PreparedStatement
SQL注⼊问题
SQL注⼊:⽤户输⼊的内容作为了SQL语句语法的⼀部分,改变了原有SQL真正的意义。假设有登录案例SQL语句如下:
SELECT * FROM ⽤户表 WHERE NAME = ⽤户输⼊的⽤户名 AND PASSWORD = ⽤户输的密码;
此时,当⽤户输⼊正确的账号与密码后,查询到了信息则让⽤户登录。但是当⽤户输⼊的账号为XXX 密码为: XXX’ OR ‘1=1 时,则真正执⾏的代码变为:
select * from users where username='admin' and password = '1234' or '1=1';
此时,上述查询语句时永远可以查询出结果的。那么⽤户就直接登录成功了,显然我们不希望看到这样的结果,这便是SQL注⼊问题。为此,我们使⽤PreparedStatement来解决对应的问题。
API详解:预处理对象
preparedStatement:预编译对象,是Statement对象的⼦类。
特点:
- 性能⾼
- 会把sql语句先编译
- 能过滤掉⽤户输⼊的关键字。
PreparedStatement预处理对象,处理的每条sql语句中所有的实际参数,都必须使⽤占位符?替换。
String sql = "select * from user where username = ? and password = ?";
PreparedStatement使⽤,需要通过以下3步骤完成:
1. PreparedStatement预处理对象代码:
// 获得预处理对象,需要提供已经使⽤占位符处理后的SQL语句
PreparedStatement psmt = conn.prepareStatement(sql)
2. 设置实际参数
void setXxx(int index, Xxx xx) 将指定参数设置指定类型的值
参数1:index 实际参数序列号,从1开始。
参数2:xxx 实际参数值,xxx表示具体的类型。
例如:
setString(2, "1234") 把SQL语句中第2个位置的占位符?替换成实际参数 "1234"
3. 执⾏SQL语句:
int executeUpdate(); --执⾏insert update delete语句.
ResultSet executeQuery(); --执⾏select语句.
boolean execute(); --执⾏select返回true 执⾏其他的语句返回false.
查询数据
//查询操作
@Test
public void jdbcTest() throws SQLException {
//1.通过⼯具类 获取 Connection对象
Connection conn = JDBCUtils.getConnection();
//2.创建 ⽤于执⾏sql语句的对象 PreparedStatement , 同时指定sql语句
String sql = "select * from users where username=? and password=?";
PreparedStatement pstat = conn.prepareStatement(sql);
//3.为sql语句中的 每个? 号 赋值
pstat.setString(1,"admin");
pstat.setString(2,"1234");
//4.执⾏sql语句
ResultSet rs = pstat.executeQuery();
//5.处理 执⾏sql语句后的 结果
while(rs.next()){
int uid = rs.getInt("uid");
String username = rs.getString("username");
String password = rs.getString("password");
System.out.println(uid + "== " + username + " === " + password);
}
//6.释放资源
JDBCUtils.close(rs, pstat, conn);
}
插⼊数据
//插⼊操作
@Test
public void jdbcTest2() throws SQLException {
/*
1.通过⼯具类 获取 Connection对象
2.创建 ⽤于执⾏sql语句的对象 PreparedStatement , 同时指定sql语句
3.为sql语句中的 每个? 号 赋值
4.执⾏sql语句
5.处理 执⾏sql语句后的 结果
6.释放资源
*/
Connection conn = JDBCUtils.getConnection();
String sql = "insert into users(username, password) values(?, ?)";
PreparedStatement pstat = conn.prepareStatement(sql);
//为sql语句中的 每个? 号 赋值
pstat.setString(1, "lisi");
pstat.setString(2,"1234");
//执⾏sql语句
int line = pstat.executeUpdate();
System.out.println("line = " + line);
//释放资源
JDBCUtils.close(null, pstat, conn);
}
更新
//更新操作
@Test
public void jdbcTest3() throws SQLException {
/*
1.通过⼯具类 获取 Connection对象
2.创建 ⽤于执⾏sql语句的对象 PreparedStatement , 同时指定sql语句
3.为sql语句中的 每个? 号 赋值
4.执⾏sql语句
5.处理 执⾏sql语句后的 结果
6.释放资源
*/
Connection conn = JDBCUtils.getConnection();
String sql = "update users set password=? where uid=?";
PreparedStatement pstat = conn.prepareStatement(sql);
//为sql语句中的 每个? 号 赋值
pstat.setString(1,"abcdef");
pstat.setInt(2,3);
//执⾏sql语句
int line = pstat.executeUpdate();
System.out.println("line = " + line);
JDBCUtils.close(null, pstat, conn);
}
通过id查询详情
//根据ID 进⾏查询
@Test
public void jdbcTest4() throws SQLException {
/*
1.通过⼯具类 获取 Connection对象
2.创建 ⽤于执⾏sql语句的对象 PreparedStatement , 同时指定sql语句
3.为sql语句中的 每个? 号 赋值
4.执⾏sql语句
5.处理 执⾏sql语句后的 结果
6.释放资源
*/
//1.通过⼯具类 获取 Connection对象
Connection conn = JDBCUtils.getConnection();
//2.创建 ⽤于执⾏sql语句的对象 PreparedStatement , 同时指定sql语句
String sql = "select * from users where uid=?";
//预编译sql语句
PreparedStatement pstat = conn.prepareStatement(sql);
//3.为sql语句中的 每个? 号 赋值
pstat.setInt(1,3);
//4.执⾏sql语句,获取查询结果集
ResultSet rs = pstat.executeQuery();
//5.处理 执⾏sql语句后的 结果
while(rs.next()){
int uid = rs.getInt("uid");
String username = rs.getString("username");
String password = rs.getString("password");
System.out.println(uid + "== " + username + " === " + password);
}
//6.释放资源
JDBCUtils.close(rs, pstat, conn);
}