1. 引入 PreparedStatement

PreparedStatement 通过 Connection.createPreparedStatement(String sql) 方法创建,主要用来反复执行一条结构相似的 SQL 语句。

例如:

INSERT INTO STUDENT (STUDENT_NAME, STUDENT_PASSWORD) VALUES ('van Nistelrooy', '666666');

INSERT INTO STUDENT (STUDENT_NAME, STUDENT_PASSWORD) VALUES ('van der Sar', '777777');

这两条 SQL 语句,除了插入的值不同,其他的基本语法没有任何区别。

针对这种情况,可以使用占位符 ?来代替:

INSERT INTO STUDENT (STUDENT_NAME, STUDENT_PASSWORD) VALUES (?, ?);

Statement 是不允许使用 ? 占位符的,而且这个占位符需要获得值之后才能够执行。PreparedStatement 就是针对这种场景才引入进来的。

PreparedStatement 是 Statement 的子接口,它支持以下4种执行 SQL 的方式:

  • execute()
  • executeUpdate()
  • executeQuery()
  • executeLargeUpdate()

同时,PreparedStatement 提供了一系列的 setXxx(int index, Xxx value) 来支持对于 ? 占位符的替换。Xxx 是占位符的数据类型。

如果不确定数据类型,可以通过 setObject() 方法来传入数据。

2. Demo

这里贴一个自己写的例子:

package com.gerrard.demo;

import com.gerrard.entity.Student;

import com.gerrard.util.Connector;

import com.gerrard.util.DriverLoader;

import java.sql.Connection;

import java.sql.PreparedStatement;

import java.sql.SQLException;

import java.util.ArrayList;

import java.util.Arrays;

import java.util.List;

public final class PreparedStatementDemo {

    public static void main(String[] args) {

        String sql = "INSERT INTO STUDENT (STUDENT_NAME, STUDENT_PASSWORD) VALUES (?, ?)";

        Student student1 = new Student(0, "van Nistelrooy", "666666");

        Student student2 = new Student(0, "van der Sar", "777777");

        List<Student> studentList = new ArrayList<>(Arrays.asList(student1, student2));

        DriverLoader.loadSqliteDriver();

        try (Connection conn = Connector.getSqlConnection();

             PreparedStatement pstmt = conn.prepareStatement(sql)) {

            for (Student student : studentList) {

                pstmt.setString(1, student.getName());

                pstmt.setObject(2, student.getPassword());

                pstmt.executeUpdate();

            }

            System.out.println("Successfully executeUpdate using PreparedStatement.");

        } catch (SQLException e) {

            e.printStackTrace();

        }

    }

}

3. PreparedStatement 的优势

PreparedStatement 的优势主要有以下3点:

  • 通过预编译 SQL 语句的方式(即创建 PreparedStatement 的时候,就将 SQL语句传递进去),大大降低了多次执行相似的 SQL 语句的效率。
  • 需要传递参数的时候,无需拼接 SQL 语句,降低了编程的复杂度。
  • 防止 SQL 注入。

4. SQL 注入

SQL 注入是一个常见的 Cracker 入侵方式,利用 SQL 语句的漏洞来入侵。

那么怎么去理解 PrepareStatement 能够防止 SQL 注入呢?

实际上,这是不使用 SQL 字符串拼接的副产品。

现在假设,有一个 GUI 界面,需要输入用户名和密码来登录。

在后台,我提供了一个登陆服务:

public interface StudentLoginService {

    Student login(String id, String password);

}

那么现在,我用 Statement 去实现这个服务:(有些自定义的类,详情见 JDBC 学习笔记(十)—— 使用 JDBC 搭建一个简易的 ORM 框架

package com.gerrard.service;

import com.gerrard.entity.Student;

import com.gerrard.executor.SqlExecutorStatement;

import com.gerrard.orm.FlexibleResultSetAdapter;

import com.gerrard.orm.ResultSetAdapter;

import java.util.List;

public final class StatementLoginService implements StudentLoginService {

    private static final String VALIDATE_SQL = "select * from STUDENT s where s.[STUDENT_ID] = ? and s.[STUDENT_PASSWORD] = ?";

    @Override

    public Student login(String id, String password) {

        ResultSetAdapter<Student> adapter = new FlexibleResultSetAdapter<>(Student.class);

