5单个编译总会编译全部_JDBC【5】 JDBC预编译和拼接Sql对比

  • 在jdbc中,有三种方式执行sql,分别是使用Statement(sql拼接),PreparedStatement(预编译),还有一种CallableStatement(存储过程),在这里我就不介绍CallableStatement了,我们来看看StatementPreparedStatement的区别。
1. 创建数据库,数据表

数据库名字是test,数据表的名字是student,里面有四个字段,一个是id,也就是主键(自动递增),还有名字,年龄,成绩。最后先使用sql语句插入六个测试记录。

CREATE DATABASE `test` DEFAULT CHARACTER SET utf8 COLLATE utf8_general_ci;
CREATE TABLE `student` ( `id` INT NOT NULL AUTO_INCREMENT , `name` VARCHAR(20) NOT NULL ,
`age` INT NOT NULL , `score` DOUBLE NOT NULL , PRIMARY KEY (`id`)) ENGINE = MyISAM;
INSERT INTO `student` VALUES (1, '小红', 26, 83);
INSERT INTO `student` VALUES (2, '小白', 23, 93);
INSERT INTO `student` VALUES (3, '小明', 34, 45);
INSERT INTO `student` VALUES (4, '张三', 12, 78);
INSERT INTO `student` VALUES (5, '李四', 33, 96);
INSERT INTO `student` VALUES (6, '魏红', 23, 46);

建立对应的学生类:

/**
 * student类,字段包括id,name,age,score
 * 实现无参构造,带参构造,toString方法,以及get,set方法
 * @author 秦怀
 */
public class Student {
 private int id;
 private String name;
 private int age;
 private double score;
 
 public Student() {
  super();
  // TODO Auto-generated constructor stub
 }
 public Student(String name, int age, double score) {
  super();
  this.name = name;
  this.age = age;
  this.score = score;
 }
 public int getId() {
  return id;
 }
 public void setId(int id) {
  this.id = id;
 }
 public String getName() {
  return name;
 }
 public void setName(String name) {
  this.name = name;
 }
 public int getAge() {
  return age;
 }
 public void setAge(int age) {
  this.age = age;
 }
 public double getScore() {
  return score;
 }
 public void setScore(double score) {
  this.score = score;
 }
 @Override
 public String toString() {
  return "Student [id=" + id + ", name=" + name + ", age=" + age
    + ", score=" + score + "]";
 }
 
}

2.测试代码

先来看代码,下面是获取数据库连接的工具类 DBUtil.class

public class DBUtil {
 private static String URL="jdbc:mysql://127.0.0.1:3306/test";
 private static String USER="root";
 private static String PASSWROD ="123456";
 private static Connection connection=null;
 static{
  try {
   Class.forName("com.mysql.jdbc.Driver");
   // 获取数据库连接
   connection=DriverManager.getConnection(URL,USER,PASSWROD);
   System.out.println("连接成功");
  } catch (ClassNotFoundException e) {
   // TODO Auto-generated catch block
   e.printStackTrace();
  } catch (SQLException e) {
   // TODO Auto-generated catch block
   e.printStackTrace();
  }
 }
 // 返回数据库连接
 public static Connection getConnection(){
  return connection;
 }
}

下面是根据id查询学生信息的代码片段,返回student对象就能输出了:

 public Student selectStudentByStatement(int id){
     // 拼接sql语句
  String sql ="select * from student where id = "+id;
  try {
      // 获取statement对象
   Statement statement = DBUtil.getConnection().createStatement();
   // 执行sql语句,返回 ResultSet
   ResultSet resultSet = statement.executeQuery(sql);
   Student student = new Student();
   // 一条也只能使用resultset来接收
   while(resultSet.next()){
    student.setId(resultSet.getInt("id"));
    student.setName(resultSet.getString("name"));
    student.setAge(resultSet.getInt("age"));
    student.setScore(resultSet.getDouble("score"));
   }
   return student;
  } catch (SQLException e) {
   // TODO: handle exception
  }
  return null;
 }

我们可以看到整个流程是:

