PreparedStatement防止SQL注入

作者：辽宁琢一传媒 | 来源：互联网 | 2023-10-17 16:36

添加数据：packagecom.hyc.study03;importcom.hyc.study02.utils.JDBCUtils;importjava.sql

添加数据&＃xff1a;

package com.hyc.study03; import com.hyc.study02.utils.JDBCUtils; import java.sql.Connection; import java.sql.ResultSet; import java.util.Date; import java.sql.PreparedStatement; import java.sql.SQLException;public class TestInsert {public static void main(String[] args) {Connection connection &＃61; null;PreparedStatement preparedStatement &＃61; null;ResultSet resultSet &＃61; null;try {//3、获取数据库连接connection &＃61; JDBCUtils.getConnection();//使用&＃xff1f;占位符替代参数String sql &＃61; "INSERT INTO &＃96;users&＃96;(&＃96;id&＃96;,&＃96;NAME&＃96;,&＃96;PASSWORD&＃96;,&＃96;email&＃96;,&＃96;birthday&＃96;) " &＃43;"VALUES (?,?,?,?,?);";//4、获取执行sql的对象//预编译sql&＃xff0c;先写sql&＃xff0c;然后不执行preparedStatement &＃61; connection.prepareStatement(sql);//手动给参数赋值preparedStatement.setInt(1, 4);preparedStatement.setString(2, "hyc");preparedStatement.setString(3, "123456");preparedStatement.setString(4, "123456789&＃64;qq.com");//java.sql.Date 是数据库的Date &＃xff0c;只包含年月日信息 &＃xff0c;它是java.util.Date&＃xff08;包含年月日和时分秒信息&＃xff09;的子类preparedStatement.setDate(5, new java.sql.Date(new Date().getTime()));//5、执行sql语句//6、返回执行结果集int num &＃61; preparedStatement.executeUpdate();if (num > 0) {System.out.println("插入数据成功&＃xff01;");}} catch (SQLException throwables) {throwables.printStackTrace();} finally {//7、释放连接JDBCUtils.release(connection, preparedStatement, resultSet);}} }

删除数据&＃xff1a;

package com.hyc.study03;import com.hyc.study02.utils.JDBCUtils;import java.sql.Connection; import java.sql.PreparedStatement; import java.sql.ResultSet; import java.sql.SQLException;public class TestDelete {public static void main(String[] args) {Connection connection &＃61; null;PreparedStatement preparedStatement &＃61; null;ResultSet resultSet &＃61; null;try {//3、获取数据库连接connection &＃61; JDBCUtils.getConnection();//使用&＃xff1f;占位符替代参数String sql &＃61; "DELETE FROM &＃96;users&＃96; WHERE id&＃61;?";//4、获取执行sql的对象//预编译preparedStatement &＃61; connection.prepareStatement(sql);//手动给参数赋值preparedStatement.setInt(1, 4);//5、执行sql语句//6、返回执行结果集int num &＃61; preparedStatement.executeUpdate();if (num > 0) {System.out.println("删除数据成功&＃xff01;");}} catch (SQLException throwables) {throwables.printStackTrace();} finally {//7、释放连接JDBCUtils.release(connection, preparedStatement, resultSet);}} }

修改数据&＃xff1a;

package com.hyc.study03; import com.hyc.study02.utils.JDBCUtils; import java.sql.Connection; import java.sql.PreparedStatement; import java.sql.ResultSet; import java.sql.SQLException;public class TestUpdate {public static void main(String[] args) {Connection connection &＃61; null;PreparedStatement preparedStatement &＃61; null;ResultSet resultSet &＃61; null;try {//3、获取数据库连接connection &＃61; JDBCUtils.getConnection();//使用&＃xff1f;占位符替代参数String sql &＃61; "UPDATE &＃96;users&＃96; SET &＃96;NAME&＃96;&＃61;?,&＃96;email&＃96;&＃61;? WHERE &＃96;id&＃96;&＃61;?";//4、获取执行sql的对象//预编译preparedStatement &＃61; connection.prepareStatement(sql);//手动给参数赋值preparedStatement.setString(1, "zhangsan");preparedStatement.setString(2, "zhangsan&＃64;sina.com");preparedStatement.setInt(3, 1);//5、执行sql语句//6、返回执行结果集int num &＃61; preparedStatement.executeUpdate();if (num > 0) {System.out.println("更新数据成功&＃xff01;");}} catch (SQLException throwables) {throwables.printStackTrace();} finally {//7、释放连接JDBCUtils.release(connection, preparedStatement, resultSet);}} }