        SqlExecutorStatement<Student> executor = new SqlExecutorStatement<>(adapter);

        String sql = VALIDATE_SQL.replaceFirst("\\?", id).replaceFirst("\\?", "'" + password + "'");

        List<Student> list = executor.executeQuery(sql);

        return list.isEmpty() ? null : list.get(0);

    }

}

这样写代码,看似没有问题,但是实际上有个致命的缺陷。

假设有人猜测到了这个登陆服务是用 Statement 实现的,那么他在密码一栏可以输入:

' or 1=1 or '

这样,整句 SQL 就变成了:

select * from STUDENT s where s.[STUDENT_ID] = 1 and s.[STUDENT_PASSWORD] = '' or 1=1 or ''

显然,所有的 Student 都被查到了,登陆成功。

但是,使用 PreparedStatement 就没有这种问题,Cracker 输入会被拒绝登陆:

package com.gerrard.service;

import com.gerrard.entity.Student;

import com.gerrard.executor.SqlExecutorPreparedStatement;

import com.gerrard.orm.FlexibleResultSetAdapter;

import com.gerrard.orm.ResultSetAdapter;

import java.util.Arrays;

import java.util.LinkedList;

import java.util.List;

public final class PreparedStatementLoginService implements StudentLoginService {

    private static final String VALIDATE_SQL = "select * from STUDENT s where s.[STUDENT_ID] = ? and s.[STUDENT_PASSWORD] = ?";

    @Override

    public Student login(String id, String password) {

        List<Object> params = new LinkedList<>(Arrays.asList(id, password));

        ResultSetAdapter<Student> adapter = new FlexibleResultSetAdapter<>(Student.class);

        SqlExecutorPreparedStatement<Student> executor = new SqlExecutorPreparedStatement<>(adapter, params);

        List<Student> list = executor.executeQuery(VALIDATE_SQL);

        return list.isEmpty() ? null : list.get(0);

    }

}

最后贴一下实验代码和输出:

package com.gerrard.demo;

import com.gerrard.entity.Student;

import com.gerrard.service.PreparedStatementLoginService;

import com.gerrard.service.StatementLoginService;

import com.gerrard.service.StudentLoginService;

public final class InjectCase {

    public static void main(String[] args) {

        String id1 = "6";

        String pass1 = "123456";

        String id2 = "6";

        String pass2 = "' or 1=1 or '";

        // case 1, normal login with Statement

        StudentLoginService service1 = new StatementLoginService();

        Student student1 = service1.login(id1, pass1);

        if (student1 == null) {

            System.out.println("Login failure.");

        } else {

            System.out.println("Student [" + student1.getName() + "] login success.");

        }

        // case 2, cracker login with PreparedStatement

        StudentLoginService service2 = new StatementLoginService();

        Student student2 = service2.login(id2, pass2);

        if (student2 == null) {

            System.out.println("Login failure.");

        } else {

            System.out.println("Student [" + student2.getName() + "] login success.");

        }

        // case 3, normal login with Statement

        StudentLoginService service3 = new PreparedStatementLoginService();

        Student student3 = service3.login(id1, pass1);

        if (student3 == null) {

            System.out.println("Login failure.");

        } else {

            System.out.println("Student [" + student3.getName() + "] login success.");

        }

        // case 4, cracker login with PreparedStatement

        StudentLoginService service4 = new PreparedStatementLoginService();

        Student student4 = service4.login(id2, pass2);

        if (student4 == null) {

            System.out.println("Login failure.");

        } else {

            System.out.println("Student [" + student4.getName() + "] login success.");

        }

    }

}

JDBC 学习笔记(六)—— PreparedStatement的更多相关文章

  1. JDBC学习笔记(4)——PreparedStatement的使用

    PreparedStatement public interface PreparedStatement extends Statement;可以看到PreparedStatement是Stateme ...

  2. 【转】JDBC学习笔记(4)——PreparedStatement的使用

    转自:http://www.cnblogs.com/ysw-go/ PreparedStatement public interface PreparedStatement extends State ...

  3. JDBC 学习笔记(十)—— 使用 JDBC 搭建一个简易的 ORM 框架

    1. 数据映射 当我们获取到 ResultSet 之后,显然这个不是我们想要的数据结构. 数据库中的每一个表,在 Java 代码中,一定会有一个类与之对应,例如: package com.gerrar ...

