PreparedStatement防止SQL注入

作者：辽宁琢一传媒 | 来源：互联网 | 2023-10-17 16:36

添加数据：packagecom.hyc.study03;importcom.hyc.study02.utils.JDBCUtils;importjava.sql

添加数据&＃xff1a;

package com.hyc.study03; import com.hyc.study02.utils.JDBCUtils; import java.sql.Connection; import java.sql.ResultSet; import java.util.Date; import java.sql.PreparedStatement; import java.sql.SQLException;public class TestInsert {public static void main(String[] args) {Connection connection &＃61; null;PreparedStatement preparedStatement &＃61; null;ResultSet resultSet &＃61; null;try {//3、获取数据库连接connection &＃61; JDBCUtils.getConnection();//使用&＃xff1f;占位符替代参数String sql &＃61; "INSERT INTO &＃96;users&＃96;(&＃96;id&＃96;,&＃96;NAME&＃96;,&＃96;PASSWORD&＃96;,&＃96;email&＃96;,&＃96;birthday&＃96;) " &＃43;"VALUES (?,?,?,?,?);";//4、获取执行sql的对象//预编译sql&＃xff0c;先写sql&＃xff0c;然后不执行preparedStatement &＃61; connection.prepareStatement(sql);//手动给参数赋值preparedStatement.setInt(1, 4);preparedStatement.setString(2, "hyc");preparedStatement.setString(3, "123456");preparedStatement.setString(4, "123456789&＃64;qq.com");//java.sql.Date 是数据库的Date &＃xff0c;只包含年月日信息 &＃xff0c;它是java.util.Date&＃xff08;包含年月日和时分秒信息&＃xff09;的子类preparedStatement.setDate(5, new java.sql.Date(new Date().getTime()));//5、执行sql语句//6、返回执行结果集int num &＃61; preparedStatement.executeUpdate();if (num > 0) {System.out.println("插入数据成功&＃xff01;");}} catch (SQLException throwables) {throwables.printStackTrace();} finally {//7、释放连接JDBCUtils.release(connection, preparedStatement, resultSet);}} }

删除数据&＃xff1a;

package com.hyc.study03;import com.hyc.study02.utils.JDBCUtils;import java.sql.Connection; import java.sql.PreparedStatement; import java.sql.ResultSet; import java.sql.SQLException;public class TestDelete {public static void main(String[] args) {Connection connection &＃61; null;PreparedStatement preparedStatement &＃61; null;ResultSet resultSet &＃61; null;try {//3、获取数据库连接connection &＃61; JDBCUtils.getConnection();//使用&＃xff1f;占位符替代参数String sql &＃61; "DELETE FROM &＃96;users&＃96; WHERE id&＃61;?";//4、获取执行sql的对象//预编译preparedStatement &＃61; connection.prepareStatement(sql);//手动给参数赋值preparedStatement.setInt(1, 4);//5、执行sql语句//6、返回执行结果集int num &＃61; preparedStatement.executeUpdate();if (num > 0) {System.out.println("删除数据成功&＃xff01;");}} catch (SQLException throwables) {throwables.printStackTrace();} finally {//7、释放连接JDBCUtils.release(connection, preparedStatement, resultSet);}} }

修改数据&＃xff1a;

package com.hyc.study03; import com.hyc.study02.utils.JDBCUtils; import java.sql.Connection; import java.sql.PreparedStatement; import java.sql.ResultSet; import java.sql.SQLException;public class TestUpdate {public static void main(String[] args) {Connection connection &＃61; null;PreparedStatement preparedStatement &＃61; null;ResultSet resultSet &＃61; null;try {//3、获取数据库连接connection &＃61; JDBCUtils.getConnection();//使用&＃xff1f;占位符替代参数String sql &＃61; "UPDATE &＃96;users&＃96; SET &＃96;NAME&＃96;&＃61;?,&＃96;email&＃96;&＃61;? WHERE &＃96;id&＃96;&＃61;?";//4、获取执行sql的对象//预编译preparedStatement &＃61; connection.prepareStatement(sql);//手动给参数赋值preparedStatement.setString(1, "zhangsan");preparedStatement.setString(2, "zhangsan&＃64;sina.com");preparedStatement.setInt(3, 1);//5、执行sql语句//6、返回执行结果集int num &＃61; preparedStatement.executeUpdate();if (num > 0) {System.out.println("更新数据成功&＃xff01;");}} catch (SQLException throwables) {throwables.printStackTrace();} finally {//7、释放连接JDBCUtils.release(connection, preparedStatement, resultSet);}} }

