javaweb学习笔记之JDBC预编译与sql注入问题

什么是sql注入

我们写一个登录的界面,把密码设为fdsa和1,代码如下

select * from tbl_user where username = 'fdsafds' and password = 'fdsa' or '1'='1'; 

当我们输入

用户名:fdsafds
密码:fdsa' or '1'='1
这样可以登录成功,为什么?

以上SQL语句where条件恒成立,会将数据库表当中的数据全部查询出来
以上现象被称为SQL注入,即

    当用户提供的信息当中含有SQL语句的关键字,并且这些关键字参与了SQL语句的编译过程,导致原先的SQL语句原意被扭曲。
    根本原因:先拼接SQL语句,再进行编译,这是根本原因。

我们如何看待SQL注入

SQL注入不一定是一种危害,但大多数情况下会危及系统的安全,有一些系统中的特殊功能可能还需要SQL注入功能。
此时为了支持SQL注入,需要使用java.sql.Statement接口。

怎么解决SQL注入,或者说怎么防止SQL注入?

java.sql.PreparedStatement叫做预编译的数据库操作对象,可以防止SQL注入,
原理:

对SQL语句框架进行预先编译,再接收用户提供的信息,即使提供的信息当中含有SQL语句的关键字,但是这些关键字并没有参与SQL语句的编译,
那么它也只是一个普通的字符串,SQL语句原意不会被扭曲,防止了SQL注入。

PreparedStatement是Statement的子接口

大多数情况下还是需要防止SQL注入的,所以PreparedStatement使用较多。

Statement和PreparedStatement区别

1.	Statement是先进行SQL语句拼接,再进行SQL语句的编译,存在SQL注入问题;
2.	PreparedStatement是预先编译SQL语句框架(带有占位符的SQL),然后再给占位符赋值,防止SQL注入;
3.	Statement编译一次,执行一次,编译一次,执行一次,PreparedStatement编译一次框架,执行N次,
4.	PreparedStatement效率较高。

预编译实现批量处理

当我们需要处理一百条甚至更多数据时,如果我们采用原始的处理方法:

for(int i=1;i<=100;i++){
            String sql="insert into dept(deptno,dname,loc) values("+i+",'dept_"+i+"','北京')";
            ps.executeUpdate(sql);
        }

我们可以看到有以下问题:

  1. SQL命令书写麻烦:
    为了确保每条SQL语句携带不同数据,采用字符串拼接方式
    “insert into dept(deptno,dname,loc) values(”+i+",‘dept_"+i+"’,‘北京’)";

  2. 浪费时间: PreparedStatement对象每次只能推送一条SQL命令。
    为了推送100条Sql命令,需要往返100次,浪费了大量时间

我们可以看到,上面的程序对于程序员来说简直烂透了
对于这种批量处理问题,我们采取预编译的方法形式SQL命令:

    "?"是占位符,一个问号代替一个值
    预编译SQL相当一个模具,在后续开发时,只需要将数据填充到占位符,就可以得到一个全新SQL
String sql ="insert into dept(deptno,dname,loc) values(?,?,?)";
    //注册Driver
  Class.forName("com.mysql.jdbc.Driver");
    //建立通道
   Connection con = DriverManager.getConnection("jdbc:mysql://localhost:3306/bjpowernode", "root", "123");
    //【建立交通工具时,需要将预编译SQL命令注册到PreparedStatement】
    PreparedStatement ps =  con.prepareStatement(sql);

//通过向预编译SQL命令填充数据生成全新的SQL命令

 //4.向MySql服务器推送100条数据
        for(int i=1;i<=100;i++){
          
            ps.setInt(1, i); //inser into dept (deptno,dname,loc) values(1,?,?)
            ps.setString(2, "dept_"+i); //inser into dept (deptno,dname,loc) values(1,'dept_1',?)
            ps.setString(3, "北京");//inser into dept (deptno,dname,loc) values(1,'dept_1','北京')
            //在新的SQL语句生成之后,将SQL语句作为子弹添加到PS的弹夹
            ps.addBatch(); //[sql1,sql2,...]
        }

Java 的 Statement.addBath() 方法将给定的 SQL 命令添加到此 Statement 对象的当前命令列表中。通过调用方法 executeBatch 可以批量执行此列表中的命令。
【一次性】通过ps将100条sql语句推送到mysql服务器执行

   ps.executeBatch(); // 推送100条SQL命令只需要往返一次

然后我们在关闭之前建立的资源就可以了。

你可能感兴趣的:(javaweb,javaweb,数据库,java,mysql)