JDBC用PrepareStatement解决SQL注入

  1. 什么是sql注入?

SQL注入(SQL injection)是因为应用程序在执行SQL语句的时候没有正确的处理用户输入字符串,将用户输入的恶意字符串拼接到了SQL语句中执行,从而导致了SQL注入。

例如:当你的用户名为 qwert' or 1=1;# 密码为123,拼接到SQL语句中,变成如下效果:

SELECT * FROM USER WHERE `username`='qwert' OR 1=1;#' AND `password` = '123';

这个代码中1=1永远都是对的,#后面的成了注释,所以这条语句会将表中所有的数据查询出来,然后再做数据判断的时候,就会得到正确结果,从而说用户名和密码正确,登录成功。

  1. 如何避免sql注入?

由于SQL注入产生的原因是在用户输入数据对SQL整合,整合后再发送到数据库进行编译产生的。所以为了避免SQL注入,就需要SQL语句在用户输入数据前就进行编译,成为完整的SQL语句,编译完成后再进行数据填充。这个操作需要使用PrepareStatement实现。

  1. PreparedStatement解决sql注入

PreparedStatement接口继承了Statement接口,执行SQL语句的方法与Statement执行SQL语句的方法相同。

3.1PreparedStatement的作用

(1)不再使用+拼接sql语句,减少语法错误

(2)有效的解决了sql注入问题!

(3)大大减少了编译次数,效率较高

3.2参数标记

//预编译SQL语句,SQL中的所有参数由?符号占位,这被称为参数标记。在执行SQL语句之前,必须为每个参数提供值。
String sql = "select * from user where `username` = ? and `password`=?;";
PreparedStatement preparedStatement = connection.prepareStatement(sql);

3.3动态参数绑定

PreparedStatement对象的setXxx()方法来设置这些参数,Xxx表示数据类型。. setXxx()方法有两个参数,第一个参数是要设置的SQL语句中的参数的索引(从1开始),第二个是设置的SQL语句中的参数的值。

  1. 用PreparedStatement对user进行增删改查,查询一条或多条

4.1创建实体类User类对uid,username,password,phone进行封装,添加有参构造(一个有id的有参勾构造方法和一个没有id的构造方法),添加get和set方法再添加toString方法不添加就只会输出地址值。还需要创建一个目录为lib,把需要的架包复制进去并添加为库。

4.2插入一条数据和修改一条数据

导包是导入sql的包

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.SQLException;
public class Jdbc01PreparedStatementInsertUse {
    public static void main(String[] args) {
        Connection connection = null;
        PreparedStatement preparedStatement =null;

        try {
            // 1、注册驱动
            Class.forName("com.mysql.jdbc.Driver");

            // 2 、获取数据库连接对象url的jdbcdata是你自己数据库的名字
            String url = "jdbc:mysql://127.0.0.1:3306/jdbcdata";
             //user是你数据的名称
            String user = "root";
            //password是数据的密码
            String password = "123456";
            connection = DriverManager.getConnection(url, user, password);

            // 3、这是插入数据编写SQL语句,SQL语句中需要的数据先使用占位符?表示,然后在执行前给占位符赋值
            String sql = "INSERT INTO `user`(`username`,`password`,`phone`) VALUES(?,?,?);";
            // 这是修改数据编写SQL语句
          String sql = "Update user set username=?,password=?,phone=?;WHERE `uid`=?";
            // 4、获取发送SQL语句对象
            preparedStatement = connection.prepareStatement(sql);

            //插入数据创建对象
            User user2 = new User("桂花", "123456", "12345678911");
            
            //删除数据创建的对象
          User user2 = new User(1002, "李四", "112233", "13955661133");
            //5、插入数据绑定参数,给?赋值
            preparedStatement.setString(1, user2.getName());
            preparedStatement.setString(2, user2.getPassword());
            preparedStatement.setString(3, user2.getPhone());
             修改数据需要的数据绑定参数
            preparedStatement.setString(1, user2.getName());
            preparedStatement.setString(2, user2.getPassword());
            preparedStatement.setString(3, user2.getPhone());
            preparedStatement.setINt(4, user2.getUid());
            // 6、执行SQL语句
            // DML语句:对于插入数据、修改数据、删除数据操作,都调用executeUpdate()方法,返回受影响的行数(int类型)
            // DQL语句:对于查询数据,调用executeQuery()方法,返回一个结果集(ResultSet类型)
            int result = preparedStatement.executeUpdate();