查询数据&＃xff1a;

package com.hyc.study03; import com.hyc.study02.utils.JDBCUtils; import java.sql.Connection; import java.sql.PreparedStatement; import java.sql.ResultSet; import java.sql.SQLException;public class TestSelect {public static void main(String[] args) {Connection connection &＃61; null;PreparedStatement preparedStatement &＃61; null;ResultSet resultSet &＃61; null;try {//3、获取数据库连接connection &＃61; JDBCUtils.getConnection();//使用&＃xff1f;占位符替代参数String sql &＃61; "SELECT * FROM &＃96;users&＃96; WHERE id&＃61;?";//4、获取执行sql的对象//预编译preparedStatement &＃61; connection.prepareStatement(sql);//手动给参数赋值preparedStatement.setInt(1, 1);//5、执行sql语句//6、返回执行结果集resultSet &＃61; preparedStatement.executeQuery();while (resultSet.next()) {System.out.println(resultSet.getString("NAME"));}} catch (SQLException throwables) {throwables.printStackTrace();} finally {//7、释放连接JDBCUtils.release(connection, preparedStatement, resultSet);}} }

PreparedStatement防止SQL注入&＃xff1a;
PreparedStatement防止SQL注入的本质是将传递进来的参数当做字符&＃xff08;想当于给传进来的参数包装成一个新的字符串&＃xff09;&＃xff0c;如果其中存在转义字符&＃xff0c;例如 ‘ 会被直接转义。这样能够避免字符串拼接成非法的sql语句&＃xff0c;造成数据泄露。

package com.hyc.study03; import com.hyc.study02.utils.JDBCUtils; import java.sql.*;public class PourIntoSql {public static void main(String[] args) {login("&＃39;&＃39; or &＃39;1&＃61;1", "123456");}public static void login(String username, String psw) {Connection connection &＃61; null;PreparedStatement preparedStatement &＃61; null;ResultSet resultSet &＃61; null;try {connection &＃61; JDBCUtils.getConnection();String sql &＃61; "SELECT * FROM &＃96;users&＃96; WHERE &＃96;NAME&＃96;&＃61;? AND &＃96;PASSWORD&＃96;&＃61;?";preparedStatement &＃61; connection.prepareStatement(sql);preparedStatement.setString(1, username);preparedStatement.setString(2, psw);resultSet &＃61; preparedStatement.executeQuery();while (resultSet.next()) {System.out.println(resultSet.getString("NAME"));System.out.println("&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;");}} catch (SQLException throwables) {throwables.printStackTrace();} finally {JDBCUtils.release(connection, preparedStatement, resultSet);}} }

结果&＃xff1a;
在这里插入图片描述
在PreparedStatement的作用下&＃xff0c;再尝试通过字符串拼接达到SQL注入的目的无法实现。

推荐阅读

substring
解析JSON格式文本并处理数据

本文介绍如何使用阿里云的fastjson库解析包含时间戳、IP地址和参数等信息的JSON格式文本，并进行数据处理和保存。 ... [详细]

蜡笔小新 2024-12-26 16:06:09
string
使用 SQLiteJDBC 和 HikariCP 实现 Java 程序连接 SQLite 数据库

本文介绍了如何通过 Maven 依赖引入 SQLiteJDBC 和 HikariCP 包，从而在 Java 应用中高效地连接和操作 SQLite 数据库。文章提供了详细的代码示例，并解释了每个步骤的实现细节。 ... [详细]

