PreparedStatement防止SQL注入

作者：辽宁琢一传媒 | 来源：互联网 | 2023-10-17 16:36

添加数据：packagecom.hyc.study03;importcom.hyc.study02.utils.JDBCUtils;importjava.sql

添加数据&＃xff1a;

package com.hyc.study03; import com.hyc.study02.utils.JDBCUtils; import java.sql.Connection; import java.sql.ResultSet; import java.util.Date; import java.sql.PreparedStatement; import java.sql.SQLException;public class TestInsert {public static void main(String[] args) {Connection connection &＃61; null;PreparedStatement preparedStatement &＃61; null;ResultSet resultSet &＃61; null;try {//3、获取数据库连接connection &＃61; JDBCUtils.getConnection();//使用&＃xff1f;占位符替代参数String sql &＃61; "INSERT INTO &＃96;users&＃96;(&＃96;id&＃96;,&＃96;NAME&＃96;,&＃96;PASSWORD&＃96;,&＃96;email&＃96;,&＃96;birthday&＃96;) " &＃43;"VALUES (?,?,?,?,?);";//4、获取执行sql的对象//预编译sql&＃xff0c;先写sql&＃xff0c;然后不执行preparedStatement &＃61; connection.prepareStatement(sql);//手动给参数赋值preparedStatement.setInt(1, 4);preparedStatement.setString(2, "hyc");preparedStatement.setString(3, "123456");preparedStatement.setString(4, "123456789&＃64;qq.com");//java.sql.Date 是数据库的Date &＃xff0c;只包含年月日信息 &＃xff0c;它是java.util.Date&＃xff08;包含年月日和时分秒信息&＃xff09;的子类preparedStatement.setDate(5, new java.sql.Date(new Date().getTime()));//5、执行sql语句//6、返回执行结果集int num &＃61; preparedStatement.executeUpdate();if (num > 0) {System.out.println("插入数据成功&＃xff01;");}} catch (SQLException throwables) {throwables.printStackTrace();} finally {//7、释放连接JDBCUtils.release(connection, preparedStatement, resultSet);}} }

删除数据&＃xff1a;

package com.hyc.study03;import com.hyc.study02.utils.JDBCUtils;import java.sql.Connection; import java.sql.PreparedStatement; import java.sql.ResultSet; import java.sql.SQLException;public class TestDelete {public static void main(String[] args) {Connection connection &＃61; null;PreparedStatement preparedStatement &＃61; null;ResultSet resultSet &＃61; null;try {//3、获取数据库连接connection &＃61; JDBCUtils.getConnection();//使用&＃xff1f;占位符替代参数String sql &＃61; "DELETE FROM &＃96;users&＃96; WHERE id&＃61;?";//4、获取执行sql的对象//预编译preparedStatement &＃61; connection.prepareStatement(sql);//手动给参数赋值preparedStatement.setInt(1, 4);//5、执行sql语句//6、返回执行结果集int num &＃61; preparedStatement.executeUpdate();if (num > 0) {System.out.println("删除数据成功&＃xff01;");}} catch (SQLException throwables) {throwables.printStackTrace();} finally {//7、释放连接JDBCUtils.release(connection, preparedStatement, resultSet);}} }

修改数据&＃xff1a;

package com.hyc.study03; import com.hyc.study02.utils.JDBCUtils; import java.sql.Connection; import java.sql.PreparedStatement; import java.sql.ResultSet; import java.sql.SQLException;public class TestUpdate {public static void main(String[] args) {Connection connection &＃61; null;PreparedStatement preparedStatement &＃61; null;ResultSet resultSet &＃61; null;try {//3、获取数据库连接connection &＃61; JDBCUtils.getConnection();//使用&＃xff1f;占位符替代参数String sql &＃61; "UPDATE &＃96;users&＃96; SET &＃96;NAME&＃96;&＃61;?,&＃96;email&＃96;&＃61;? WHERE &＃96;id&＃96;&＃61;?";//4、获取执行sql的对象//预编译preparedStatement &＃61; connection.prepareStatement(sql);//手动给参数赋值preparedStatement.setString(1, "zhangsan");preparedStatement.setString(2, "zhangsan&＃64;sina.com");preparedStatement.setInt(3, 1);//5、执行sql语句//6、返回执行结果集int num &＃61; preparedStatement.executeUpdate();if (num > 0) {System.out.println("更新数据成功&＃xff01;");}} catch (SQLException throwables) {throwables.printStackTrace();} finally {//7、释放连接JDBCUtils.release(connection, preparedStatement, resultSet);}} }

