JDBC:Java DataBase Connectivity 可以为多种关系型数据库DBMS 提供统一的访问方式,用Java来操作数据库
而通过Statement(PreparedStatement)来实现增删改查
sql注入出现的原因: 将客户输入的内容 和 开发人员的SQL语句 混为一体
首先我们了解一下PreparedStatement与Statement在使用时的区别:
- 1.Statement:
sql
executeUpdate(sql) - 2.PreparedStatement:
sql(可能存在占位符?)
在创建PreparedStatement 对象时,将sql预编译 prepareStatement(sql)
executeUpdate()
setXxx()替换占位符?
推荐使用PreparedStatement:原因如下:
*1.编码更加简便(避免了字符串的拼接)
String name = “zs” ;
int age = 23 ;
stmt:
String sql =" insert into student(stuno,stuname) values(’"+name+"’, “+age+” ) " ;
stmt.executeUpdate(sql);
pstmt:
String sql =" insert into student(stuno,stuname) values(?,?) " ;
pstmt = connection.prepareStatement(sql);//预编译SQL
pstmt.setString(1,name);
pstmt.setInt(2,age);
2.提高性能(因为 有预编译操作,预编译只需要执行一次)
需要重复增加100条数
stmt:
String sql =" insert into student(stuno,stuname) values(’"+name+"’, “+age+” ) " ;
for(100)
stmt.executeUpdate(sql);
pstmt:
String sql =" insert into student(stuno,stuname) values(?,?) " ;
pstmt = connection.prepareStatement(sql);//预编译SQL
pstmt.setString(1,name);
pstmt.setInt(2,age);
for( 100){
pstmt.executeUpdate();
}
3.安全(可以有效防止sql注入)
stmt:存在被sql注入的风险
(例如输入 用户名:任意值 ’ or 1=1 –
密码:任意值)
分析:
select count() from login where uname=‘任意值 ’ or 1=1 --’ and upwd =‘任意值’ ;
select count() from login where uname=‘任意值 ’ or 1=1 ;
select count() from login ;
select count() from login where uname=’"+name+"’ and upwd =’"+pwd+"’
pstmt:有效防止sql注入
stmt出现sql注入是因为字符串的拼接造成的。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
