亚洲激情专区-91九色丨porny丨老师-久久久久久久女国产乱让韩-国产精品午夜小视频观看

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

java中PreparedStatement和Statement的區別是什么

發布時間:2021-06-11 16:42:51 來源:億速云 閱讀:296 作者:Leah 欄目:編程語言

這篇文章將為大家詳細講解有關java中PreparedStatement和Statement的區別是什么,文章內容質量較高,因此小編分享給大家做個參考,希望大家閱讀完這篇文章后對相關知識有一定的了解。

我用的是mysql數據庫,以admin表為例子,如下圖:

最后面有具體的java代碼和sql代碼案例

java中PreparedStatement和Statement的區別是什么

java中PreparedStatement和Statement的區別是什么

java中PreparedStatement和Statement的區別是什么

java中PreparedStatement和Statement的區別是什么

最終執行的sql語句打印出來是SELECT * FROM admin WHERE username = '韋小寶' AND password = '222\' OR \'8\'=\'8'

從以上截圖就能看出來,由此可見,prepareStatement對象防止sql注入的方式是把用戶非法輸入的單引號用\反斜杠做了轉義,從而達到了防止sql注入的目的

Statement對象就沒那么好心了,它才不會把用戶非法輸入的單引號用\反斜杠做轉義呢!

PreparedStatement可以有效防止sql注入,所以生產環境上一定要使用PreparedStatement,而不能使用Statement

當然啦,你可以仔細研究下PreparedStatement對象是如何防止sql注入的,我自己把最終執行的sql語句打印出來了,看到打印出來的sql語句就明白了,原來是mysql數據庫產商,在實現PreparedStatement接口的實現類中的setString(int parameterIndex, String x)函數中做了一些處理,把單引號做了轉義(只要用戶輸入的字符串中有單引號,那mysql數據庫產商的setString()這個函數,就會把單引號做轉義)

大家有興趣可以去網上,下載一份mysql數據庫的驅動程序的源代碼,看看mysql數據庫產商的驅動程序的源代碼,去源代碼中找到setString(int parameterIndex, String x)函數,看看該函數中是怎么寫的,我沒有下載mysql數據庫產商的驅動程序的源代碼,而是把mysql數據庫的驅動程序jar包解壓了,找到了PreparedStatement.class文件,利用反編譯工具,反編譯了一下,如下:

java中PreparedStatement和Statement的區別是什么

java中PreparedStatement和Statement的區別是什么

java中PreparedStatement和Statement的區別是什么

java中PreparedStatement和Statement的區別是什么

java中PreparedStatement和Statement的區別是什么

java中PreparedStatement和Statement的區別是什么

java中PreparedStatement和Statement的區別是什么

java中PreparedStatement和Statement的區別是什么

java中PreparedStatement和Statement的區別是什么

這下大家應該知道PreparedStatement是如何防止sql注入的了吧

像222' OR '8'='8這樣的sql注入還算溫柔了,有些更可惡的用戶,他們輸入的非法的值是delete from tableName或truncate table tableName 這是十分危險的,更有甚者傳入drop table tableName;有些數據庫是不會讓你成功的,但也有很多數據庫就可以使這些語句執行,所以生產環境上一定要使用PreparedStatement,而不能使用Statement

下面再舉幾個例子,看截圖

java中PreparedStatement和Statement的區別是什么

最終打印SELECT * FROM admin WHERE username = '韋小寶' AND password = '\'; DROP TABLE tableName;#'

java中PreparedStatement和Statement的區別是什么

最終打印SELECT * FROM admin WHERE username = '韋小寶' AND password = '\'; delete from tableName;#'

java中PreparedStatement和Statement的區別是什么

最終打印SELECT * FROM admin WHERE username = '韋小寶' AND password = '\'; truncate table tableName;#'

java中PreparedStatement和Statement的區別是什么

下面是java代碼和sql語句,供大家參考,主要是為了測試PreparedStatement對象,所以java代碼寫的比較粗略,大家湊合著看吧!

package com.test;
 
import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;
 
/*
 * 研究PreparedStatement是如何防止sql注入的,我分析了一下,原來是mysql數據庫產商,在實
 * 現PreparedStatement接口的實現類中的setString(int parameterIndex, String x)函
 * 數中做了一些處理,把單引號做了轉義(只要用戶輸入的字符串中有單引號,那mysql數據庫產商的setString()這個函
 * 數,就會把單引號做轉義)
 */
public class TestConnMySql2 {
 
