欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

java中PreparedStatement和Statement詳細(xì)講解

 更新時(shí)間:2019年11月13日 10:53:51   作者:lay500  
這篇文章主要介紹了java中PreparedStatement和Statement詳細(xì)講解,文中通過示例代碼介紹的非常詳細(xì),對(duì)大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值,需要的朋友們下面隨著小編來一起學(xué)習(xí)學(xué)習(xí)吧

大家都知道PreparedStatement對(duì)象可以防止sql注入,而Statement不能防止sql注入,那么大家知道為什么PreparedStatement對(duì)象可以防止sql注入,接下來看我的案例大家就會(huì)明白了!

我用的是mysql數(shù)據(jù)庫(kù),以admin表為例子,如下圖:

最后面有具體的java代碼和sql代碼案例

最終執(zhí)行的sql語句打印出來是SELECT * FROM admin WHERE username = '韋小寶' AND password = '222\' OR \'8\'=\'8'

從以上截圖就能看出來,由此可見,prepareStatement對(duì)象防止sql注入的方式是把用戶非法輸入的單引號(hào)用\反斜杠做了轉(zhuǎn)義,從而達(dá)到了防止sql注入的目的

Statement對(duì)象就沒那么好心了,它才不會(huì)把用戶非法輸入的單引號(hào)用\反斜杠做轉(zhuǎn)義呢!

PreparedStatement可以有效防止sql注入,所以生產(chǎn)環(huán)境上一定要使用PreparedStatement,而不能使用Statement

當(dāng)然啦,你可以仔細(xì)研究下PreparedStatement對(duì)象是如何防止sql注入的,我自己把最終執(zhí)行的sql語句打印出來了,看到打印出來的sql語句就明白了,原來是mysql數(shù)據(jù)庫(kù)產(chǎn)商,在實(shí)現(xiàn)PreparedStatement接口的實(shí)現(xiàn)類中的setString(int parameterIndex, String x)函數(shù)中做了一些處理,把單引號(hào)做了轉(zhuǎn)義(只要用戶輸入的字符串中有單引號(hào),那mysql數(shù)據(jù)庫(kù)產(chǎn)商的setString()這個(gè)函數(shù),就會(huì)把單引號(hào)做轉(zhuǎn)義)

大家有興趣可以去網(wǎng)上,下載一份mysql數(shù)據(jù)庫(kù)的驅(qū)動(dòng)程序的源代碼,看看mysql數(shù)據(jù)庫(kù)產(chǎn)商的驅(qū)動(dòng)程序的源代碼,去源代碼中找到setString(int parameterIndex, String x)函數(shù),看看該函數(shù)中是怎么寫的,我沒有下載mysql數(shù)據(jù)庫(kù)產(chǎn)商的驅(qū)動(dòng)程序的源代碼,而是把mysql數(shù)據(jù)庫(kù)的驅(qū)動(dòng)程序jar包解壓了,找到了PreparedStatement.class文件,利用反編譯工具,反編譯了一下,如下:

這下大家應(yīng)該知道PreparedStatement是如何防止sql注入的了吧

像222' OR '8'='8這樣的sql注入還算溫柔了,有些更可惡的用戶,他們輸入的非法的值是delete from tableName或truncate table tableName 這是十分危險(xiǎn)的,更有甚者傳入drop table tableName;有些數(shù)據(jù)庫(kù)是不會(huì)讓你成功的,但也有很多數(shù)據(jù)庫(kù)就可以使這些語句執(zhí)行,所以生產(chǎn)環(huán)境上一定要使用PreparedStatement,而不能使用Statement

下面再舉幾個(gè)例子,看截圖

最終打印SELECT * FROM admin WHERE username = '韋小寶' AND password = '\'; DROP TABLE tableName;#'

最終打印SELECT * FROM admin WHERE username = '韋小寶' AND password = '\'; delete from tableName;#'

最終打印SELECT * FROM admin WHERE username = '韋小寶' AND password = '\'; truncate table tableName;#'

下面是java代碼和sql語句,供大家參考,主要是為了測(cè)試PreparedStatement對(duì)象,所以java代碼寫的比較粗略,大家湊合著看吧!

package com.test;
 
import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;
 
/*
 * 研究PreparedStatement是如何防止sql注入的,我分析了一下,原來是mysql數(shù)據(jù)庫(kù)產(chǎn)商,在實(shí)
 * 現(xiàn)PreparedStatement接口的實(shí)現(xiàn)類中的setString(int parameterIndex, String x)函
 * 數(shù)中做了一些處理,把單引號(hào)做了轉(zhuǎn)義(只要用戶輸入的字符串中有單引號(hào),那mysql數(shù)據(jù)庫(kù)產(chǎn)商的setString()這個(gè)函
 * 數(shù),就會(huì)把單引號(hào)做轉(zhuǎn)義)
 */
public class TestConnMySql2 {
 
