這篇文章將為大家詳細(xì)講解有關(guān)java中PreparedStatement和Statement的區(qū)別是什么,文章內(nèi)容質(zhì)量較高,因此小編分享給大家做個(gè)參考,希望大家閱讀完這篇文章后對相關(guān)知識有一定的了解。
創(chuàng)新互聯(lián)是一家專業(yè)提供三門峽企業(yè)網(wǎng)站建設(shè),專注與成都網(wǎng)站建設(shè)、成都網(wǎng)站制作、H5建站、小程序制作等業(yè)務(wù)。10年已為三門峽眾多企業(yè)、政府機(jī)構(gòu)等服務(wù)。創(chuàng)新互聯(lián)專業(yè)網(wǎng)站設(shè)計(jì)公司優(yōu)惠進(jìn)行中。
我用的是MySQL數(shù)據(jù)庫,以admin表為例子,如下圖:
最后面有具體的java代碼和sql代碼案例
最終執(zhí)行的sql語句打印出來是SELECT * FROM admin WHERE username = '韋小寶' AND password = '222\' OR \'8\'=\'8'
從以上截圖就能看出來,由此可見,prepareStatement對象防止sql注入的方式是把用戶非法輸入的單引號用\反斜杠做了轉(zhuǎn)義,從而達(dá)到了防止sql注入的目的
Statement對象就沒那么好心了,它才不會把用戶非法輸入的單引號用\反斜杠做轉(zhuǎn)義呢!
PreparedStatement可以有效防止sql注入,所以生產(chǎn)環(huán)境上一定要使用PreparedStatement,而不能使用Statement
當(dāng)然啦,你可以仔細(xì)研究下PreparedStatement對象是如何防止sql注入的,我自己把最終執(zhí)行的sql語句打印出來了,看到打印出來的sql語句就明白了,原來是mysql數(shù)據(jù)庫產(chǎn)商,在實(shí)現(xiàn)PreparedStatement接口的實(shí)現(xiàn)類中的setString(int parameterIndex, String x)函數(shù)中做了一些處理,把單引號做了轉(zhuǎn)義(只要用戶輸入的字符串中有單引號,那mysql數(shù)據(jù)庫產(chǎn)商的setString()這個(gè)函數(shù),就會把單引號做轉(zhuǎn)義)
大家有興趣可以去網(wǎng)上,下載一份mysql數(shù)據(jù)庫的驅(qū)動(dòng)程序的源代碼,看看mysql數(shù)據(jù)庫產(chǎn)商的驅(qū)動(dòng)程序的源代碼,去源代碼中找到setString(int parameterIndex, String x)函數(shù),看看該函數(shù)中是怎么寫的,我沒有下載mysql數(shù)據(jù)庫產(chǎn)商的驅(qū)動(dòng)程序的源代碼,而是把mysql數(shù)據(jù)庫的驅(qū)動(dòng)程序jar包解壓了,找到了PreparedStatement.class文件,利用反編譯工具,反編譯了一下,如下:
這下大家應(yīng)該知道PreparedStatement是如何防止sql注入的了吧
像222' OR '8'='8這樣的sql注入還算溫柔了,有些更可惡的用戶,他們輸入的非法的值是delete from tableName或truncate table tableName 這是十分危險(xiǎn)的,更有甚者傳入drop table tableName;有些數(shù)據(jù)庫是不會讓你成功的,但也有很多數(shù)據(jù)庫就可以使這些語句執(zhí)行,所以生產(chǎn)環(huán)境上一定要使用PreparedStatement,而不能使用Statement
下面再舉幾個(gè)例子,看截圖
最終打印SELECT * FROM admin WHERE username = '韋小寶' AND password = '\'; DROP TABLE tableName;#'
最終打印SELECT * FROM admin WHERE username = '韋小寶' AND password = '\'; delete from tableName;#'
最終打印SELECT * FROM admin WHERE username = '韋小寶' AND password = '\'; truncate table tableName;#'
下面是java代碼和sql語句,供大家參考,主要是為了測試PreparedStatement對象,所以java代碼寫的比較粗略,大家湊合著看吧!