  • 先获取到数据库的连接Class.forName("com.mysql.jdbc.Driver"); connection=DriverManager.getConnection(URL,USER,PASSWROD);
  • 获取到连接之后通过连接获取statement对象,通过statement来执行sql语句,返回resultset这个结果集,Statement statement = DBUtil.getConnection().createStatement();ResultSet resultSet = statement.executeQuery(sql);
  • 值得注意的是,上面的sql是已经拼接好,写固定了的sql,所以很容易被注入,比如这句:
sql = "select * from user where name= '" + name + "' and password= '" + password+"'";

如果有人的name故意传入很奇怪的字符串:

  • name = "name' or '1'= '1"
  • password = "password' or '1'='1",那么整个语句就会变成:
sql = "select * from user where name= 'name' or '1'='1' and password= 'password' or '1'='1'";

那么就会返回所有的信息,所以这是很危险的。还有更加危险的,是在后面加上删除表数据的操作,不过一般我们都不会把这些权限开放的。

// 如果password = " ';drop table user;select * from user where '1'= '1"
// 后面一句不会执行,但是这已经可以删除表格了
sql = "select * from user where name= 'name' or '1'='1' and password= '' ;drop table user;select * from user where '1'= '1'";

所以预编译显得尤为重要了。

3.PreparedStatement预编译

我们先来看看预编译的代码:

 // 根据id查询学生
 public Student selectStudent(int id){
  String sql ="select * from student where id =?";
  try {
   PreparedStatement preparedStatement = DBUtil.getConnection()..prepareStatement(sql);
   preparedStatement.setInt(1, id);
   ResultSet resultSet = preparedStatement.executeQuery();
   Student student = new Student();
   // 一条也只能使用resultset来接收
   while(resultSet.next()){
    student.setId(resultSet.getInt("id"));
    student.setName(resultSet.getString("name"));
    student.setAge(resultSet.getInt("age"));
    student.setScore(resultSet.getDouble("score"));
   }
   return student;
  } catch (SQLException e) {
   // TODO: handle exception
  }
  return null;
 }

预编译也是同样需要获取到数据库连接对象connection,但是sql语句拼接的时候使用了占位符 ,将含有占位符的sql当参数传进去,获取到PreparedStatement预编译的对象,最后是通过set来绑定参数,然后再去使用execute执行预编译过的代码。这样就避免了sql注入的问题,同时,由于sql已经编译过缓存q起来,所以执行起来不用再编译,速度就会比较快。

4.为什么预编译可以防止sql注入
  • 在使用占位符,或者说参数的时候,数据库已经将sql指令编译过,那么查询的格式已经订好了,也就是我们说的我已经明白你要做什么了,你要是将不合法的参数传进去,会有合法性检查,用户只需要提供参数给我,参数不会当成指令部分来执行,也就是预编译已经把指令以及参数部分区分开,参数部分不允许传指令进来。这样的好处查询速度提高,因为有了预编译缓存,方便维护,可读性增强,不会有很多单引号双引号,容易出错,防止大部分的sql注入,因为参数和sql指令部分数据库系统已经区分开。百度文库里面提到:传递给PreparedStatement对象的参数可以被强制进行类型转换,使开发人员可以确保在插入或查询数据时与底层的数据库格式匹配。要是理解不透彻可以这么来理解:
select * from student where name= ?

预编译的时候是先把这句话编译了,生成sql模板,相当于生成了一个我知道你要查名字了,你把名字传给我,你现在想耍点小聪明,把字符串'Jame' or '1=1'传进去,你以为他会变成下面这样么:

select * from student where name= 'Jame' or '1=1'

放心吧,不可能的,这辈子都不可能的啦,数据库都知道你要干嘛了,我不是有sql模板了么,数据库的心里想的是我叫你传名字给我,行,这名字有点长,想害我,可以,我帮你找,那么数据库去名字这一字段帮你找一个叫'Jame' or '1=1'的人,他心里想这人真逗,没有这个人,没有!!!而不会将你的语句执行,预编译大概就是提前知道了你大概是需要干什么?最后你只需要将参数传递过来,参数的地方是个占位符,而不会把参数解析成为具有语义的语句。

我理解的,这也就是为什么预编译可以防止sql注入的解释了,它是经过了解释器解释过的,解释的过程我就不啰嗦了,只要是对参数做转义,转义之后让它在拼接时只能表示字符串,不能变成查询语句。