蜡笔小新 2024-12-26 17:34:42
string
新浪笔试题

1:有如下一段程序：packagea.b.c;publicclassTest{privatestaticinti0;publicintgetNext(){return ... [详细]

蜡笔小新 2024-12-27 19:32:17
process
android知识杂记（三）

andr ... [详细]

蜡笔小新 2024-12-26 13:29:32
string
Java并发编程：LinkedBlockingQueue的实际应用

本文介绍了Java并发库中的阻塞队列（BlockingQueue）及其典型应用场景。通过具体实例，展示了如何利用LinkedBlockingQueue实现线程间高效、安全的数据传递，并结合线程池和原子类优化性能。 ... [详细]

蜡笔小新 2024-12-27 18:51:49
callback
Python 的 10 个开发技巧！太实用了

1.如何在运行状态查看源代码？查看函数的源代码，我们通常会使用IDE来完成。比如在PyCharm中，你可以Ctrl+鼠标点击进入函数的源代码。那如果没有IDE呢？当我们想使用一个函 ... [详细]

蜡笔小新 2024-12-27 18:36:54
uri
Java 序列化接口详解

本文深入探讨了 Java 中的 Serializable 接口，解释了其实现机制、用途及注意事项，帮助开发者更好地理解和使用序列化功能。 ... [详细]

蜡笔小新 2024-12-27 15:06:12
regex
Java面试题解析

本文详细介绍了Java编程语言中的核心概念和常见面试问题，包括集合类、数据结构、线程处理、Java虚拟机（JVM）、HTTP协议以及Git操作等方面的内容。通过深入分析每个主题，帮助读者更好地理解Java的关键特性和最佳实践。 ... [详细]

蜡笔小新 2024-12-27 13:55:14
regex
深入探讨JSP技术的优缺点

本文详细分析了JSP（JavaServer Pages）技术的主要优点和缺点，帮助开发者更好地理解其适用场景及潜在挑战。JSP作为一种服务器端技术，广泛应用于Web开发中。 ... [详细]

蜡笔小新 2024-12-28 11:00:33
string
优化ListView性能

本文深入探讨了如何通过多种技术手段优化ListView的性能，包括视图复用、ViewHolder模式、分批加载数据、图片优化及内存管理等。这些方法能够显著提升应用的响应速度和用户体验。 ... [详细]

蜡笔小新 2024-12-28 10:36:30
go
Go语言基础：Hello World 实践

本文将介绍如何使用 Go 语言编写和运行一个简单的“Hello, World!”程序。内容涵盖开发环境配置、代码结构解析及执行步骤。 ... [详细]

蜡笔小新 2024-12-27 21:29:35
string
Java 类成员初始化顺序与数组创建

本文探讨了Java中类成员的初始化顺序、静态引入、可变参数以及finalize方法的应用。通过具体的代码示例，详细解释了这些概念及其在实际编程中的使用。 ... [详细]

蜡笔小新 2024-12-27 19:39:42
callback
深入解析Spring Cloud Ribbon负载均衡机制

本文详细介绍了Spring Cloud中的Ribbon组件如何实现服务调用的负载均衡。通过分析其工作原理、源码结构及配置方式，帮助读者理解Ribbon在分布式系统中的重要作用。 ... [详细]

蜡笔小新 2024-12-27 16:01:25
string
Scala 实现 UTF-8 编码属性文件读取与克隆

本文介绍如何使用 Scala 以 UTF-8 编码方式读取属性文件，并实现属性文件的克隆功能。通过这种方式，可以确保配置文件在多线程环境下的一致性和高效性。 ... [详细]

蜡笔小新 2024-12-26 08:25:19
string
POJ 3259 Bellman-Ford算法实现

本文提供了使用Java实现Bellman-Ford算法解决POJ 3259问题的代码示例，详细解释了如何通过该算法检测负权环来判断时间旅行的可能性。 ... [详细]

蜡笔小新 2024-12-25 20:03:22

辽宁琢一传媒

这个家伙很懒，什么也没留下！

Tags | 热门标签

RankList | 热门文章