  4. JDBC学习笔记二

    JDBC学习笔记二 4.execute()方法执行SQL语句 execute几乎可以执行任何SQL语句,当execute执行过SQL语句之后会返回一个布尔类型的值,代表是否返回了ResultSet对象 ...

  5. JDBC学习笔记一

    JDBC学习笔记一 JDBC全称 Java Database Connectivity,即数据库连接,它是一种可以执行SQL语句的Java API. ODBC全称 Open Database Conn ...

  6. java之jvm学习笔记六-十二(实践写自己的安全管理器)(jar包的代码认证和签名) (实践对jar包的代码签名) (策略文件)(策略和保护域) (访问控制器) (访问控制器的栈校验机制) (jvm基本结构)

    java之jvm学习笔记六(实践写自己的安全管理器) 安全管理器SecurityManager里设计的内容实在是非常的庞大,它的核心方法就是checkPerssiom这个方法里又调用 AccessCo ...

  7. Learning ROS for Robotics Programming Second Edition学习笔记(六) indigo xtion pro live

    中文译著已经出版,详情请参考:http://blog.csdn.net/ZhangRelay/article/category/6506865 Learning ROS for Robotics Pr ...

  8. Typescript 学习笔记六:接口

    中文网:https://www.tslang.cn/ 官网:http://www.typescriptlang.org/ 目录: Typescript 学习笔记一:介绍.安装.编译 Typescrip ...

  9. python3.4学习笔记(六) 常用快捷键使用技巧,持续更新

    python3.4学习笔记(六) 常用快捷键使用技巧,持续更新 安装IDLE后鼠标右键点击*.py 文件,可以看到Edit with IDLE 选择这个可以直接打开编辑器.IDLE默认不能显示行号,使 ...

随机推荐

  1. 51nod 1525 重组公司

    题目来源: CodeForces 基准时间限制:1 秒 空间限制:131072 KB 分值: 80 难度:5级算法题 有n个人在公司里面工作.员工从1到n编号.每一个人属于一个部门.刚开始每一个人在自 ...

  2. 微软分布式机器学习工具包DMTK——初窥门径

    在现在机器学习如日中天的大背景下,微软亚洲研究院的实习岗位中,机器学习组的工作也是维护DMTK,参与算法改进,那么在此之前我们得了解DMTK是个啥. DMTK由一个服务于分布式机器学习的框架和一组分布 ...

  3. 手写IOC框架

    1.IOC框架的设计思路 ① 哪些类需要我们的容器进行管理 ②完成对象的别名和对应实例的映射装配 ③完成运行期对象所需要的依赖对象的依赖

  4. PWD简介与妙用(一个免费、随时可用的Docker实验室)

    转载自 https://baiyue.one/archives/472.html 本文介绍下 PWD 的历史,并依据本站最近学习心得,经过多次尝试,终于打通了 Docker 与常规宝塔面板搭建,因此, ...

  5. 任务管理器 用 Ctrl + Shift + Esc 替换 Ctrl + Alt + Del

    任务管理器 用 Ctrl + Shift + Esc 替换 Ctrl + Alt + Del

  6. 使用EventLog组件向本机现有日志中添加条目

    实现效果: 知识运用: EventLog组件的MachineName属性 //获取或设置在其上读取或写入事件的计算机名称 public string MachineName  {get;set; } ...

  7. 使用的是html5的canvas将文字转换成图片

    当前功能的运用场景是:用户需要传文件给他人,在用户选择文件之后需要显示一个文件图标和所选文件的名称. 当前代码部分是摘自网上,但是已经忘记在什么地方获取的,如有侵权联系小弟后自当删除. 注意:必须在h ...

  8. Java制作桌面弹球下载版 使用如鹏游戏引擎制作 包含2个精灵球同时弹动

    package com.swift; import com.rupeng.game.GameCore; public class DesktopBouncingBall implements Runn ...

  9. kvm笔记

    1 virt-manager安装虚拟机无法使用键盘解决 今天远程用VNC登录服务器安装虚拟机,结果使用virt-manager安装虚拟机后在初始阶段无法使用键盘设置,这不雪崩了,后来来回试,找到了原因 ...

  10. Ubuntu 下安装mysqlclient报错

    pip3 install mysqlclient 报错信息 问题描述: Complete output from command python setup.py egg_info: /bin/sh: ...