package com.test; import java.sql.Connection; import java.sql.DriverManager; import java.sql.PreparedStatement; import java.sql.ResultSet; import java.sql.SQLException; import java.sql.Statement; /* * 研究PreparedStatement是如何防止sql注入的,我分析了一下,原來是mysql數(shù)據(jù)庫產(chǎn)商,在實(shí) * 現(xiàn)PreparedStatement接口的實(shí)現(xiàn)類中的setString(int parameterIndex, String x)函 * 數(shù)中做了一些處理,把單引號做了轉(zhuǎn)義(只要用戶輸入的字符串中有單引號,那mysql數(shù)據(jù)庫產(chǎn)商的setString()這個(gè)函 * 數(shù),就會把單引號做轉(zhuǎn)義) */ public class TestConnMySql2 { public static void main(String[] args) { String connStr = "jdbc:mysql://localhost:3306/girls"; // String sql = "select * from admin"; String sql = "SELECT * FROM admin WHERE username = ? AND password = ?"; try { Class.forName("com.mysql.jdbc.Driver"); Connection connection = DriverManager.getConnection(connStr, "root", "root"); System.out.println("數(shù)據(jù)庫連接=" + connection); //Statement無法防止sql注入 // Statement stmt = connection.createStatement(); //PreparedStatement可以有效防止sql注入,所以生產(chǎn)環(huán)境上一定要使用PreparedStatement,而不能使用Statement PreparedStatement prepareStatement = connection.prepareStatement(sql); prepareStatement.setString(1, "韋小寶"); //模擬用戶輸入正常的值 // prepareStatement.setString(2, "222"); //測試sql注入(模擬用戶輸入非法的值) prepareStatement.setString(2, "222' OR '8'='8"); /* *上面那種的sql注入還算溫柔了,有些更可惡的用戶,他們輸入的非 *法的值是delete from tableName或truncate table tableName 這是十分危險(xiǎn)的, * 更有甚者傳入drop table tableName;有些數(shù)據(jù)庫是不會讓你成功的,但也有很多數(shù) * 據(jù)庫就可以使這些語句執(zhí)行,所以生產(chǎn)環(huán)境上一定要使用PreparedStatement,而不能使用Statement */ //測試sql注入(模擬用戶輸入非法的值)在mysql中#井號表示單行注釋(這是mysql中的基礎(chǔ)知識,我就不贅述了) // prepareStatement.setString(2, "'; DROP TABLE tableName;#"); //測試sql注入(模擬用戶輸入非法的值) // prepareStatement.setString(2, "'; delete from tableName;#"); //測試sql注入(模擬用戶輸入非法的值) // prepareStatement.setString(2, "'; truncate table tableName;#"); ResultSet rs = prepareStatement.executeQuery(); System.out.println("sql=" + prepareStatement.toString()); int col = rs.getMetaData().getColumnCount(); System.out.println("============================"); while (rs.next()) { for (int i = 1; i <= col; i++) { System.out.print(rs.getString(i) + "\t"); if ((i == 2) && (rs.getString(i).length() < 8)) { System.out.print("\t"); } } System.out.println(""); } System.out.println("============================"); rs.close(); prepareStatement.close(); connection.close(); } catch (ClassNotFoundException | SQLException e) { e.printStackTrace(); } } }
#用戶輸入正常合法的值 SELECT * FROM admin WHERE username = '韋小寶' AND `password` = '222'; #用戶輸入正常合法的值 SELECT * FROM admin WHERE username = '韋小寶' AND PASSWORD = '222'; #sql注入(用戶輸入非法的值)使用Statement對象,無法防止sql注入(會查詢出表的所有數(shù)據(jù)) SELECT * FROM admin WHERE username = '韋小寶' AND PASSWORD = '222' OR '8'='8' #sql注入(用戶輸入非法的值)使用PreparedStatement對象,可以有效防止sql注入 SELECT * FROM admin WHERE username = '韋小寶' AND PASSWORD = '222\' OR \'8\'=\'8' #sql注入(用戶輸入非法的值)使用Statement對象,無法防止sql注入(DROP操作很危險(xiǎn)) SELECT * FROM admin WHERE username = '韋小寶' AND PASSWORD = ''; DROP TABLE tableName;#' #sql注入(用戶輸入非法的值)使用PreparedStatement對象,可以有效防止sql注入 SELECT * FROM admin WHERE username = '韋小寶' AND PASSWORD = '\'; DROP TABLE tableName;#' #sql注入(用戶輸入非法的值)使用Statement對象,無法防止sql注入(TRUNCATE操作很危險(xiǎn)) SELECT * FROM admin WHERE username = '韋小寶' AND PASSWORD = ''; TRUNCATE TABLE tableName;#' #sql注入(用戶輸入非法的值)使用PreparedStatement對象,可以有效防止sql注入 SELECT * FROM admin WHERE username = '韋小寶' AND PASSWORD = '\'; truncate table tableName;#' #sql注入(用戶輸入非法的值)使用Statement對象,無法防止sql注入(DELETE操作很危險(xiǎn)) SELECT * FROM admin WHERE username = '韋小寶' AND PASSWORD = ''; DELETE FROM tableName;#' #sql注入(用戶輸入非法的值)使用PreparedStatement對象,可以有效防止sql注入 SELECT * FROM admin WHERE username = '韋小寶' AND PASSWORD = '\'; delete from tableName;#' #所以生產(chǎn)環(huán)境上一定要使用PreparedStatement,而不能使用Statement /* 順便復(fù)習(xí)一下mysql中的3種注釋,我是多行注釋 */ #我是單行注釋 -- 我也是單行注釋(注意:-- 這種注釋,后面必須要加一個(gè)空格,否則語法報(bào)錯(cuò))
關(guān)于java中PreparedStatement和Statement的區(qū)別是什么就分享到這里了,希望以上內(nèi)容可以對大家有一定的幫助,可以學(xué)到更多知識。如果覺得文章不錯(cuò),可以把它分享出去讓更多的人看到。
標(biāo)題名稱:java中PreparedStatement和Statement的區(qū)別是什么
網(wǎng)頁鏈接:http://muchs.cn/article2/ihddoc.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供用戶體驗(yàn)、網(wǎng)站營銷、品牌網(wǎng)站建設(shè)、App設(shè)計(jì)、搜索引擎優(yōu)化、微信公眾號
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來源: 創(chuàng)新互聯(lián)