PreparedStatement接口、防止SQL注入风险
本文章使用的数据库工具类
JdbcUtils的代码实现 https://www.jianshu.com/p/e908a22f1b82
表准备 11.JDBC 五、执行DDL操作
一、PreparedStatement接口
PreparedStatement接口是Statement接口的子接口,继承于父接口中所有的方法。它是一个预编译的SQL语句。
这样说吧,PreparedStatement接口的功能就是实现一个SQL的模板,以此找数据库要一个预编译结果,然后要求传入此模板的参数,插入到模板中,然后找数据库,数据库就不用再进行编译了,这样效率就非常高!
PreparedStatement的执行原理
PreparedStatement的执行原理.png
- 预先编译功能能提高SQL的执行效率
- 可以有效防止SQL注入的问题,安全性更高
-
PreparedStatement是Statement的子接口,利用多态技术可以实现Statement接口能够实现的功能。
二、相关方法
1.Connection创建PrepareStatement对象
Connection接口中的方法
-
PreparedStatement prepareStatement(String sql):指定预编译的SQL语句,SQL语句中使用占位符?创建一个语句对象!
2.PrepareStatement接口中的方法:
-
int executeUpdate():执行DML,增删改查的操作,返回影响的行数。 -
ResultSet executeQuery():执行DQL,查询的操作,返回结果集
三、PreparedStatement 的好处
- PrepareStatement()会先将 SQL 语句发送给数据库预编译。PreparedStatement 会引用着预编译后的结果。可以多次传入不同的参数给 PreparedStatement 对象并执行。减少 SQL 编译次数,提高效率。
- 安全性更高,没有 SQL 注入的隐患。
- 提高了程序的可读性
四、使用PreparedStatement的步骤
- 编写 SQL 语句,未知内容使用?占位:"SELECT * FROM user WHERE name=? AND password=?";
- 获得 PreparedStatement 对象
- 设置实际参数:setXxx(占位符的位置, 真实的值)
- 执行参数化 SQL 语句
- 关闭资源
注意:
- 被查询的表名不能使用?表示!
- 被查询的字段也不要使用?表示
- where语句中的 xxx>(x) 这种方式是可以的!
五、PreparedStatement中设置参数的方法
省略void
-
setDouble(in parIndex, double x):将指定参数设置为给定 Java double 值。 -
setFloat(in parIndex, float x):将指定参数设置为给定 Java float 值。 -
setInt(in parIndex, int x):将指定参数设置为给定 Java int 值。 -
setLong(in parIndex, long x):将指定参数设置为给定 Java long 值。 -
setObject(in parIndex, Object x):使用给定对象设置指定参数的值。 -
setString(in parIndex, String x):将指定参数设置为给定 Java String 值。
六、案例
1.登录案例【防止SQL注入】
import java.sql.*;
import java.util.Scanner;
public class LoginPlus {
public static void main(String[] args) {
Scanner input = new Scanner(System.in);
System.out.println("请输入有户名>>");
String name = input.nextLine();
System.out.println("请输入密码>>");
String password = input.nextLine();
login(name, password);
}
public static void login(String name, String password){
// 创建 连接、预编译、结果集 对象,初始化为 null
Connection connection = null;
PreparedStatement ps = null;
ResultSet rs = null;
try {
// 获得连接对象
connection = JdbcUtils.getConnection();
String sql = "select * from user where name = ? and password = ?";
// 得到预编译结果
ps = connection.prepareStatement(sql);
// 设置相关参数
ps.setString(1, name);
ps.setString(2,password);
// 提交执行!拿到结果
rs = ps.executeQuery();
if(rs.next()) {
System.out.println("登录成功:" + name);
} else {
System.out.println("登录失败!");
}
} catch (SQLException e) {
e.printStackTrace();
} finally {
JdbcUtils.close(connection, ps, rs);
}
}
}
2. 对象渲染案例
表与类的关系.png
下面用到的
Student类是JavaDean实体类,代码略【id,name,gender,birthday四个属性】
import java.sql.*;
import java.util.ArrayList;
public class ProductStudent {
public static void main(String[] args) throws SQLException {
ArrayList arr = new ArrayList<>();
Student student = null;
Connection connection = JdbcUtils.getConnection();
String sql = "select * from student;";
PreparedStatement ps = connection.prepareStatement(sql);
// 设置编译模板中的 ? 这个东西
// ps.setInt(1, 1);
ResultSet rs = ps.executeQuery();
while (rs.next()) {
student = new Student();
student.setId(rs.getInt("id"));
student.setName(rs.getString("name"));
student.setGender(rs.getBoolean("gender"));
student.setBirthday(rs.getDate("birthday"));
arr.add(student);
}
JdbcUtils.close(connection, ps, rs);
for (Student student1 : arr) {
System.out.println(student1);
}
}
}
3.PreparedStatement执行DQL与DML操作
import java.sql.*;
import java.util.Scanner;
public class PSDML {
final static Scanner input = new Scanner(System.in);
public static void main(String[] args) {
Connection conn = null;
PreparedStatement ps = null;
ResultSet rs = null;
// 统一捕获异常,统一释放资源!提高代码的复用性!
