1. 引入 PreparedStatement

PreparedStatement 通过 Connection.createPreparedStatement(String sql) 方法创建,主要用来反复执行一条结构相似的 SQL 语句。

例如:

INSERT INTO STUDENT (STUDENT_NAME, STUDENT_PASSWORD) VALUES ('van Nistelrooy', '666666');

INSERT INTO STUDENT (STUDENT_NAME, STUDENT_PASSWORD) VALUES ('van der Sar', '777777');

这两条 SQL 语句,除了插入的值不同,其他的基本语法没有任何区别。

针对这种情况,可以使用占位符 ?来代替:

INSERT INTO STUDENT (STUDENT_NAME, STUDENT_PASSWORD) VALUES (?, ?);

Statement 是不允许使用 ? 占位符的,而且这个占位符需要获得值之后才能够执行。PreparedStatement 就是针对这种场景才引入进来的。

PreparedStatement 是 Statement 的子接口,它支持以下4种执行 SQL 的方式:

  • execute()
  • executeUpdate()
  • executeQuery()
  • executeLargeUpdate()

同时,PreparedStatement 提供了一系列的 setXxx(int index, Xxx value) 来支持对于 ? 占位符的替换。Xxx 是占位符的数据类型。

如果不确定数据类型,可以通过 setObject() 方法来传入数据。

2. Demo

这里贴一个自己写的例子:

package com.gerrard.demo;

import com.gerrard.entity.Student;

import com.gerrard.util.Connector;

import com.gerrard.util.DriverLoader;

import java.sql.Connection;

import java.sql.PreparedStatement;

import java.sql.SQLException;

import java.util.ArrayList;

import java.util.Arrays;

import java.util.List;

public final class PreparedStatementDemo {

    public static void main(String[] args) {

        String sql = "INSERT INTO STUDENT (STUDENT_NAME, STUDENT_PASSWORD) VALUES (?, ?)";

        Student student1 = new Student(0, "van Nistelrooy", "666666");

        Student student2 = new Student(0, "van der Sar", "777777");

        List<Student> studentList = new ArrayList<>(Arrays.asList(student1, student2));

        DriverLoader.loadSqliteDriver();

        try (Connection conn = Connector.getSqlConnection();

             PreparedStatement pstmt = conn.prepareStatement(sql)) {

            for (Student student : studentList) {

                pstmt.setString(1, student.getName());

                pstmt.setObject(2, student.getPassword());

                pstmt.executeUpdate();

            }

            System.out.println("Successfully executeUpdate using PreparedStatement.");

        } catch (SQLException e) {

            e.printStackTrace();

        }

    }

}

3. PreparedStatement 的优势

PreparedStatement 的优势主要有以下3点:

  • 通过预编译 SQL 语句的方式(即创建 PreparedStatement 的时候,就将 SQL语句传递进去),大大降低了多次执行相似的 SQL 语句的效率。
  • 需要传递参数的时候,无需拼接 SQL 语句,降低了编程的复杂度。
  • 防止 SQL 注入。

4. SQL 注入

SQL 注入是一个常见的 Cracker 入侵方式,利用 SQL 语句的漏洞来入侵。

那么怎么去理解 PrepareStatement 能够防止 SQL 注入呢?

实际上,这是不使用 SQL 字符串拼接的副产品。

现在假设,有一个 GUI 界面,需要输入用户名和密码来登录。

在后台,我提供了一个登陆服务:

public interface StudentLoginService {

    Student login(String id, String password);

}

那么现在,我用 Statement 去实现这个服务:(有些自定义的类,详情见 JDBC 学习笔记(十)—— 使用 JDBC 搭建一个简易的 ORM 框架

package com.gerrard.service;

import com.gerrard.entity.Student;

import com.gerrard.executor.SqlExecutorStatement;

import com.gerrard.orm.FlexibleResultSetAdapter;

import com.gerrard.orm.ResultSetAdapter;

import java.util.List;

public final class StatementLoginService implements StudentLoginService {

    private static final String VALIDATE_SQL = "select * from STUDENT s where s.[STUDENT_ID] = ? and s.[STUDENT_PASSWORD] = ?";

    @Override

    public Student login(String id, String password) {

        ResultSetAdapter<Student> adapter = new FlexibleResultSetAdapter<>(Student.class);

        SqlExecutorStatement<Student> executor = new SqlExecutorStatement<>(adapter);

