序,目前在對數據庫進行操作之前,使用prepareStatement預編譯,然后再根據通配符進行數據填值,是比較常見的做法,好處是提高執行效率,而且保證排除SQL注入漏洞。
一、prepareStatement的預編譯和防止SQL注入功能
大家都知道,java中JDBC中,有個預處理功能,這個功能一大優勢就是能提高執行速度尤其是多次操作數據庫的情況,再一個優勢就是預防SQL注入,嚴格的說,應該是預防絕大多數的SQL注入。
用法就是如下邊所示:
String sql="update cz_zj_directpayment dp"+ "set dp.projectid = ? where dp.payid= ?"; try { PreparedStatement pset_f = conn.prepareStatement(sql); pset_f.setString(1,inds[j]); pset_f.setString(2,id); pset_f.executeUpdate(sql_update); }catch(Exception e){ //e.printStackTrace(); logger.error(e.message()); }
為什么它這樣處理就能預防SQL注入提高安全性呢?其實是因為SQL語句在程序運行前已經進行了預編譯,在程序運行時第一次操作數據庫之前,SQL語句已經被數據庫分析,編譯和優化,對應的執行計划也會緩存下來並允許數據庫已參數化的形式進行查詢,當運行時動態地把參數傳給PreprareStatement時,即使參數里有敏感字符如 or '1=1'也數據庫會作為一個參數一個字段的屬性值來處理而不會作為一個SQL指令,如此,就起到了SQL注入的作用了!
二、Statement和PreparedStatement的區別
先來說說,什么是java中的Statement:Statement是java執行數據庫操作的一個重要方法,用於在已經建立數據庫連接的基礎上,向數據庫發送要執行的SQL語句。具體步驟:
1.首先導入java.sql.*;這個包。
2.然后加載驅動,創建連接,得到Connection接口的的實現對象,比如對象名叫做conn。
3.然后再用conn對象去創建Statement的實例,方法是:Statement stmt = conn.creatStatement("SQL語句字符串");
Statement 對象用於將 SQL 語句發送到數據庫中。實際上有三種 Statement 對象,它們都作為在給定連接上執行 SQL語句的包容器:Statement、PreparedStatement(它從 Statement 繼承而來)和CallableStatement(它從 PreparedStatement 繼承而來)。它們都專用於發送特定類型的 SQL 語句:Statement 對象用於執行不帶參數的簡單 SQL 語句;PreparedStatement 對象用於執行帶或不帶參數的預編譯 SQL 語句;CallableStatement 對象用於執行對數據庫已存儲過程的調用。
綜上所述,總結如下:Statement每次執行sql語句,數據庫都要執行sql語句的編譯,最好用於僅執行一次查詢並返回結果的情形,效率高於PreparedStatement.但存在sql注入風險。PreparedStatement是預編譯執行的。在執行可變參數的一條SQL時,PreparedStatement要比Statement的效率高,因為DBMS預編譯一條SQL當然會比多次編譯一條SQL的效率高。安全性更好,有效防止SQL注入的問題。對於多次重復執行的語句,使用Prepared
Statement效率會更高一點。執行SQL語句是可以帶參數的,並支持批量執行SQL。由於采用了Cache機制,則預編譯的語句,就會放在Cache中,下次執行相同的SQL語句時,則可以直接從Cache中取出來。
PreparedStatement pstmt = con.prepareStatement("UPDATE EMPLOYEES SET name= ? WHERE ID = ?");
pstmt.setString(1, "李四");
pstmt.setInt(2, 1);
pstmt. executeUpdate();
那么CallableStatement擴展了PreparedStatement的接口,用來調用存儲過程,它提供了對於輸入和輸出參數的支持,CallableStatement 接口還有對 PreparedStatement 接口提供的輸入參數的sql查詢的支持。
PreparedStatement: 數據庫會對sql語句進行預編譯,下次執行相同的sql語句時,數據庫端不會再進行預編譯了,而直接用數據庫的緩沖區,提高數據訪問的效率(但盡量采用使用?號的方式傳遞參數),如果sql語句只執行一次,以后不再復用。 從安全性上來看,PreparedStatement是通過?來傳遞參數的,避免了拼sql而出現sql注入的問題,所以安全性較好。
在開發中,推薦使用 PreparedStatement
三、什么是SQL注入,怎么防止SQL注入?
所謂SQL注入,就是通過把SQL命令插入到Web表單提交或輸入域名或頁面請求的查詢字符串,最終達到欺騙服務器執行惡意的SQL命令。具體來說,它是利用現有應用程序,將(惡意)的SQL命令注入到后台數據庫引擎執行的能力,它可以通過在Web表單中輸入(惡意)SQL語句得到一個存在安全漏洞的網站上的數據庫,而不是按照設計者意圖去執行SQL語句。
怎么防止SQL注入,使用存儲過程來執行所有的查詢;檢查用戶輸入的合法性;將用戶的登錄名、密碼等數據加密保存。
四、spring中的事務是如何配置的?Spring中的AOP實現是基於什么原理?
先來回答第二個問題,是個開發者都知道Spring中的AOP說的是面向切面的編程。所以,再深入點,AOP的實現原理其實是Java的動態代理
第二個問題,先來說說數據庫中的事務,再來說所Spring是怎么處理數據庫中的事務的。通俗的說,數據庫事務就是在你需要插入1000條數據,然后再修改其中5條,刪除其中3條的操作執行完畢之后的一次性提交。而在提交之前,這些變動實際上不寫入數據庫的。同時,里面如果有一步出錯的話,所有的在這一個事務內部做過的變動都要撤銷、回滾。如果未使用事務的話,對於上述操作,實際上數據庫操作的次數是100+5+3次。那么,Spring對事務做了一些什么事情呢?Spring對事務做了封裝,可以通過申明的方式提供事務管理,