	public static void main(String[] args) {
		String connStr = "jdbc:mysql://localhost:3306/girls";
//		String sql = "select * from admin";
		String sql = "SELECT * FROM admin WHERE username = ? AND password = ?";
		try {
			Class.forName("com.mysql.jdbc.Driver");
			Connection connection = DriverManager.getConnection(connStr, "root", "root");
			System.out.println("數(shù)據(jù)庫(kù)連接=" + connection);
			//Statement無法防止sql注入
//			Statement stmt = connection.createStatement();
	//PreparedStatement可以有效防止sql注入,所以生產(chǎn)環(huán)境上一定要使用PreparedStatement,而不能使用Statement
			PreparedStatement prepareStatement = connection.prepareStatement(sql);
			prepareStatement.setString(1, "韋小寶");
			//模擬用戶輸入正常的值
//			prepareStatement.setString(2, "222");
			//測(cè)試sql注入(模擬用戶輸入非法的值)
			prepareStatement.setString(2, "222' OR '8'='8");
			/*
			 *上面那種的sql注入還算溫柔了,有些更可惡的用戶,他們輸入的非
			 *法的值是delete from tableName或truncate table tableName 這是十分危險(xiǎn)的,
			 * 更有甚者傳入drop table tableName;有些數(shù)據(jù)庫(kù)是不會(huì)讓你成功的,但也有很多數(shù)
			 * 據(jù)庫(kù)就可以使這些語句執(zhí)行,所以生產(chǎn)環(huán)境上一定要使用PreparedStatement,而不能使用Statement
			 */
			//測(cè)試sql注入(模擬用戶輸入非法的值)在mysql中#井號(hào)表示單行注釋(這是mysql中的基礎(chǔ)知識(shí),我就不贅述了)
//			prepareStatement.setString(2, "'; DROP TABLE tableName;#");
			//測(cè)試sql注入(模擬用戶輸入非法的值)
//			prepareStatement.setString(2, "'; delete from tableName;#");
			//測(cè)試sql注入(模擬用戶輸入非法的值)
//			prepareStatement.setString(2, "'; truncate table tableName;#");
			
			ResultSet rs = prepareStatement.executeQuery();
			System.out.println("sql=" + prepareStatement.toString());
			int col = rs.getMetaData().getColumnCount();
			System.out.println("============================");
			while (rs.next()) {
				for (int i = 1; i <= col; i++) {
					System.out.print(rs.getString(i) + "\t");
					if ((i == 2) && (rs.getString(i).length() < 8)) {
						System.out.print("\t");
					}
				}
				System.out.println("");
			}
			System.out.println("============================");
			rs.close();
			prepareStatement.close();
			connection.close();
		} catch (ClassNotFoundException | SQLException e) {
			e.printStackTrace();
		}
 
	}
 
}
#用戶輸入正常合法的值
SELECT * FROM admin WHERE username = '韋小寶' AND `password` = '222';
#用戶輸入正常合法的值
SELECT * FROM admin WHERE username = '韋小寶' AND PASSWORD = '222';
 
#sql注入(用戶輸入非法的值)使用Statement對(duì)象,無法防止sql注入(會(huì)查詢出表的所有數(shù)據(jù))
SELECT * FROM admin WHERE username = '韋小寶' AND PASSWORD = '222' OR '8'='8'
#sql注入(用戶輸入非法的值)使用PreparedStatement對(duì)象,可以有效防止sql注入
SELECT * FROM admin WHERE username = '韋小寶' AND PASSWORD = '222\' OR \'8\'=\'8'
 
#sql注入(用戶輸入非法的值)使用Statement對(duì)象,無法防止sql注入(DROP操作很危險(xiǎn))
SELECT * FROM admin WHERE username = '韋小寶' AND PASSWORD = ''; DROP TABLE tableName;#'
#sql注入(用戶輸入非法的值)使用PreparedStatement對(duì)象,可以有效防止sql注入
SELECT * FROM admin WHERE username = '韋小寶' AND PASSWORD = '\'; DROP TABLE tableName;#'
 
#sql注入(用戶輸入非法的值)使用Statement對(duì)象,無法防止sql注入(TRUNCATE操作很危險(xiǎn))
SELECT * FROM admin WHERE username = '韋小寶' AND PASSWORD = ''; TRUNCATE TABLE tableName;#'
#sql注入(用戶輸入非法的值)使用PreparedStatement對(duì)象,可以有效防止sql注入
SELECT * FROM admin WHERE username = '韋小寶' AND PASSWORD = '\'; truncate table tableName;#'
 
#sql注入(用戶輸入非法的值)使用Statement對(duì)象,無法防止sql注入(DELETE操作很危險(xiǎn))
SELECT * FROM admin WHERE username = '韋小寶' AND PASSWORD = ''; DELETE FROM tableName;#'
#sql注入(用戶輸入非法的值)使用PreparedStatement對(duì)象,可以有效防止sql注入
SELECT * FROM admin WHERE username = '韋小寶' AND PASSWORD = '\'; delete from tableName;#'
 
