PreparedStatement防止SQL注入

作者：辽宁琢一传媒 | 来源：互联网 | 2023-10-17 16:36

添加数据：packagecom.hyc.study03;importcom.hyc.study02.utils.JDBCUtils;importjava.sql

添加数据&＃xff1a;

package com.hyc.study03; import com.hyc.study02.utils.JDBCUtils; import java.sql.Connection; import java.sql.ResultSet; import java.util.Date; import java.sql.PreparedStatement; import java.sql.SQLException;public class TestInsert {public static void main(String[] args) {Connection connection &＃61; null;PreparedStatement preparedStatement &＃61; null;ResultSet resultSet &＃61; null;try {//3、获取数据库连接connection &＃61; JDBCUtils.getConnection();//使用&＃xff1f;占位符替代参数String sql &＃61; "INSERT INTO &＃96;users&＃96;(&＃96;id&＃96;,&＃96;NAME&＃96;,&＃96;PASSWORD&＃96;,&＃96;email&＃96;,&＃96;birthday&＃96;) " &＃43;"VALUES (?,?,?,?,?);";//4、获取执行sql的对象//预编译sql&＃xff0c;先写sql&＃xff0c;然后不执行preparedStatement &＃61; connection.prepareStatement(sql);//手动给参数赋值preparedStatement.setInt(1, 4);preparedStatement.setString(2, "hyc");preparedStatement.setString(3, "123456");preparedStatement.setString(4, "123456789&＃64;qq.com");//java.sql.Date 是数据库的Date &＃xff0c;只包含年月日信息 &＃xff0c;它是java.util.Date&＃xff08;包含年月日和时分秒信息&＃xff09;的子类preparedStatement.setDate(5, new java.sql.Date(new Date().getTime()));//5、执行sql语句//6、返回执行结果集int num &＃61; preparedStatement.executeUpdate();if (num > 0) {System.out.println("插入数据成功&＃xff01;");}} catch (SQLException throwables) {throwables.printStackTrace();} finally {//7、释放连接JDBCUtils.release(connection, preparedStatement, resultSet);}} }

删除数据&＃xff1a;

package com.hyc.study03;import com.hyc.study02.utils.JDBCUtils;import java.sql.Connection; import java.sql.PreparedStatement; import java.sql.ResultSet; import java.sql.SQLException;public class TestDelete {public static void main(String[] args) {Connection connection &＃61; null;PreparedStatement preparedStatement &＃61; null;ResultSet resultSet &＃61; null;try {//3、获取数据库连接connection &＃61; JDBCUtils.getConnection();//使用&＃xff1f;占位符替代参数String sql &＃61; "DELETE FROM &＃96;users&＃96; WHERE id&＃61;?";//4、获取执行sql的对象//预编译preparedStatement &＃61; connection.prepareStatement(sql);//手动给参数赋值preparedStatement.setInt(1, 4);//5、执行sql语句//6、返回执行结果集int num &＃61; preparedStatement.executeUpdate();if (num > 0) {System.out.println("删除数据成功&＃xff01;");}} catch (SQLException throwables) {throwables.printStackTrace();} finally {//7、释放连接JDBCUtils.release(connection, preparedStatement, resultSet);}} }

修改数据&＃xff1a;

package com.hyc.study03; import com.hyc.study02.utils.JDBCUtils; import java.sql.Connection; import java.sql.PreparedStatement; import java.sql.ResultSet; import java.sql.SQLException;public class TestUpdate {public static void main(String[] args) {Connection connection &＃61; null;PreparedStatement preparedStatement &＃61; null;ResultSet resultSet &＃61; null;try {//3、获取数据库连接connection &＃61; JDBCUtils.getConnection();//使用&＃xff1f;占位符替代参数String sql &＃61; "UPDATE &＃96;users&＃96; SET &＃96;NAME&＃96;&＃61;?,&＃96;email&＃96;&＃61;? WHERE &＃96;id&＃96;&＃61;?";//4、获取执行sql的对象//预编译preparedStatement &＃61; connection.prepareStatement(sql);//手动给参数赋值preparedStatement.setString(1, "zhangsan");preparedStatement.setString(2, "zhangsan&＃64;sina.com");preparedStatement.setInt(3, 1);//5、执行sql语句//6、返回执行结果集int num &＃61; preparedStatement.executeUpdate();if (num > 0) {System.out.println("更新数据成功&＃xff01;");}} catch (SQLException throwables) {throwables.printStackTrace();} finally {//7、释放连接JDBCUtils.release(connection, preparedStatement, resultSet);}} }

