SQL攻击

Posted 2021-07-20 Taboos_

早期项目中普遍存在SQL攻击，在需要输入查询条件的地方输入了 sql片段 导致了整体执行的SQL语句发 生了变化，进而影响了查询的功能；

为了解决SQL攻击问题，提出了preparedStatement对象；

preparedStatement 预处理模板对象

回顾jdbc流程： statement对象

1.导入mysql-java连接jar包，并加载jar包；

2.加载MySQL的驱动类；Driver

3.通过DriverManager创建java-mysql之间的连接对象Connection对象；url地址、数据库用 户名、数据库密码

4.通过Connection对象，创建查询编辑器Statement对象；

5.编写SQL语句，使用statement对象执行当前SQL语句； ( DML执行返回受影响行数 int ; DQL执行返回结果集对象 ResultSet)

6.对结果集对象进行处理 while(resuletSet.next()){ resultSet.getString(列数) }

7.关闭资源，从下往上，先创建后关闭，后创建的先关闭；

使用preparedStatement 预处理模板对象

1.导入mysql-java连接jar包，并加载jar包；

2.加载MySQL的驱动类；Driver

3.通过DriverManager创建java-mysql之间的连接对象Connection对象；url地址、数据库用 户名、数据库密码

4.取preparedStatement对象, 预编译对象 需要使用sql模板语句 将sql语句中的不确定内 容,使用? 进行替换

// 其中 ? --> 表示一个字符串 ,在进行sql补全的时,会将?换成一个整体的被""括起来 的字符串

String sql = "select count(*) from user where u_username = ? and u_password = ?" ;

// 使用sql模板创建一个 sql预编译对象 preparedStatement = connection.prepareStatement(sql);

5.将预编译对象中的 不完整内容进行补全; zs 123

preparedStatement.setString(1,user);

preparedStatement.setString(2,password);

6.执行完整sql语句 此时完整的SQL语句,已经prepared Statement保存了,所以不需要再另外 添加sql语句参数 resultSet = preparedStatement.executeQuery();

7.对结果集对象进行处理 while(resuletSet.next()){ resultSet.getString(列数) }

8.关闭资源，从下往上，先创建后关闭，后创建的先关闭；