	public static void main(String[] args) {
		String connStr = "jdbc:mysql://localhost:3306/girls";
//		String sql = "select * from admin";
		String sql = "SELECT * FROM admin WHERE username = ? AND password = ?";
		try {
			Class.forName("com.mysql.jdbc.Driver");
			Connection connection = DriverManager.getConnection(connStr, "root", "root");
			System.out.println("數據庫連接=" + connection);
			//Statement無法防止sql注入
//			Statement stmt = connection.createStatement();
	//PreparedStatement可以有效防止sql注入,所以生產環境上一定要使用PreparedStatement,而不能使用Statement
			PreparedStatement prepareStatement = connection.prepareStatement(sql);
			prepareStatement.setString(1, "韋小寶");
			//模擬用戶輸入正常的值
//			prepareStatement.setString(2, "222");
			//測試sql注入(模擬用戶輸入非法的值)
			prepareStatement.setString(2, "222' OR '8'='8");
			/*
			 *上面那種的sql注入還算溫柔了,有些更可惡的用戶,他們輸入的非
			 *法的值是delete from tableName或truncate table tableName 這是十分危險的,
			 * 更有甚者傳入drop table tableName;有些數據庫是不會讓你成功的,但也有很多數
			 * 據庫就可以使這些語句執行,所以生產環境上一定要使用PreparedStatement,而不能使用Statement
			 */
			//測試sql注入(模擬用戶輸入非法的值)在mysql中#井號表示單行注釋(這是mysql中的基礎知識,我就不贅述了)
//			prepareStatement.setString(2, "'; DROP TABLE tableName;#");
			//測試sql注入(模擬用戶輸入非法的值)
//			prepareStatement.setString(2, "'; delete from tableName;#");
			//測試sql注入(模擬用戶輸入非法的值)
//			prepareStatement.setString(2, "'; truncate table tableName;#");
			
			ResultSet rs = prepareStatement.executeQuery();
			System.out.println("sql=" + prepareStatement.toString());
			int col = rs.getMetaData().getColumnCount();
			System.out.println("============================");
			while (rs.next()) {
				for (int i = 1; i <= col; i++) {
					System.out.print(rs.getString(i) + "\t");
					if ((i == 2) && (rs.getString(i).length() < 8)) {
						System.out.print("\t");
					}
				}
				System.out.println("");
			}
			System.out.println("============================");
			rs.close();
			prepareStatement.close();
			connection.close();
		} catch (ClassNotFoundException | SQLException e) {
			e.printStackTrace();
		}
 
	}
 
}
#用戶輸入正常合法的值
SELECT * FROM admin WHERE username = '韋小寶' AND `password` = '222';
#用戶輸入正常合法的值
SELECT * FROM admin WHERE username = '韋小寶' AND PASSWORD = '222';
 
#sql注入(用戶輸入非法的值)使用Statement對象,無法防止sql注入(會查詢出表的所有數據)
SELECT * FROM admin WHERE username = '韋小寶' AND PASSWORD = '222' OR '8'='8'
#sql注入(用戶輸入非法的值)使用PreparedStatement對象,可以有效防止sql注入
SELECT * FROM admin WHERE username = '韋小寶' AND PASSWORD = '222\' OR \'8\'=\'8'
 
#sql注入(用戶輸入非法的值)使用Statement對象,無法防止sql注入(DROP操作很危險)
SELECT * FROM admin WHERE username = '韋小寶' AND PASSWORD = ''; DROP TABLE tableName;#'
#sql注入(用戶輸入非法的值)使用PreparedStatement對象,可以有效防止sql注入
SELECT * FROM admin WHERE username = '韋小寶' AND PASSWORD = '\'; DROP TABLE tableName;#'
 
#sql注入(用戶輸入非法的值)使用Statement對象,無法防止sql注入(TRUNCATE操作很危險)
SELECT * FROM admin WHERE username = '韋小寶' AND PASSWORD = ''; TRUNCATE TABLE tableName;#'
#sql注入(用戶輸入非法的值)使用PreparedStatement對象,可以有效防止sql注入
SELECT * FROM admin WHERE username = '韋小寶' AND PASSWORD = '\'; truncate table tableName;#'
 
#sql注入(用戶輸入非法的值)使用Statement對象,無法防止sql注入(DELETE操作很危險)
SELECT * FROM admin WHERE username = '韋小寶' AND PASSWORD = ''; DELETE FROM tableName;#'
#sql注入(用戶輸入非法的值)使用PreparedStatement對象,可以有效防止sql注入
SELECT * FROM admin WHERE username = '韋小寶' AND PASSWORD = '\'; delete from tableName;#'
 
#所以生產環境上一定要使用PreparedStatement,而不能使用Statement
 
/*
順便復習一下mysql中的3種注釋,我是多行注釋
*/
 
#我是單行注釋
 
-- 我也是單行注釋(注意:-- 這種注釋,后面必須要加一個空格,否則語法報錯)

關于java中PreparedStatement和Statement的區別是什么就分享到這里了,希望以上內容可以對大家有一定的幫助,可以學到更多知識。如果覺得文章不錯,可以把它分享出去讓更多的人看到。

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

敦煌市| 北京市| 织金县| 三亚市| 澄迈县| 普兰店市| 凉城县| 黑山县| 天津市| 靖州| 通辽市| 黑水县| 奇台县| 星子县| 赤水市| 吉木萨尔县| 宝应县| 锦屏县| 甘谷县| 绥芬河市| 阳信县| 聂荣县| 中江县| 深水埗区| 利辛县| 锡林郭勒盟| 谷城县| 太康县| 内黄县| 静安区| 马公市| 四会市| 阳泉市| 梓潼县| 湾仔区| 驻马店市| 孟村| 开鲁县| 永顺县| 平利县| 金山区|