        String sql = VALIDATE_SQL.replaceFirst("\\?", id).replaceFirst("\\?", "'" + password + "'");

        List<Student> list = executor.executeQuery(sql);

        return list.isEmpty() ? null : list.get(0);

    }

}

这样写代码,看似没有问题,但是实际上有个致命的缺陷。

假设有人猜测到了这个登陆服务是用 Statement 实现的,那么他在密码一栏可以输入:

' or 1=1 or '

这样,整句 SQL 就变成了:

select * from STUDENT s where s.[STUDENT_ID] = 1 and s.[STUDENT_PASSWORD] = '' or 1=1 or ''

显然,所有的 Student 都被查到了,登陆成功。

但是,使用 PreparedStatement 就没有这种问题,Cracker 输入会被拒绝登陆:

package com.gerrard.service;

import com.gerrard.entity.Student;

import com.gerrard.executor.SqlExecutorPreparedStatement;

import com.gerrard.orm.FlexibleResultSetAdapter;

import com.gerrard.orm.ResultSetAdapter;

import java.util.Arrays;

import java.util.LinkedList;

import java.util.List;

public final class PreparedStatementLoginService implements StudentLoginService {

    private static final String VALIDATE_SQL = "select * from STUDENT s where s.[STUDENT_ID] = ? and s.[STUDENT_PASSWORD] = ?";

    @Override

    public Student login(String id, String password) {

        List<Object> params = new LinkedList<>(Arrays.asList(id, password));

        ResultSetAdapter<Student> adapter = new FlexibleResultSetAdapter<>(Student.class);

        SqlExecutorPreparedStatement<Student> executor = new SqlExecutorPreparedStatement<>(adapter, params);

        List<Student> list = executor.executeQuery(VALIDATE_SQL);

        return list.isEmpty() ? null : list.get(0);

    }

}

最后贴一下实验代码和输出:

package com.gerrard.demo;

import com.gerrard.entity.Student;

import com.gerrard.service.PreparedStatementLoginService;

import com.gerrard.service.StatementLoginService;

import com.gerrard.service.StudentLoginService;

public final class InjectCase {

    public static void main(String[] args) {

        String id1 = "6";

        String pass1 = "123456";

        String id2 = "6";

        String pass2 = "' or 1=1 or '";

        // case 1, normal login with Statement

        StudentLoginService service1 = new StatementLoginService();

        Student student1 = service1.login(id1, pass1);

        if (student1 == null) {

            System.out.println("Login failure.");

        } else {

            System.out.println("Student [" + student1.getName() + "] login success.");

        }

        // case 2, cracker login with PreparedStatement

        StudentLoginService service2 = new StatementLoginService();

        Student student2 = service2.login(id2, pass2);

        if (student2 == null) {

            System.out.println("Login failure.");

        } else {

            System.out.println("Student [" + student2.getName() + "] login success.");

        }

        // case 3, normal login with Statement

        StudentLoginService service3 = new PreparedStatementLoginService();

        Student student3 = service3.login(id1, pass1);

        if (student3 == null) {

            System.out.println("Login failure.");

        } else {

            System.out.println("Student [" + student3.getName() + "] login success.");

        }

        // case 4, cracker login with PreparedStatement

        StudentLoginService service4 = new PreparedStatementLoginService();

        Student student4 = service4.login(id2, pass2);

        if (student4 == null) {

            System.out.println("Login failure.");

        } else {

            System.out.println("Student [" + student4.getName() + "] login success.");

        }

    }

}

JDBC 学习笔记(六)—— PreparedStatement的更多相关文章

  1. JDBC学习笔记(4)——PreparedStatement的使用

    PreparedStatement public interface PreparedStatement extends Statement;可以看到PreparedStatement是Stateme ...

  2. 【转】JDBC学习笔记(4)——PreparedStatement的使用

    转自:http://www.cnblogs.com/ysw-go/ PreparedStatement public interface PreparedStatement extends State ...

  3. JDBC 学习笔记(十)—— 使用 JDBC 搭建一个简易的 ORM 框架

    1. 数据映射 当我们获取到 ResultSet 之后,显然这个不是我们想要的数据结构. 数据库中的每一个表,在 Java 代码中,一定会有一个类与之对应,例如: package com.gerrar ...

  4. JDBC学习笔记二

    JDBC学习笔记二 4.execute()方法执行SQL语句 execute几乎可以执行任何SQL语句,当execute执行过SQL语句之后会返回一个布尔类型的值,代表是否返回了ResultSet对象 ...

