PreparedStatement
public interface PreparedStatement extends Statement;可以看到PreparedStatement是Statement的子接口,我們在執行查詢或者更新數據表數據的時候,拼寫SQL語句是一個很費力並且容易出錯的事情,PreparedStatement可以簡化這樣的一個過程.
PreParedStatement
1).why?我們為什么要使用它
使用Statement需要進行拼寫SQl語句,辛苦並且容易出錯,之前使用Statement的SQL語句的形式是這樣的
String sql = "insert into examstudent" + " values("
+ student.getFlowId() + "," + student.getType() + ",'"
+ student.getIdCard() + "','" + student.getExamCard() + "','"
+ student.getStudentName() + "','" + student.getLocation()
+ "'," + student.getGrade() + ")";
使用PreparedStatement:是Statement的子接口,可以傳入帶占位符的SQL語句,提供了補充占位符變量的方法
PreparedStatement ps=conn.preparedStatement(sql);
可以看到將sql作為參數傳入了,就不需要我們在費力拼寫了。
2)變成了這樣的形式
String sql="insert into examstudent values(?,?,?,?,?,?,?)";
可以調用PreparedStatement的setXxx(int index,Object val)設置占位符的值,其中index的值從1開始
執行SQl語句:excuteQuery()或者excuteUpdate()就可以完成查詢或者數據的更新.【注意】:此時函數的參數位置不需要傳入SQL語句,注意同使用Statement的update函數的差別
具體代碼實現:
@Test
public void testPreparedStatement() {
Connection connection = null;
PreparedStatement preparedStatement = null;
try {
// 連接數據庫
connection = JDBCTools.getConnection();
// 使用占位符的SQl語句
String sql = "insert into customers(name,email,birth)"
+ "values(?,?,?)";
// 使用preparedStatement的setXxx方法設置每一個位置上的值
preparedStatement = connection.prepareStatement(sql);
// 設置name字段
preparedStatement.setString(1, "ATGUIGU");
// 設置email字段
preparedStatement.setString(2, "simale@163.com");
// 設置birth字段
preparedStatement.setDate(3,
new Date(new java.util.Date().getTime()));
// 執行更新操作
preparedStatement.executeUpdate();
} catch (Exception e) {
e.printStackTrace();
} finally {
// 釋放資源
JDBCTools.release(null, preparedStatement, connection);
}
}
使用PreparedStatement執行SQl(更新操作:插入、刪除、更新,但不包括select查詢操作),JDBCTools中的通用函數update更改成下面的形式:這里使用了可變參數,而不是使用數組
public static void update(String sql,Object ...args){
/**
* 執行SQL語句,使用PreparedStatement
*/
Connection connection=null;
PreparedStatement preparedStatement=null;
try {
connection=JDBCTools.getConnection();
preparedStatement=connection.prepareStatement(sql);
for(int i=0;i<args.length;i++){
preparedStatement.setObject(i+1, args[i]);
}
preparedStatement.executeUpdate();
} catch (Exception e) {
e.printStackTrace();
}finally{
JDBCTools.release(null, preparedStatement, connection);
}
}
使用PreparedStatement的好處:
1).提高代碼的可讀性和可維護性;
2).最大程度的提高性能:JDBC驅動的最佳化是基於使用的是什么功能. 選擇PreparedStatement還是Statement取決於你要怎么使用它們. 對於只執行一次的SQL語句選擇Statement是最好的. 相反, 如果SQL語句被多次執行選用PreparedStatement是最好的.PreparedStatement的第一次執行消耗是很高的. 它的性能體現在后面的重復執行(緩存的作用). 例如, 假設我使用Employee ID, 使用prepared的方式來執行一個針對Employee表的查詢. JDBC驅動會發送一個網絡請求到數據解析和優化這個查詢. 而執行時會產生另一個網絡請求. 在JDBC驅動中,減少網絡通訊是最終的目的. 如果我的程序在運行期間只需要一次請求, 那么就使用Statement. 對於Statement, 同一個查詢只會產生一次網絡到數據庫的通訊.當使用PreparedStatement池時, 如果一個查詢很特殊, 並且不太會再次執行到, 那么可以使用Statement. 如果一個查詢很少會被執行,但連接池中的Statement池可能被再次執行, 那么請使用PreparedStatement. 在不是Statement池的同樣情況下, 請使用Statement.
3).可以防止SQL注入
SQL注入指的是通過構建特殊的輸入作為參數傳入Web應用程序,而這些輸入大都是SQL語法里的一些組合,通過執行SQL語句進而執行攻擊者所要的操作,其主要原因是程序沒有細致地過濾用戶輸入的數據,致使非法數據侵入系統。
比如我們新建一個數據表users,表中有兩個字段username和password;
我們在圖形化界面SQLyog的sql語句的查詢界面輸入這樣的查詢語句:select * from users where username='a' or password='and password=' or '1'='1';
執行該語句,會得到我們表中的數據:
我們可以分析一下這條語句:where的后面,通過多個字段的組合作為查詢過濾的條件。
字段一:username='a'
字段二:password='and password='
字段三:'1'='1'
因為用邏輯連接符OR來連接的三個字段,只要有一個為真就可以將查詢工作完成.
下面我們看下具體的代碼實現:
@Test
public void testSQLinjection() {
String username = "a' or password =";
String password = " or '1'='1";
String sql = "select * from users where username='" + username
+ "' AND " + "password='" + password + "'";
System.out.println(sql);
Connection connection = null;
Statement statement = null;
ResultSet resultSet = null;
try {
connection = getConnection();
statement = connection.createStatement();
resultSet = statement.executeQuery(sql);
if (resultSet.next()) {
System.out.println("登陸成功");
} else {
System.out.println("不匹配");
}
} catch (Exception e) {
e.printStackTrace();
} finally {
JDBCTools.release(resultSet, statement, connection);
}
}
運行結果:
select * from users where username='a' or password =' AND password=' or '1'='1' 登陸成功
可以看到我們的SQl語句中都沒有明確我們要查的字段的名,但是還是獲取了查詢的結果(SQL語句太能混了)
於是,我們用了PreparedStatement就可以解決SQL注入的問題。
@Test
public void testSQLinjection2() {
String username = "a' or password =";
String password = " or '1'='1";
String sql = "select * from users where username=?" + " and password=?";
System.out.println(sql);
Connection connection = null;
PreparedStatement preparedStatement = null;
ResultSet resultSet = null;
try {
connection = getConnection();
preparedStatement = connection.prepareStatement(sql);
preparedStatement.setString(1, username);
preparedStatement.setString(2, password);
resultSet = preparedStatement.executeQuery();
if (resultSet.next()) {
System.out.println("登陸成功");
} else {
System.out.println("不匹配");
}
} catch (Exception e) {
e.printStackTrace();
} finally {
JDBCTools.release(resultSet, preparedStatement, connection);
}
}
執行結果:
select * from users where username=? and password=? 不匹配
可以看到:再次使用偽裝后的SQL語句已經不能獲取我們數據表中的信息,我們這里在sql語句中使用了占位符。因此使用PreparedStatement可以結解決這里的SQL注入的問題。
本文為博主原創文章,轉載請注明出處:http://www.cnblogs.com/ysw-go/
1、本博客的原創原創文章,都是本人平時學習所做的筆記,如有錯誤,歡迎指正。
2、如有侵犯您的知識產權和版權問題,請通知本人,本人會即時做出處理文章。
3、本博客的目的是知識交流所用,轉載自其它博客或網站,作為自己的參考資料的,感謝這些文章的原創人員