查询数据&＃xff1a;

package com.hyc.study03; import com.hyc.study02.utils.JDBCUtils; import java.sql.Connection; import java.sql.PreparedStatement; import java.sql.ResultSet; import java.sql.SQLException;public class TestSelect {public static void main(String[] args) {Connection connection &＃61; null;PreparedStatement preparedStatement &＃61; null;ResultSet resultSet &＃61; null;try {//3、获取数据库连接connection &＃61; JDBCUtils.getConnection();//使用&＃xff1f;占位符替代参数String sql &＃61; "SELECT * FROM &＃96;users&＃96; WHERE id&＃61;?";//4、获取执行sql的对象//预编译preparedStatement &＃61; connection.prepareStatement(sql);//手动给参数赋值preparedStatement.setInt(1, 1);//5、执行sql语句//6、返回执行结果集resultSet &＃61; preparedStatement.executeQuery();while (resultSet.next()) {System.out.println(resultSet.getString("NAME"));}} catch (SQLException throwables) {throwables.printStackTrace();} finally {//7、释放连接JDBCUtils.release(connection, preparedStatement, resultSet);}} }

PreparedStatement防止SQL注入&＃xff1a;
PreparedStatement防止SQL注入的本质是将传递进来的参数当做字符&＃xff08;想当于给传进来的参数包装成一个新的字符串&＃xff09;&＃xff0c;如果其中存在转义字符&＃xff0c;例如 ‘ 会被直接转义。这样能够避免字符串拼接成非法的sql语句&＃xff0c;造成数据泄露。

package com.hyc.study03; import com.hyc.study02.utils.JDBCUtils; import java.sql.*;public class PourIntoSql {public static void main(String[] args) {login("&＃39;&＃39; or &＃39;1&＃61;1", "123456");}public static void login(String username, String psw) {Connection connection &＃61; null;PreparedStatement preparedStatement &＃61; null;ResultSet resultSet &＃61; null;try {connection &＃61; JDBCUtils.getConnection();String sql &＃61; "SELECT * FROM &＃96;users&＃96; WHERE &＃96;NAME&＃96;&＃61;? AND &＃96;PASSWORD&＃96;&＃61;?";preparedStatement &＃61; connection.prepareStatement(sql);preparedStatement.setString(1, username);preparedStatement.setString(2, psw);resultSet &＃61; preparedStatement.executeQuery();while (resultSet.next()) {System.out.println(resultSet.getString("NAME"));System.out.println("&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;");}} catch (SQLException throwables) {throwables.printStackTrace();} finally {JDBCUtils.release(connection, preparedStatement, resultSet);}} }

结果&＃xff1a;
在这里插入图片描述
在PreparedStatement的作用下&＃xff0c;再尝试通过字符串拼接达到SQL注入的目的无法实现。

推荐阅读

get
关于cuowu类的错误提示和使用AdjustmentListener的问题

本文讨论了一个关于cuowu类的问题，作者在使用cuowu类时遇到了错误提示和使用AdjustmentListener的问题。文章提供了16个解决方案，并给出了两个可能导致错误的原因。 ... [详细]

蜡笔小新 2023-12-13 22:09:56
get
Java太阳系小游戏分析和源码详解

本文介绍了一个基于Java的太阳系小游戏的分析和源码详解。通过对面向对象的知识的学习和实践，作者实现了太阳系各行星绕太阳转的效果。文章详细介绍了游戏的设计思路和源码结构，包括工具类、常量、图片加载、面板等。通过这个小游戏的制作，读者可以巩固和应用所学的知识，如类的继承、方法的重载与重写、多态和封装等。 ... [详细]

蜡笔小新 2023-12-14 19:53:34
get
SQL日志收缩及截断方法详解

本文详细介绍了SQL日志收缩的方法，包括截断日志和删除不需要的旧日志记录。通过备份日志和使用DBCC SHRINKFILE命令可以实现日志的收缩。同时，还介绍了截断日志的原理和注意事项，包括不能截断事务日志的活动部分和MinLSN的确定方法。通过本文的方法，可以有效减小逻辑日志的大小，提高数据库的性能。 ... [详细]

蜡笔小新 2023-12-14 18:23:25
less
在类中定义数组时出错 - Error on defining arrays in class

Iamtryingtomakeaclassthatwillreadatextfileofnamesintoanarray,thenreturnthatarra ... [详细]

蜡笔小新 2023-12-14 17:38:12
get
Java容器中的compareto方法排序原理解析

本文从源码解析Java容器中的compareto方法的排序原理，讲解了在使用数组存储数据时的限制以及存储效率的问题。同时提到了Redis的五大数据结构和list、set等知识点，回忆了作者大学时代的Java学习经历。文章以作者做的思维导图作为目录，展示了整个讲解过程。 ... [详细]