此文章仅代表自己(本菜鸟)学习积累记录,或者学习笔记,如有侵权,请联系作者删除。人无完人,文章也一样,文笔稚嫩,在下不才,勿喷,如果有错误之处,还望指出,感激不尽~

技术之路不在一时,山高水长,纵使缓慢,驰而不息。

公众号:秦怀杂货店

8dfe9064253ad82d64f7b3987108eceb.png

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/566532.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

web html介绍笔记,WEB 之 HTML 系列笔记

WEB简介及浏览器内核网页主要由文字、图像和超链接等元素构成。当然,除了这些元素,网页中还可以包含音频、视频以及Flash等。浏览器的内核负责读取网页内容, 整理讯息, 计算网页的显示方式并显示页面。浏览器内核备注IETridentIE、猎豹安全、360极速浏览…

计算机怎样旋转桌面,win7电脑怎么设置翻转屏幕

在深度win7之中使用投影仪或者是一些外置视频输出设备的时候,用户可能会有翻转屏幕的需求。那么大家知道win7电脑怎么设置翻转屏幕吗?今天学习啦小编与大家分享下win7电脑设置翻转屏幕的具体操作步骤,有需要的朋友不妨了解下。win7电脑设置翻转屏幕方法…

从入门到精通 pdf_【推荐】铅笔素描从入门到精通pdf|素描基础教程电子书下载!...

铅笔素描从入门到精通pdf|素描基础教程电子书下载!铅笔素描从入门到精通pdf|素描基础教程电子书下载!铅笔素描从入门到精通pdf|素描基础教程电子书下载!如果你的基础太薄弱,不建议自己瞎摸索,你可以关注一下公众号&…

计算机科学和软件工程区别,计算机科学和软件工程的区别

澳洲热门 IT 计算机专业,许多学校对于专业也有不同的细分以及课程安排。今天就来单独解析下 computer science 计算机科学或 Software Engineering 软件工程,两个专业的区别 ?Computer Science 侧重于计算机的基础,包括算法,计算…

参数估计_状态估计的基本概念(1)参数估计问题

(1)参数估计问题定义如果一个系统的参数随时间而改变,那么称它为“时变的参数”;如果系统的参数不随时间而改变,那么称它为“时不变的参数”。对参数 (时不变)的估计问题定义如下:其…

郑州财税金融职业学院的计算机考试,郑州财税金融职业学院考试流程

考试是教学过程中的一个重要环节,为了考试工作的顺利进行,考试的考务管理、流程及组织工作至关重要。课程考核方式由学期末教务处发布新学期教学工作安排,确定教学计划及下学期课程考核方式。一、命题1.命题工作由院系部主任负责组织。凡建立…

python井字棋游戏人机对战_用Python做一个井字棋小游戏

井字棋是一个经典的小游戏,在九宫格上玩家轮流画OXO,当每列或每行或是两个对角成一线时便是获胜。今天就用Python编写一个井字棋小游戏,与电脑对战。程序执行画面如下图所示:程序提供了两种人工智能选择,一个是强人工智能另一个是…

计算机管理内默认共享,关于Windows的默认共享介绍

C:\Documents and Settings\Administrator>net share ?此命令的语法是:NET SHAREsharenamesharenamedrive:path [/GRANT:user,[READ | CHANGE | FULL]][/USERS:number | /UNLIMITED][/REMARK:"text"][/CACHE:Manual | Documents| Programs | BranchCache | None]…

中绘制折线_漂亮图表也可信手拈来,一文学会用Python绘制堆积折线图

今天咱们还是接着上次的话题,继续和大家聊聊关于Python绘图相关的东东哦,上次已经和大家讨论完了如何给自己所绘制的图表中添加装饰线以及修改装饰线密度的方法,今天呢,咱们再聊点的新的东东哦,还是和大家继续深耕Pyth…

计算机病毒的危害主要体现于对计算机系统的信息破坏和,2014年中央电大专科信息技术应用理论题.doc...

