利用PreparedStatement预防SQL注入
Posted 牛穿疯
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了利用PreparedStatement预防SQL注入相关的知识,希望对你有一定的参考价值。
1、什么是sql注入
SQL 注入是用户利用某些系统没有对输入数据进行充分的检查,从而进行恶意破坏的行为。
例如登录用户名采用 ‘ or 1=1 or username=‘,后台数据查询语句就变成
sql = select * from users where username=‘‘ or 1=1 or username=‘‘ and password=‘"+password+"‘",由于sql中and的优先级比or高,所以整条查询语句等价于:
sql = select * from users where true;这样就造成随意登录
2、预防sql注入
PreperedStatement是Statement的孩子,它的实例对象可以通过调用Connection.preparedStatement()方法获得,相对于Statement对象而言:PreperedStatement可以避免SQL注入的问题。Statement会使数据库频繁编译SQL,可能造成数据库缓冲区溢PreparedStatement 可对SQL进行预编译,从而提高数据库的执行效率。并且PreperedStatement对于sql中的参数,允许使用占位符的形式进行替换,简化sql语句的编写。
1 public void add(User user) { 2 Connection conn = null; 3 PreparedStatement st = null; 4 ResultSet rs = null; 5 try{ 6 conn = JdbcUtils.getConnection(); 7 String sql = "insert into users(id,username,password,email,birthday,nickname) values(?,?,?,?,?,?)";//利用占位符 8 st = conn.prepareStatement(sql); 9 st.setString(1, user.getId()); 10 st.setString(2, user.getUsername()); 11 st.setString(3, user.getPassword()); 12 st.setString(4, user.getEmail()); 13 st.setDate(5, new java.sql.Date(user.getBirthday().getTime())); 14 st.setString(6, user.getNickname()); 15 int num = st.executeUpdate(); 16 if(num<1){ 17 throw new RuntimeException(”用户不存在"); 18 } 19 }catch (Exception e) { 20 throw new DaoException(e); 21 }finally{ 22 JdbcUtils.release(conn, st, rs); 23 } 24 25 26 }
以上是关于利用PreparedStatement预防SQL注入的主要内容,如果未能解决你的问题,请参考以下文章
使用JDBC分别利用Statement和PreparedStatement来对MySQL数据库进行简单的增删改查以及SQL注入的原理