JDBC用PrepareStatement解决SQL注入
什么是sql注入?
SQL注入(SQL injection)是因为应用程序在执行SQL语句的时候没有正确的处理用户输入字符串,将用户输入的恶意字符串拼接到了SQL语句中执行,从而导致了SQL注入。
例如:当你的用户名为 qwert' or 1=1;# 密码为123,拼接到SQL语句中,变成如下效果:
SELECT * FROM USER WHERE `username`='qwert' OR 1=1;#' AND `password` = '123';这个代码中1=1永远都是对的,#后面的成了注释,所以这条语句会将表中所有的数据查询出来,然后再做数据判断的时候,就会得到正确结果,从而说用户名和密码正确,登录成功。
如何避免sql注入?
由于SQL注入产生的原因是在用户输入数据对SQL整合,整合后再发送到数据库进行编译产生的。所以为了避免SQL注入,就需要SQL语句在用户输入数据前就进行编译,成为完整的SQL语句,编译完成后再进行数据填充。这个操作需要使用PrepareStatement实现。
PreparedStatement解决sql注入
PreparedStatement接口继承了Statement接口,执行SQL语句的方法与Statement执行SQL语句的方法相同。
3.1PreparedStatement的作用
(1)不再使用+拼接sql语句,减少语法错误
(2)有效的解决了sql注入问题!
(3)大大减少了编译次数,效率较高
3.2参数标记
//预编译SQL语句,SQL中的所有参数由?符号占位,这被称为参数标记。在执行SQL语句之前,必须为每个参数提供值。
String sql = "select * from user where `username` = ? and `password`=?;";
PreparedStatement preparedStatement = connection.prepareStatement(sql);3.3动态参数绑定
PreparedStatement对象的setXxx()方法来设置这些参数,Xxx表示数据类型。. setXxx()方法有两个参数,第一个参数是要设置的SQL语句中的参数的索引(从1开始),第二个是设置的SQL语句中的参数的值。
用PreparedStatement对user进行增删改查,查询一条或多条
4.1创建实体类User类对uid,username,password,phone进行封装,添加有参构造(一个有id的有参勾构造方法和一个没有id的构造方法),添加get和set方法再添加toString方法不添加就只会输出地址值。还需要创建一个目录为lib,把需要的架包复制进去并添加为库。
4.2插入一条数据和修改一条数据
导包是导入sql的包
import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.SQLException;
public class Jdbc01PreparedStatementInsertUse {
public static void main(String[] args) {
Connection connection = null;
PreparedStatement preparedStatement =null;
try {
// 1、注册驱动
Class.forName("com.mysql.jdbc.Driver");
// 2 、获取数据库连接对象url的jdbcdata是你自己数据库的名字
String url = "jdbc:mysql://127.0.0.1:3306/jdbcdata";
//user是你数据的名称
String user = "root";
//password是数据的密码
String password = "123456";
connection = DriverManager.getConnection(url, user, password);
// 3、这是插入数据编写SQL语句,SQL语句中需要的数据先使用占位符?表示,然后在执行前给占位符赋值
String sql = "INSERT INTO `user`(`username`,`password`,`phone`) VALUES(?,?,?);";
// 这是修改数据编写SQL语句
String sql = "Update user set username=?,password=?,phone=?;WHERE `uid`=?";
// 4、获取发送SQL语句对象
preparedStatement = connection.prepareStatement(sql);
//插入数据创建对象
User user2 = new User("桂花", "123456", "12345678911");
//删除数据创建的对象
User user2 = new User(1002, "李四", "112233", "13955661133");
//5、插入数据绑定参数,给?赋值
preparedStatement.setString(1, user2.getName());
preparedStatement.setString(2, user2.getPassword());
preparedStatement.setString(3, user2.getPhone());
修改数据需要的数据绑定参数
preparedStatement.setString(1, user2.getName());
preparedStatement.setString(2, user2.getPassword());
preparedStatement.setString(3, user2.getPhone());
preparedStatement.setINt(4, user2.getUid());
// 6、执行SQL语句
// DML语句:对于插入数据、修改数据、删除数据操作,都调用executeUpdate()方法,返回受影响的行数(int类型)
// DQL语句:对于查询数据,调用executeQuery()方法,返回一个结果集(ResultSet类型)
int result = preparedStatement.executeUpdate();
// 7、处理结果,如果返回的受影响行数不为0,说明数据插入成功
if (result != 0) {
System.out.println("数据插入成功");
} else {
System.out.println("数据插入失败");
}
} catch (ClassNotFoundException e) {