一村一《信息技术应用》复习资料(注:仅提供理论题30分,操作题请大家按照下发的自测光盘综合练习多做多练,考试范围难度差不多)第1套一、单选题1.某单位的人事档案管理程序属于(应用软件)2.微机的核心部件是(微处理器 )3.内存储器根据工作方式的不同可以分…

seo vue 动态路由_VUE项目SEO问题的解决

1. SEOSEO(搜索引擎优化):搜索引擎优化的中文翻译。使用搜索引擎的规则来提高网站的自然排名相关的搜索引擎。当一个网络爬虫抓取网页的内容,它需要分析的内容页面。要点如下:阅读内容的关键字和描述元标签。抓取和分析基于语义html标记的内容。的影响一个网站,作为一个整体使用…

计算机电缆对绞节距,DJYPVP阻燃计算机电缆32/0.2芯数直径

电缆敷设在既有正压力作用又有拉力作用的场合(如水中、垂直竖井或落差较大的土壤中),应选用具有内钢丝铠装的结构型。外护套外护套是保护电线电缆的绝缘层防止环境因素侵蚀的结构部分。外护套的主要作用是提高电线电缆的机械强度、防化学腐蚀、防潮、防水浸人、阻止…

php 监听端口数据客户端ip_PHP做端口监听示例代码

1,PHP端口监听之服务器端复制代码 代码示例:// Server// 设置错误处理error_reporting(E_ALL);// 设置运行时间set_time_limit(0);// 起用缓冲ob_implicit_flush();$ip "127.0.0.1"; // IP地址$port 1000; // 端口号$socket socket_create(AF_INET, SO…

软件测试条件组合覆盖三角形,软件测试三角形问题(覆盖测试)

软件测试三角形问题(覆盖测试) (9页)本资源提供全文预览,点击全文预览即可全文预览,如果喜欢文档就下载吧,查找使用更方便哦!9.9 积分成绩辽宁工程技术大学上机实验报吿课程名称软件测试与评估实验题目基于覆盖测试技术院系软件学院专业软件工…

flog和flag_FLAG:写作,英语和持续学习

新年计划一:日更千字只差一个月就可以完成日更100字的任务了。日更百字对我来说已经不再是一种负担和任务,而是每天碎碎念的日记,解压的方式。但是我知道这些碎碎念的日记本质上是没有用的。既没有信息增量,也没有变现价值&#x…

设备dp信号测试软件,DP信号完整性测试,信号质量测试

DP信号完整性测试,信号质量测试在视频和音频内容通过DP link发送并显示在显示屏上之前,在DPsource和sink(可能还有分支装置)之间已经进行了大量通信。DP主数据Link中的多媒体内容传输与数据link的类似程度高于DVI或HDMI。另外连接之前的握手也比纯插件要…

软件测试报告费计什么科目,软件记什么会计科目

1软件记什么 会计 科目会计学的研究对象包括会计的所有方面,如会计的性质、对象、职能、任务、方法、程序、组织,制度、技术等。会计学用自己特有的概念和理论,概括和总结它的研究对象。接下来小编就告诉你软件记什么会计科目。根据《企业会计…

php mysql 统计_PHP和MySQL实现优化统计每天数据

在互联网项目中,对项目的数据分析必不可少。通常会统计某一段时间内每天数据总计变化趋势调整营销策略。下面来看以下案例。案例在电商平台中通常会有订单表,记录所有订单信息。现在我们需要统计某个月份每天订单数及销售金额数据从而绘制出如下统计图&a…

专科计算机专业能报考南方电网,大学毕业想进国家电网?3大条件不可或缺!专科生也有报考机会...

国家电网是许多学子心目中理想的工作,每年的毕业季都有国家电网进入校园招聘。同时每年报考国家电网的人数大概在40万左右,今天,小编就来带大家盘点一下,报考国家电网需要满足哪些条件,方便大四学生对照要求&#xff0…

计算机中丢失了ll是什么意思,丢失了ntoskrnl.exe和hal.ll

满意答案hal.dll丢失、损坏、找不到等情况的解决办法1.尝试使用windows光盘启动,按提示选择修复,再选择启动到故障恢复控制台,输入管理员口令,一部分用户安装时并没有输入管理员口令,可以直接按回车通过。当系统成功的…