  5. JDBC学习笔记一

    JDBC学习笔记一 JDBC全称 Java Database Connectivity,即数据库连接,它是一种可以执行SQL语句的Java API. ODBC全称 Open Database Conn ...

  6. java之jvm学习笔记六-十二(实践写自己的安全管理器)(jar包的代码认证和签名) (实践对jar包的代码签名) (策略文件)(策略和保护域) (访问控制器) (访问控制器的栈校验机制) (jvm基本结构)

    java之jvm学习笔记六(实践写自己的安全管理器) 安全管理器SecurityManager里设计的内容实在是非常的庞大,它的核心方法就是checkPerssiom这个方法里又调用 AccessCo ...

  7. Learning ROS for Robotics Programming Second Edition学习笔记(六) indigo xtion pro live

    中文译著已经出版,详情请参考:http://blog.csdn.net/ZhangRelay/article/category/6506865 Learning ROS for Robotics Pr ...

  8. Typescript 学习笔记六:接口

    中文网:https://www.tslang.cn/ 官网:http://www.typescriptlang.org/ 目录: Typescript 学习笔记一:介绍.安装.编译 Typescrip ...

  9. python3.4学习笔记(六) 常用快捷键使用技巧,持续更新

    python3.4学习笔记(六) 常用快捷键使用技巧,持续更新 安装IDLE后鼠标右键点击*.py 文件,可以看到Edit with IDLE 选择这个可以直接打开编辑器.IDLE默认不能显示行号,使 ...

随机推荐

  1. vijos 1320 清点人数

    背景 NK中学组织同学们去五云山寨参加社会实践活动,按惯例要乘坐火车去.由于NK中学的学生很多,在火车开之前必须清点好人数. 描述 初始时,火车上没有学生:当同学们开始上火车时,年级主任从第一节车厢出 ...

  2. 【Python图像特征的音乐序列生成】思路的转变

    关于生成网络这边,可能会做一个深度的受限玻尔兹曼机,这样可以保证生成的音乐不会太相似. 情绪识别网络和生成网络的耦合,中间变量可能直接就是一个one-hot向量,用来标注指定的情绪,不做成坐标那种难以 ...

  3. 【TensorFlow入门完全指南】神经网络篇·自动编码机

    自动编码机(Autoencoder)属于非监督学习,不需要对训练样本进行标记.自动编码机(Autoencoder)由三层网络组成,其中输入层神经元数量与输出层神经元数量相等,中间层神经元数量少于输入层 ...

  4. RAC数据库后台进程介绍

    在RAC数据库上会比单实例数据库多一些进程,这些进程是RAC特有的,为了实现集群数据库功能而设置的. 10g RAC特有进程:$ ps -ef|grep ora_oracle    4721     ...

  5. Codeforces Round #319 (Div. 2) C Vasya and Petya's Game (数论)

    因为所有整数都能被唯一分解,p1^a1*p2^a2*...*pi^ai,而一次询问的数可以分解为p1^a1k*p2^a2k*...*pi^aik,这次询问会把所有a1>=a1k &&am ...

  6. 标签中的name属性和ID属性的区别

    标签中的name属性和ID属性的区别 2018年05月13日 10:17:44 tssit 阅读数:760   编程这么久,细想了一下,发现这个问题还不是很清楚,汗!看了几篇文章,整理了一下,分享下! ...

  7. CVE-2011-0065

      环境 备注 操作系统 Windows 7 x86 sp1 专业版 漏洞软件 Firefox 版本号:3.6.16 调试器 Windbg 版本号:6.12.0002.633 0x00 漏洞描述 在F ...

  8. HTML5 跨文档消息传输

    对窗口对象的message事件进行监听 window.addEventListener("message", function(event) { // 处理程序代码 }, fals ...

  9. 01_4_Struts路径问题

    01_4_Struts路径问题 1. Struts路径问题说明 struts2中的路径问题是根据action的路径而不是jsp路径来确定,所有尽量不要使用相对路径. 虽然可以使用redirect方式解 ...

  10. HTML与XHTML区别

    1. html超文本标记语言,xhtml可扩展超文本标记语言,xhtml是将html作为xml的应用重新定义的一个标准. 2. xhtm比html的代码规则严格很多,例如'a < b'在xhtm ...