#所以生產(chǎn)環(huán)境上一定要使用PreparedStatement,而不能使用Statement
 
/*
順便復(fù)習(xí)一下mysql中的3種注釋,我是多行注釋
*/
 
#我是單行注釋
 
-- 我也是單行注釋(注意:-- 這種注釋,后面必須要加一個(gè)空格,否則語法報(bào)錯(cuò))

以上就是本文的全部?jī)?nèi)容,希望對(duì)大家的學(xué)習(xí)有所幫助,也希望大家多多支持腳本之家。

相關(guān)文章

  • Java填充替換數(shù)組元素實(shí)例詳解

    Java填充替換數(shù)組元素實(shí)例詳解

    這篇文章主要通過兩個(gè)實(shí)例說明Java填充和替換數(shù)組中元素的方法,需要的朋友可以參考下。
    2017-08-08
  • MyBatis-Ext快速入門實(shí)戰(zhàn)

    MyBatis-Ext快速入門實(shí)戰(zhàn)

    MyBatis-Ext是MyBatis的增強(qiáng)擴(kuò)展,和我們平常用的Mybatis-plus非常類似,本文主要介紹了MyBatis-Ext快速入門實(shí)戰(zhàn),感興趣的可以了解一下
    2021-10-10
  • java實(shí)現(xiàn)合并2個(gè)文件中的內(nèi)容到新文件中

    java實(shí)現(xiàn)合并2個(gè)文件中的內(nèi)容到新文件中

    這篇文章主要介紹了java實(shí)現(xiàn)合并2個(gè)文件中的內(nèi)容到新文件中,思路非常不錯(cuò),這里推薦給大家。
    2015-03-03
  • SpringBoot+VUE實(shí)現(xiàn)數(shù)據(jù)表格的實(shí)戰(zhàn)

    SpringBoot+VUE實(shí)現(xiàn)數(shù)據(jù)表格的實(shí)戰(zhàn)

    本文將使用VUE+SpringBoot+MybatisPlus,以前后端分離的形式來實(shí)現(xiàn)數(shù)據(jù)表格在前端的渲染,具有一定的參考價(jià)值,感興趣的可以了解一下
    2021-08-08
  • 一文詳解Spring是怎么讀取配置Xml文件的

    一文詳解Spring是怎么讀取配置Xml文件的

    這篇文章主要介紹了一文詳解Spring是怎么讀取配置Xml文件的,文章圍繞主題展開詳細(xì)的內(nèi)容介紹,具有一定的參考價(jià)值,感興趣的小伙伴可以參考一下
    2022-08-08
  • Springboot通過lucene實(shí)現(xiàn)全文檢索詳解流程

    Springboot通過lucene實(shí)現(xiàn)全文檢索詳解流程

    Lucene是一個(gè)基于Java的全文信息檢索工具包,它不是一個(gè)完整的搜索應(yīng)用程序,而是為你的應(yīng)用程序提供索引和搜索功能。Lucene 目前是 Apache Jakarta 家族中的一個(gè)開源項(xiàng)目,也是目前最為流行的基于 Java 開源全文檢索工具包
    2022-06-06
  • javax NotBlank和Email注解失效的解決

    javax NotBlank和Email注解失效的解決

    這篇文章主要介紹了javax NotBlank和Email注解失效的解決方案,具有很好的參考價(jià)值,希望對(duì)大家有所幫助。如有錯(cuò)誤或未考慮完全的地方,望不吝賜教
    2021-08-08
  • Java如何實(shí)現(xiàn)雙向鏈表功能

    Java如何實(shí)現(xiàn)雙向鏈表功能

    雙向鏈表也叫雙鏈表,是鏈表的一種,它的每個(gè)數(shù)據(jù)結(jié)點(diǎn)中都有兩個(gè)指針,分別指向直接后繼和直接前驅(qū)。所以,從雙向鏈表中的任意一個(gè)結(jié)點(diǎn)開始,都可以很方便地訪問它的前驅(qū)結(jié)點(diǎn)和后繼結(jié)點(diǎn)。一般我們都構(gòu)造雙向循環(huán)鏈表
    2021-11-11
  • 解決Springboot 2 的@RequestParam接收數(shù)組異常問題

    解決Springboot 2 的@RequestParam接收數(shù)組異常問題

    這篇文章主要介紹了解決Springboot 2 的@RequestParam接收數(shù)組異常問題,具有很好的參考價(jià)值,希望對(duì)大家有所幫助。如有錯(cuò)誤或未考慮完全的地方,望不吝賜教
    2021-08-08
  • Java tomcat手動(dòng)配置servlet詳解

    Java tomcat手動(dòng)配置servlet詳解

    這篇文章主要為大家介紹了tomcat手動(dòng)配置servlet,具有一定的參考價(jià)值,感興趣的小伙伴們可以參考一下,希望能夠給你帶來幫助
    2021-11-11

最新評(píng)論