查询数据&＃xff1a;

package com.hyc.study03; import com.hyc.study02.utils.JDBCUtils; import java.sql.Connection; import java.sql.PreparedStatement; import java.sql.ResultSet; import java.sql.SQLException;public class TestSelect {public static void main(String[] args) {Connection connection &＃61; null;PreparedStatement preparedStatement &＃61; null;ResultSet resultSet &＃61; null;try {//3、获取数据库连接connection &＃61; JDBCUtils.getConnection();//使用&＃xff1f;占位符替代参数String sql &＃61; "SELECT * FROM &＃96;users&＃96; WHERE id&＃61;?";//4、获取执行sql的对象//预编译preparedStatement &＃61; connection.prepareStatement(sql);//手动给参数赋值preparedStatement.setInt(1, 1);//5、执行sql语句//6、返回执行结果集resultSet &＃61; preparedStatement.executeQuery();while (resultSet.next()) {System.out.println(resultSet.getString("NAME"));}} catch (SQLException throwables) {throwables.printStackTrace();} finally {//7、释放连接JDBCUtils.release(connection, preparedStatement, resultSet);}} }

PreparedStatement防止SQL注入&＃xff1a;
PreparedStatement防止SQL注入的本质是将传递进来的参数当做字符&＃xff08;想当于给传进来的参数包装成一个新的字符串&＃xff09;&＃xff0c;如果其中存在转义字符&＃xff0c;例如 ‘ 会被直接转义。这样能够避免字符串拼接成非法的sql语句&＃xff0c;造成数据泄露。

package com.hyc.study03; import com.hyc.study02.utils.JDBCUtils; import java.sql.*;public class PourIntoSql {public static void main(String[] args) {login("&＃39;&＃39; or &＃39;1&＃61;1", "123456");}public static void login(String username, String psw) {Connection connection &＃61; null;PreparedStatement preparedStatement &＃61; null;ResultSet resultSet &＃61; null;try {connection &＃61; JDBCUtils.getConnection();String sql &＃61; "SELECT * FROM &＃96;users&＃96; WHERE &＃96;NAME&＃96;&＃61;? AND &＃96;PASSWORD&＃96;&＃61;?";preparedStatement &＃61; connection.prepareStatement(sql);preparedStatement.setString(1, username);preparedStatement.setString(2, psw);resultSet &＃61; preparedStatement.executeQuery();while (resultSet.next()) {System.out.println(resultSet.getString("NAME"));System.out.println("&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;");}} catch (SQLException throwables) {throwables.printStackTrace();} finally {JDBCUtils.release(connection, preparedStatement, resultSet);}} }

结果&＃xff1a;
在这里插入图片描述
在PreparedStatement的作用下&＃xff0c;再尝试通过字符串拼接达到SQL注入的目的无法实现。

推荐阅读

select
提升Android开发效率：Clean Code的最佳实践与应用

在Android开发中，提高代码质量和开发效率是至关重要的。本文介绍了如何通过Clean Code的最佳实践来优化Android应用的开发流程。以SQLite数据库操作为例，详细探讨了如何编写高效、可维护的SQL查询语句，并将其结果封装为Java对象。通过遵循这些最佳实践，开发者可以显著提升代码的可读性和可维护性，从而加快开发速度并减少错误。 ... [详细]