boolean flag = false;
while (true) {
if (flag) break;
try {
conn = JdbcUtils.getConnection();
System.out.println("" +
"\n@=@=@ 请选择相关功能 @=@=@\n" +
"【a】 -> 查询所有记录;\n" +
"【b】 -> 插入数据;\n" +
"【c】 -> 更新姓名;\n" +
"【d】 -> 删除相关记录;\n" +
"【quit】 -> 退出程序!\n>>");
String command = input.nextLine().toLowerCase();
switch (command) {
case "a": query(conn, ps, rs);break;
case "b": insert(conn, ps);break;
case "c": update(conn, ps);break;
case "d": delete(conn, ps);break;
default: flag = true;break;
}
} catch (SQLException e) { e.printStackTrace();
} finally { JdbcUtils.close(conn, ps, rs); }
}
}
// 查询所有记录
public static void query(Connection conn, PreparedStatement ps, ResultSet rs) throws SQLException {
String sql = "select * from student;";
ps = conn.prepareStatement(sql);
rs = ps.executeQuery();
while (rs.next()) {
System.out.print("------------------------------\n|");
int t = 1;
String msg;
while (true) {
try {
msg = rs.getObject(t ++).toString();
switch (msg) {
case "true": System.out.print(" 男 |"); break;
case "false": System.out.print(" 女 |");break;
default: System.out.print(" " + msg + " |");
}
} catch (Exception e) { System.out.println();break; }
}
}
System.out.println("------------------------------");
}
// 插入一条数据逻辑
public static void insert(Connection conn, PreparedStatement ps) throws SQLException {
System.out.println("请输入姓名>>");
String name = input.nextLine();
System.out.println("请输入性别>>");
String gender = input.nextLine();
System.out.println("请输入出生年月>>");
String birthday = input.nextLine();
String sql = "insert into student values(null,?,?,?)";
ps = conn.prepareStatement(sql);
try {
ps.setString(1, name);
ps.setBoolean(2, gender.equals("男")?true:false);
// java.sql.Date类是与数据库中的Date类一致!
ps.setDate(3,java.sql.Date.valueOf(birthday));
int res = ps.executeUpdate();
System.out.println("插入了" + res + "条记录");
} catch (Exception e) { e.printStackTrace(); }
}
// 修改数据逻辑,以修改姓名为例
public static void update(Connection conn, PreparedStatement ps) throws SQLException {
System.out.println("请输入需要被更新的姓名>>");
String oldName = input.nextLine();
System.out.println("请输入将被替换的姓名>>");
String newName = input.nextLine();
String sql = "update student set name=? where name=?";
ps = conn.prepareStatement(sql);
ps.setString(1, newName);
ps.setString(2, oldName);
System.out.println("共更新了" + ps.executeUpdate() + "条记录");
}
// 删除数据,以输入姓名为栗!
public static void delete(Connection conn, PreparedStatement ps) throws SQLException {
System.out.println("请输入需要被删除记录的姓名>>");
String name = input.nextLine();
String sql = "delete from student where name=?";
ps = conn.prepareStatement(sql);
ps.setString(1, name);
System.out.println("共删除了" + ps.executeUpdate() + "条数据");
}
}