e.printStackTrace();
} catch (SQLException e) {
e.printStackTrace();
} finally {
// 8、释放资源,遵循“先开后关,后开先关”的原则
if (connection != null) {
try {
connection.close();
} catch (SQLException e) {
e.printStackTrace();
}
}
if (preparedStatement != null) {
try {
preparedStatement.close();
} catch (SQLException e) {
e.printStackTrace();
}
}
}
}
}
这是插入数据的运行结果
4.3删除一条数据
import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.SQLException;
public class Delete {
public static void main(String[] args) {
Connection connection=null;
PreparedStatement pstmt=null;
// 注册驱动
try {
Class.forName("com.mysql.jdbc.Driver");
// 获取数据库连接对象
connection= DriverManager.getConnection("jdbc:mysql://127.0.0.1:3306/jdbcdata","root","123456");
// 编写语句
String sql="Delete from user where uid=?;";
// 获取发送sql语句发送对象
pstmt = connection.prepareStatement(sql);
// 创建对象
// User user = new User("hha","14578","12345614785");
// 绑定参数
pstmt.setInt(1, 1003);
// 执行语句
int result=pstmt.executeUpdate();
// 处理结果
if (result != 0) {
System.out.println("删除成功");
}else {
System.out.println("删除失败");
}
} catch (ClassNotFoundException e) {
throw new RuntimeException(e);
} catch (SQLException e) {
throw new RuntimeException(e);
}finally {
if (pstmt != null) {
try {
pstmt.close();
} catch (SQLException e) {
throw new RuntimeException(e);
}
}
if (connection != null) {
try {
connection.close();
} catch (SQLException e) {
throw new RuntimeException(e);
}
}
}
}
}
这是删除一条数据的运行结果
4.4使用结果集查询一条数据
import entity.User;
import java.sql.*;
public class SelectOne {
public static void main(String[] args) {
Connection connection=null;
PreparedStatement preparedStatement = null;
ResultSet result = null;
User user1 =null;
try {
Class.forName("com.mysql.jdbc.Driver");
// 获取数据库连接对象
connection= DriverManager.getConnection("jdbc:mysql://127.0.0.1:3306/jdbcdata","root","123456");
// 编写语句
String sql="Select * from user where uid=?;";
// 获取发送sql语句对象
preparedStatement= connection.prepareStatement(sql);
// 绑定参数因为uid是Int类型所以是setInt,set是固定加数据类型
preparedStatement.setInt(1,1001);
// 执行语句
result=preparedStatement.executeQuery();
// 处理结果
if (result.next()) {
// 根据记录中字段的索引字段数据,字段索引从1开始
int uid = result.getInt(1);
String username=result.getString(2);
String password=result.getString(3);
String phone=result.getString(4);
// 使用有参构造
user1 = new User(uid,username,password,phone);
System.out.println(user1);
}
} catch (ClassNotFoundException e) {
throw new RuntimeException(e);
} catch (SQLException e) {
throw new RuntimeException(e);
}finally {
if (result != null) {
try {
result.close();
} catch (SQLException e) {
throw new RuntimeException(e);
}
}
if (preparedStatement != null) {
try {
preparedStatement.close();
} catch (SQLException e) {
throw new RuntimeException(e);
}
}
if (connection != null) {
try {
connection.close();
} catch (SQLException e) {
throw new RuntimeException(e);
}
}
}
}
}
这是查询一条数据的运行结果
4.5使用集合查询所有数据