蜡笔小新 2024-11-07 16:41:50
select
SQLite数据库CRUD操作实例分析与应用

本文通过分析和实例演示了SQLite数据库中的CRUD（创建、读取、更新和删除）操作，详细介绍了如何在Java环境中使用Person实体类进行数据库操作。文章首先阐述了SQLite数据库的基本概念及其在移动应用开发中的重要性，然后通过具体的代码示例，逐步展示了如何实现对Person实体类的增删改查功能。此外，还讨论了常见错误及其解决方法，为开发者提供了实用的参考和指导。 ... [详细]

蜡笔小新 2024-11-05 16:56:48
select
Spring框架中的面向切面编程（AOP）技术详解

面向切面编程（AOP）是Spring框架中的关键技术之一，它通过将横切关注点从业务逻辑中分离出来，实现了代码的模块化和重用。AOP的核心思想是将程序运行过程中需要多次处理的功能（如日志记录、事务管理等）封装成独立的模块，即切面，并在特定的连接点（如方法调用）动态地应用这些切面。这种方式不仅提高了代码的可维护性和可读性，还简化了业务逻辑的实现。Spring AOP利用代理机制，在不修改原有代码的基础上，实现了对目标对象的增强。 ... [详细]

蜡笔小新 2024-11-04 17:23:10
select
如何有效防御网站中的SQL注入攻击

本期文章将深入探讨网站如何有效防御SQL注入攻击。我们将从技术层面详细解析防范措施，并结合实际案例进行阐述，旨在帮助读者全面了解并掌握有效的防护策略。希望本文能为您的网络安全提供有益参考。 ... [详细]

蜡笔小新 2024-11-08 11:09:59
select
掌握Spring框架前不可或缺的事务管理知识（第四部分）

在深入掌握Spring框架的事务管理之前，了解其背后的数据库事务基础至关重要。Spring的事务管理功能虽然强大且灵活，但其核心依赖于数据库自身的事务处理机制。因此，熟悉数据库事务的基本概念和特性是必不可少的。这包括事务的ACID属性、隔离级别以及常见的事务管理策略等。通过这些基础知识的学习，可以更好地理解和应用Spring中的事务管理配置。 ... [详细]

蜡笔小新 2024-11-07 19:31:36
select
如何在C#中通过选择ComboBox项从MySQL数据库中检索数据值

本文探讨了如何在C#应用程序中通过选择ComboBox项从MySQL数据库中检索数据值。具体介绍了在事件处理方法 `comboBox2_SelectedIndexChanged` 中可能出现的常见错误，并提供了详细的解决方案和优化建议，以确保数据能够正确且高效地从数据库中读取并显示在界面上。此外，还讨论了连接字符串的配置、SQL查询语句的编写以及异常处理的最佳实践，帮助开发者避免常见的陷阱并提高代码的健壮性。 ... [详细]

蜡笔小新 2024-11-07 19:18:29
string
详解Android连接MySQL数据库的操作流程及技术要点

在Android应用开发中，实现与MySQL数据库的连接是一项重要的技术任务。本文详细介绍了Android连接MySQL数据库的操作流程和技术要点。首先，Android平台提供了SQLiteOpenHelper类作为数据库辅助工具，用于创建或打开数据库。开发者可以通过继承并扩展该类，实现对数据库的初始化和版本管理。此外，文章还探讨了使用第三方库如Retrofit或Volley进行网络请求，以及如何通过JSON格式交换数据，确保与MySQL服务器的高效通信。 ... [详细]

蜡笔小新 2024-11-07 19:11:13
select
Java分层设计模式：详解与应用

在Java分层设计模式中，典型的三层架构（3-tier application）将业务应用细分为表现层（UI）、业务逻辑层（BLL）和数据访问层（DAL）。这种分层结构不仅有助于提高代码的可维护性和可扩展性，还能有效分离关注点，使各层职责更加明确。通过合理的设计和实现，三层架构能够显著提升系统的整体性能和稳定性。 ... [详细]

蜡笔小新 2024-11-07 17:14:51
select
Python 数据库操作指南：MySQL 与 Redis 实战技巧

本文详细介绍了使用 Python 进行 MySQL 和 Redis 数据库操作的实战技巧。首先，针对 MySQL 数据库，通过 `pymysql` 模块展示了如何连接和操作数据库，包括建立连接、执行查询和更新等常见操作。接着，文章深入探讨了 Redis 的基本命令和高级功能，如键值存储、列表操作和事务处理。此外，还提供了多个实际案例，帮助读者更好地理解和应用这些技术。 ... [详细]