查询数据&＃xff1a;

package com.hyc.study03; import com.hyc.study02.utils.JDBCUtils; import java.sql.Connection; import java.sql.PreparedStatement; import java.sql.ResultSet; import java.sql.SQLException;public class TestSelect {public static void main(String[] args) {Connection connection &＃61; null;PreparedStatement preparedStatement &＃61; null;ResultSet resultSet &＃61; null;try {//3、获取数据库连接connection &＃61; JDBCUtils.getConnection();//使用&＃xff1f;占位符替代参数String sql &＃61; "SELECT * FROM &＃96;users&＃96; WHERE id&＃61;?";//4、获取执行sql的对象//预编译preparedStatement &＃61; connection.prepareStatement(sql);//手动给参数赋值preparedStatement.setInt(1, 1);//5、执行sql语句//6、返回执行结果集resultSet &＃61; preparedStatement.executeQuery();while (resultSet.next()) {System.out.println(resultSet.getString("NAME"));}} catch (SQLException throwables) {throwables.printStackTrace();} finally {//7、释放连接JDBCUtils.release(connection, preparedStatement, resultSet);}} }

PreparedStatement防止SQL注入&＃xff1a;
PreparedStatement防止SQL注入的本质是将传递进来的参数当做字符&＃xff08;想当于给传进来的参数包装成一个新的字符串&＃xff09;&＃xff0c;如果其中存在转义字符&＃xff0c;例如 ‘ 会被直接转义。这样能够避免字符串拼接成非法的sql语句&＃xff0c;造成数据泄露。

package com.hyc.study03; import com.hyc.study02.utils.JDBCUtils; import java.sql.*;public class PourIntoSql {public static void main(String[] args) {login("&＃39;&＃39; or &＃39;1&＃61;1", "123456");}public static void login(String username, String psw) {Connection connection &＃61; null;PreparedStatement preparedStatement &＃61; null;ResultSet resultSet &＃61; null;try {connection &＃61; JDBCUtils.getConnection();String sql &＃61; "SELECT * FROM &＃96;users&＃96; WHERE &＃96;NAME&＃96;&＃61;? AND &＃96;PASSWORD&＃96;&＃61;?";preparedStatement &＃61; connection.prepareStatement(sql);preparedStatement.setString(1, username);preparedStatement.setString(2, psw);resultSet &＃61; preparedStatement.executeQuery();while (resultSet.next()) {System.out.println(resultSet.getString("NAME"));System.out.println("&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;");}} catch (SQLException throwables) {throwables.printStackTrace();} finally {JDBCUtils.release(connection, preparedStatement, resultSet);}} }

结果&＃xff1a;
在这里插入图片描述
在PreparedStatement的作用下&＃xff0c;再尝试通过字符串拼接达到SQL注入的目的无法实现。

推荐阅读

metadata
使用 SQLiteJDBC 和 HikariCP 实现 Java 程序连接 SQLite 数据库

本文介绍了如何通过 Maven 依赖引入 SQLiteJDBC 和 HikariCP 包，从而在 Java 应用中高效地连接和操作 SQLite 数据库。文章提供了详细的代码示例，并解释了每个步骤的实现细节。 ... [详细]

蜡笔小新 2024-12-26 17:34:42
main
解析JSON格式文本并处理数据

本文介绍如何使用阿里云的fastjson库解析包含时间戳、IP地址和参数等信息的JSON格式文本，并进行数据处理和保存。 ... [详细]

蜡笔小新 2024-12-26 16:06:09
python
Python 的 10 个开发技巧！太实用了

1.如何在运行状态查看源代码？查看函数的源代码，我们通常会使用IDE来完成。比如在PyCharm中，你可以Ctrl+鼠标点击进入函数的源代码。那如果没有IDE呢？当我们想使用一个函 ... [详细]

