Jdbc初测试（二）

一、SQL注入

1、注入原理

利用现有应用程序，将（恶意的）SQL命令注入到后台数据库引擎执行的能力，它可以通过在Web表单中输入（恶意）SQL语句得到一个存在安全漏洞的网站上的数据库，而不是按照设计者意图去执行SQL语句。

2、防止SQL注入的方法

1. 过滤用户输入的数据中是否包含非法字符；
2. 分步校验！先使用用户名来查询用户，如果查找到了，再比较密码；
3. 使用PreparedStatement接口。

特别说明：PreparedStatement接口可以将sql语句进行转译，对关键字进行处理，对’、"等进行转译
如：‘or’1’='1将会被处理为：‘or’1’='1

二、PreparedStatement接口

PreparedStatement接口 #预编译的 SQL 语句#

提高了SQL语句执行的性能

提高了代码的可读性和可维护性

提高了安全性

三、PreparedStatement的使用

• 使用Connection对象的prepareStatement(String sql)：即创建它时就让它与一条SQL语句绑定；
• 编写SQL语句时，如果存在参数，使用“？”作为数据占位符；
• 调用PreparedStatement的setXXX()系列方法为占位符设置值，索引从1开始；
• 调用executeUpdate()或executeQuery()方法，但要注意，调用没有参数的方法；

四、关于PreparedStatement提高了SQL语句执行的性能说明

1、代码说明

PreparedStatement需要开启预编译功能才能有效提高SQL语句执行性能（默认为关闭状态）

开启语句：useServerPrepStmts = true

有关代码片段：

/**
 * 数据库链接地址
 */
String URL = "jdbc:mysql://127.0.0.1:3306/MYSCHOOL?useServerPrepStmts = true";
String USERNAME= "root";
String PASSWORD = "123456";
// 加载驱动
Class.forName("com.mysql.jdbc.Driver");
// 链接数据库
connection = DriverManager.getConnection(URL,USERNAME,PASSWORD);

此处扩展说明：
在DriverManager.getConnection(URL,USERNAME,PASSWORD);的URL中，jdbc:mysql://127.0.0.1:3306/MYSCHOOL + ==? == + 条件 + & + 条件2 + …
举例：

String URL = "jdbc:mysql://127.0.0.1:3306/MYSCHOOL?useSSL=false&useServerPrepStmts = true";

2、开启预编译后的原理说明

1. 在获取PreparedStatement对象时，将SQL语句发送给MySQL服务器进行检查，编译
2. 执行时就不再进行这些步骤了，速度更快
3. 如果SQL模板一样，只需要进行依次检查、编译

五、配置MySQL执行日志

在MySQL文件夹下的my.ini中添加：

log-output=FILE
general-log=1
general_log_file="D:\mysql.log"
slow-query-log=1
slow_query_log_file="D:\mysql_slow.log"
long_query_time=2

六、代码示例

try {
    String url = "jdbc:mysql://127.0.0.1:3306/MYSCHOOL?useServerPrepStmts = true";
    String user = "root";
    String password = "123456";
    // 加载驱动
    Class.forName("com.mysql.jdbc.Driver");
    // 链接数据库
    Connection connection = DriverManager.getConnection(url,user,password);
    // 设置SQL语句
    String sql = "SELECT GRADENAME FROM GRADE WHERE GRADEID = ?";
    // 发送验证、编译SQL语句
    PreparedStatement preparedStatement = connection.prepareStatement(sql);
    // ====第一句===
    // 可执行的SQL语句
    preparedStatement.setInt(1,1);
    // 执行SQL语句、并返回结果
    ResultSet resultSet = preparedStatement.executeQuery();
    // ===第二句===
    // 可执行的SQL语句
    preparedStatement.setInt(1,2);
    // 执行SQL语句、并返回结果
    resultSet = preparedStatement.executeQuery();
} catch (ClassNotFoundException | SQLException e) {
    e.printStackTrace();
}