            // 7、处理结果,如果返回的受影响行数不为0,说明数据插入成功
            if (result != 0) {
                System.out.println("数据插入成功");
            } else {
                System.out.println("数据插入失败");
            }

        } catch (ClassNotFoundException e) {
            e.printStackTrace();
        } catch (SQLException e) {
            e.printStackTrace();
        } finally {
            // 8、释放资源,遵循“先开后关,后开先关”的原则
            if (connection != null) {
                try {
                    connection.close();
                } catch (SQLException e) {
                    e.printStackTrace();
                }
            }

            if (preparedStatement != null) {
                try {
                    preparedStatement.close();
                } catch (SQLException e) {
                    e.printStackTrace();
                }
            }

        }

    }
}

这是插入数据的运行结果

JDBC用PrepareStatement解决SQL注入_第1张图片

4.3删除一条数据

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.SQLException;

public class Delete {
    public static void main(String[] args) {
        Connection connection=null;
        PreparedStatement pstmt=null;
//        注册驱动
        try {
            Class.forName("com.mysql.jdbc.Driver");
            //        获取数据库连接对象
           connection= DriverManager.getConnection("jdbc:mysql://127.0.0.1:3306/jdbcdata","root","123456");

            //        编写语句
            String sql="Delete from user where uid=?;";
//        获取发送sql语句发送对象
            pstmt = connection.prepareStatement(sql);
//        创建对象
//            User user = new User("hha","14578","12345614785");
//        绑定参数
            pstmt.setInt(1, 1003);

//        执行语句
            int result=pstmt.executeUpdate();
// 处理结果
            if (result != 0) {
                System.out.println("删除成功");
            }else {
                System.out.println("删除失败");
            }
        } catch (ClassNotFoundException e) {
            throw new RuntimeException(e);
        } catch (SQLException e) {
            throw new RuntimeException(e);
        }finally {
            if (pstmt != null) {
                try {
                    pstmt.close();
                } catch (SQLException e) {
                    throw new RuntimeException(e);
                }
            }
            if (connection != null) {
                try {
                    connection.close();
                } catch (SQLException e) {
                    throw new RuntimeException(e);
                }
            }
        }

    }
}

这是删除一条数据的运行结果

JDBC用PrepareStatement解决SQL注入_第2张图片

4.4使用结果集查询一条数据

import entity.User;

import java.sql.*;

public class SelectOne {
    public static void main(String[] args) {
        Connection connection=null;
        PreparedStatement preparedStatement = null;
        ResultSet result = null;
        User user1 =null;
        try {
            Class.forName("com.mysql.jdbc.Driver");
            //        获取数据库连接对象
        connection= DriverManager.getConnection("jdbc:mysql://127.0.0.1:3306/jdbcdata","root","123456");
//          编写语句
            String sql="Select * from user where uid=?;";
//            获取发送sql语句对象
             preparedStatement= connection.prepareStatement(sql);
//            绑定参数因为uid是Int类型所以是setInt,set是固定加数据类型
            preparedStatement.setInt(1,1001);
//            执行语句
            result=preparedStatement.executeQuery();
//            处理结果
            if (result.next()) {
//                根据记录中字段的索引字段数据,字段索引从1开始
                int uid = result.getInt(1);
                String username=result.getString(2);
                String password=result.getString(3);
                String phone=result.getString(4);
//                使用有参构造
                 user1 = new User(uid,username,password,phone);
                System.out.println(user1);
            }
        } catch (ClassNotFoundException e) {
            throw new RuntimeException(e);
        } catch (SQLException e) {
            throw new RuntimeException(e);
        }finally {
            if (result != null) {
                try {
                    result.close();
                } catch (SQLException e) {
                    throw new RuntimeException(e);
                }
            }
            if (preparedStatement != null) {
                try {
                    preparedStatement.close();
                } catch (SQLException e) {
                    throw new RuntimeException(e);
                }
            }
            if (connection != null) {
                try {
                    connection.close();
                } catch (SQLException e) {
                    throw new RuntimeException(e);
                }
            }
        }

    }


}

这是查询一条数据的运行结果

JDBC用PrepareStatement解决SQL注入_第3张图片

4.5使用集合查询所有数据

你可能感兴趣的:(JdbC,sql,数据库,java)