蜡笔小新 2024-11-07 12:55:01
select
Java开发人员为何需要深入了解数据库锁定机制及其重要性

在计算机领域，锁机制的作用类似于现实生活中的锁，用于保护共享资源免受并发访问冲突的影响。对于Java开发人员而言，深入了解数据库锁定机制至关重要，因为这不仅能够确保数据的一致性和完整性，还能有效提升系统的性能和稳定性。常见的锁机制包括Java中的`Lock`和`synchronized`关键字，它们在多线程环境中发挥着关键作用，帮助开发人员更好地管理和控制资源访问。 ... [详细]

蜡笔小新 2024-11-05 18:55:22
select
利用树莓派畅享落网电台音乐体验

最近重新拾起了闲置已久的树莓派，这台小巧的开发板已经沉寂了半年多。上个月闲暇时间较多，我决定将其重新启用。恰逢落网电台进行了改版，回忆起之前在树莓派论坛上看到有人用它来播放豆瓣音乐，便萌生了同样的想法。通过一番调试，终于实现了在树莓派上流畅播放落网电台音乐的功能，带来了全新的音乐享受体验。 ... [详细]

蜡笔小新 2024-11-05 09:20:37
string
基于POI的Java Maven项目中实现Excel数据的高效导入与导出功能

本项目在Java Maven框架下，利用POI库实现了Excel数据的高效导入与导出功能。通过优化数据处理流程，提升了数据操作的性能和稳定性。项目已发布至GitHub，当前最新版本为0.0.5。该项目不仅适用于小型应用，也可扩展用于大型企业级系统，提供了灵活的数据管理解决方案。GitHub地址：https://github.com/83945105/holygrail，Maven坐标：`com.github.83945105:holygrail:0.0.5`。 ... [详细]

蜡笔小新 2024-10-31 18:52:27
select
深入解析：MySQL中MyISAM与InnoDB存储引擎的关键差异与应用场景

MyISAM和InnoDB是MySQL中最为广泛使用的两种存储引擎，每种引擎都有其独特的优势和适用场景。MyISAM引擎以其简单的结构和高效的读取速度著称，适用于以读操作为主、对事务支持要求不高的应用。而InnoDB引擎则以其强大的事务处理能力和行级锁定机制，在需要高并发写操作和数据完整性的场景下表现出色。选择合适的存储引擎应综合考虑业务需求、性能要求和数据一致性等因素。 ... [详细]

蜡笔小新 2024-11-08 08:35:51
web
实现Nginx对ThinkPHP URL重写及PATHINFO支持的详细方法解析【PHP开发】

在PHP后端开发中，实现Nginx对ThinkPHP的URL重写及PATHINFO支持是一项常见的需求。本文详细解析了经过多次尝试和研究，最终找到的一种有效配置方法，能够确保URL_MODERewrite功能正常运行，并提供稳定的服务。此外，文章还探讨了相关配置项的具体作用及其优化建议，帮助开发者更好地理解和应用这些技术。 ... [详细]

蜡笔小新 2024-11-04 13:40:07
select
探索阿里云RDS中MySQL的高效压缩存储引擎TokuDB应用

在过去，我曾使用过自建MySQL服务器中的MyISAM和InnoDB存储引擎（也曾尝试过Memory引擎）。今年初，我开始转向阿里云的关系型数据库服务，并深入研究了其高效的压缩存储引擎TokuDB。TokuDB在数据压缩和处理大规模数据集方面表现出色，显著提升了存储效率和查询性能。通过实际应用，我发现TokuDB不仅能够有效减少存储成本，还能显著提高数据处理速度，特别适用于高并发和大数据量的场景。 ... [详细]

蜡笔小新 2024-11-04 11:36:52

辽宁琢一传媒

这个家伙很懒，什么也没留下！

Tags | 热门标签

RankList | 热门文章