蜡笔小新 2023-12-14 13:53:31
datetime
阿里云物联网 .NET Core 客户端 | CZGL.AliIoTClient：4. 设备上报属性

阿,里,云,物,联网,net,core,客户端,czgl,aliiotclient, ... [详细]

蜡笔小新 2023-12-14 12:40:20
uri
Open judge C16H: Magical Balls 快速幂+逆元问题解析

本文主要解析了Open judge C16H问题中涉及到的Magical Balls的快速幂和逆元算法，并给出了问题的解析和解决方法。详细介绍了问题的背景和规则，并给出了相应的算法解析和实现步骤。通过本文的解析，读者可以更好地理解和解决Open judge C16H问题中的Magical Balls部分。 ... [详细]

蜡笔小新 2023-12-14 12:03:27
get
JavaSE笔试题-接口、抽象类、多态等问题解答

本文解答了JavaSE笔试题中关于接口、抽象类、多态等问题。包括Math类的取整数方法、接口是否可继承、抽象类是否可实现接口、抽象类是否可继承具体类、抽象类中是否可以有静态main方法等问题。同时介绍了面向对象的特征，以及Java中实现多态的机制。 ... [详细]

蜡笔小新 2023-12-14 10:01:13
get
Spring特性实现接口多类的动态调用详解

本文详细介绍了如何使用Spring特性实现接口多类的动态调用。通过对Spring IoC容器的基础类BeanFactory和ApplicationContext的介绍，以及getBeansOfType方法的应用，解决了在实际工作中遇到的接口及多个实现类的问题。同时，文章还提到了SPI使用的不便之处，并介绍了借助ApplicationContext实现需求的方法。阅读本文，你将了解到Spring特性的实现原理和实际应用方式。 ... [详细]

蜡笔小新 2023-12-14 03:24:19
get
ASP.NET Tips: 获取插入记录的ID的方法详解

本文详细介绍了在ASP.NET中获取插入记录的ID的几种方法，包括使用SCOPE_IDENTITY()和IDENT_CURRENT()函数，以及通过ExecuteReader方法执行SQL语句获取ID的步骤。同时，还提供了使用这些方法的示例代码和注意事项。对于需要获取表中最后一个插入操作所产生的ID或马上使用刚插入的新记录ID的开发者来说，本文提供了一些有用的技巧和建议。 ... [详细]

蜡笔小新 2023-12-13 17:03:18
get
VB.NET在线急等问题解决方法，如何统计数据库字段下的数据并显示在文本框里？

本文介绍了一个在线急等问题解决方法，即如何统计数据库中某个字段下的所有数据，并将结果显示在文本框里。作者提到了自己是一个菜鸟，希望能够得到帮助。作者使用的是ACCESS数据库，并且给出了一个例子，希望得到的结果是560。作者还提到自己已经尝试了使用"select sum(字段2) from 表名"的语句，得到的结果是650，但不知道如何得到560。希望能够得到解决方案。 ... [详细]

蜡笔小新 2023-12-13 15:15:30
datetime
SpringJdbcTemplate的使用详解

本文详细介绍了Spring的JdbcTemplate的使用方法，包括执行存储过程、存储函数的call()方法，执行任何SQL语句的execute()方法，单个更新和批量更新的update()和batchUpdate()方法，以及单查和列表查询的query()和queryForXXX()方法。提供了经过测试的API供使用。 ... [详细]

蜡笔小新 2023-12-13 14:27:11
get
关于Linq to sql 实现模糊查询 string数组

前景：当UI一个查询条件为多项选择，或录入多个条件的时候，比如查询所有名称里面包含以下动态条件，需要模糊查询里面每一项时比如是这样一个数组条件：newstring[]{兴业银行, ... [详细]

蜡笔小新 2023-12-13 09:34:59
get
java中gt与gtgt与gtgtgt与lt之间的区别

本文介绍了在Java中gt、gtgt、gtgtgt和lt之间的区别。通过解释符号的含义和使用例子，帮助读者理解这些符号在二进制表示和移位操作中的作用。同时，文章还提到了负数的补码表示和移位操作的限制。 ... [详细]

蜡笔小新 2023-12-14 12:33:24
get
如何在有序字符序列中插入新字符并保持有序

本文介绍了如何在给定的有序字符序列中插入新字符，并保持序列的有序性。通过示例代码演示了插入过程，以及插入后的字符序列。 ... [详细]

蜡笔小新 2023-12-14 11:16:33

辽宁琢一传媒

这个家伙很懒，什么也没留下！

Tags | 热门标签

RankList | 热门文章