servlet+HTTP+Request+Response+SevletContext+Cookie+Session大雜燴學習筆記

文章目錄ServletHTTPRequestResponseSevletContext會話技術CookieSession 服務器軟件:可以接收用戶的請求,處理請求,做出響應。 在web服務器軟件中,可以部署web項目,讓瀏覽器可以

大象大象你的鼻子怎么那么长 2020-07-07 09:59:48

Java併發編程從基礎到進階

從Java多線程基礎到Java內存模型;從synchronized關鍵字到Java併發工具包JUC。 我們不生產知識,我們只做知識的搬運工! 基石——Java多線程的基本概念 線程與進程的不同點: 起源不同。先有進程後

BeautifulSoup2019 2020-07-07 08:39:00

反射獲取屬性,構造器以及方法

反射 Java 反射機制是在運行狀態中,對於任意一個類,都可以獲得這個類都所有屬性和方法;對於任意一個對象,都可以調用它都任意方法和屬性;這種動態獲取信息以及動態調用對象方法都功能實現稱爲 Java 語言的反射機制。 測試 Re

悦悦的狗子 2020-07-07 06:50:41

Arrays.copyOfRange使用

copyOfRange public static int[] copyOfRange(int[] original, int from, int to) 將指定數組的指定範圍複製到一個新數組。該範圍的初始索引 (from)

悦悦的狗子 2020-07-07 06:50:41

ClassLoader加載機制(源碼淺析)

目錄類加載機制ClassLoader雙親委派機制源碼淺析(關鍵方法)ClassLoader之間的關係爲什麼要使用雙親委派機制加載類? 類加載機制 加載是指查找字節流,並且據此創建類的過程。加載需要藉助類加載器,在 Java 虛擬機

悦悦的狗子 2020-07-07 06:50:41

併發學習小隨筆

目錄進程和線程概念,區別?Thread中的start和run方法區別?Thread和Runnable區別?如何實現處理線程的返回值?線程的六個狀態?sleep和wait的區別?notify與notifyAll區別 ?yield方法

悦悦的狗子 2020-07-07 06:50:41

如何獲取線程的返回值?

獲取線程的返回值 主線程等待法,主線程調用sleep方法(讓主線程去循環等待子線程結束並賦值;缺點:代碼臃腫,等待時間無法精準控制;不推薦使用); 使用Thread類的join()阻塞當前線程以等待子線程處理結束(不能精準

悦悦的狗子 2020-07-07 06:50:31

JAVA NIO Socket通道

概述 通道提供I/O服務的直接連接,用於緩衝區與文件或者Socket之間傳輸數據。JAVA中只定義了一個接口來完成對通道的抽象,在這個接口中只定義了關閉與是否打開兩個方法。在此接口的基礎上又分別抽象了可讀通道、可寫通道、可中斷通道、字節通

绝情谷 2020-07-06 21:25:05

JAVA NIO 緩衝區

緩衝區簡介 操作系統有用戶空間與系統空間的概念,JVM對應的JAVA進程是位於用戶空間的,處於該空間的進程不能直接訪問硬件設備,當JAVA進程要進行I/O操作時,只能通過系統調用將控制權交給內核,內核準備好進程所需要的數據,將這些數據拷貝

绝情谷 2020-07-06 21:25:05

案例分析:java中substring引發的Full gc

問題定位 由於應用頻繁地Full gc,就dump了內存下來用MAT分析,發現有個map佔用了98%的內存,於是找到這個map private ConcurrentMap<String, String> nick2numid = new

绝情谷 2020-07-06 21:25:05

面試掛在了 list.remove 數組下標位移

面試題:在一個集合中,有幾個隨機字符串,有些含有a,有些沒有a,用普通for循環遍歷,移除含有a字符的字符串,示例如下,請問最終的打印輸出結果是? public static void main(String[] args) {

程序小达人 2020-07-06 21:19:45

SpringBoot 異步調用@Async的實現

異步調用與同步調用 同步調用:一般來說,我們的程序基本上使用的都是同步調用,程序按定義的順序依次執行的過程,每一行代碼執行過程必須等待上一行代碼執行完畢後才執行。 異步調用:程序在執行時,無需等待執行的返回值可繼續執行後面的代碼。

程序小达人 2020-07-06 21:19:45

JAVA基礎--學習筆記03

基本類型轉化 取值範圍小的數據類型與取值範圍大的數據類型進行運算,會先把小的數據類型轉化成大的數據類型再運算。 byte, short, char 類型混合運算時都會轉成int類型

Wesley@ 2020-07-06 16:54:20