蜡笔小新 2024-12-27 18:36:54
range
Akka BackoffSupervisor的深入解析与实践

本文详细介绍了Akka中的BackoffSupervisor机制，探讨其在处理持久化失败和Actor重启时的应用。通过具体示例，展示了如何配置和使用BackoffSupervisor以实现更细粒度的异常处理。 ... [详细]

蜡笔小新 2024-12-27 15:04:09
main
android知识杂记（三）

andr ... [详细]

蜡笔小新 2024-12-26 13:29:32
go
深入解析JDBC源码

本文详细探讨了JDBC（Java数据库连接）的内部机制，重点分析其作为服务提供者接口（SPI）框架的应用。通过类图和代码示例，展示了JDBC如何注册驱动程序、建立数据库连接以及执行SQL查询的过程。 ... [详细]

蜡笔小新 2024-12-25 19:59:15
php
QUIC协议：快速UDP互联网连接

QUIC（Quick UDP Internet Connections）是谷歌开发的一种旨在提高网络性能和安全性的传输层协议。它基于UDP，并结合了TLS级别的安全性，提供了更高效、更可靠的互联网通信方式。 ... [详细]

蜡笔小新 2024-12-28 12:33:18
python
技术分享：从动态网站提取站点密钥的解决方案

本文探讨了如何从动态网站中提取站点密钥，特别是针对验证码（reCAPTCHA）的处理方法。通过结合Selenium和requests库，提供了详细的代码示例和优化建议。 ... [详细]

蜡笔小新 2024-12-28 04:11:47
main
新浪笔试题

1:有如下一段程序：packagea.b.c;publicclassTest{privatestaticinti0;publicintgetNext(){return ... [详细]

蜡笔小新 2024-12-27 19:32:17
main
Java并发编程：LinkedBlockingQueue的实际应用

本文介绍了Java并发库中的阻塞队列（BlockingQueue）及其典型应用场景。通过具体实例，展示了如何利用LinkedBlockingQueue实现线程间高效、安全的数据传递，并结合线程池和原子类优化性能。 ... [详细]

蜡笔小新 2024-12-27 18:51:49
metadata
数据管理权威指南：《DAMA-DMBOK2 数据管理知识体系》

本书提供了全面的数据管理职能、术语和最佳实践方法的标准行业解释，构建了数据管理的总体框架，为数据管理的发展奠定了坚实的理论基础。适合各类数据管理专业人士和相关领域的从业人员。 ... [详细]

蜡笔小新 2024-12-27 18:29:55
select
深入理解 SQL 视图、存储过程与事务

本文详细介绍了SQL中的视图、存储过程和事务的概念及应用。视图为用户提供了一种灵活的数据查询方式，存储过程则封装了复杂的SQL逻辑，而事务确保了数据库操作的完整性和一致性。 ... [详细]

蜡笔小新 2024-12-27 17:40:42
install
Linux 自动化安装脚本详解

本文介绍了一款用于自动化部署 Linux 服务的 Bash 脚本。该脚本不仅涵盖了基本的文件复制和目录创建，还处理了系统服务的配置和启动，确保在多种 Linux 发行版上都能顺利运行。 ... [详细]

蜡笔小新 2024-12-27 16:33:32
version
Java 序列化接口详解

本文深入探讨了 Java 中的 Serializable 接口，解释了其实现机制、用途及注意事项，帮助开发者更好地理解和使用序列化功能。 ... [详细]

蜡笔小新 2024-12-27 15:06:12
version
Scala 实现 UTF-8 编码属性文件读取与克隆

本文介绍如何使用 Scala 以 UTF-8 编码方式读取属性文件，并实现属性文件的克隆功能。通过这种方式，可以确保配置文件在多线程环境下的一致性和高效性。 ... [详细]

蜡笔小新 2024-12-26 08:25:19

辽宁琢一传媒

这个家伙很懒，什么也没留下！

Tags | 热门标签

RankList | 热门文章