3.1 SQL注入问题
SQL注入:用户输入的内容作为了SQL语句语法的一部分,改变了原有SQL真正的意义。
假设有登录案例SQL语句如下:
SELECT * FROM 用户表 WHERE NAME = 用户输入的用户名 AND PASSWORD = 用户输的密码;
此时,当用户输入正确的账号与密码后,查询到了信息则让用户登录。但是当用户输入的账号为XXX 密码为:XXX’ OR ‘a’=’a时,则真正执行的代码变为:
SELECT * FROM 用户表 WHERE NAME = ‘XXX’ AND PASSWORD =’ XXX’ OR ’a’=’a’;
此时,上述查询语句时永远可以查询出结果的。那么用户就直接登录成功了,显然我们不希望看到这样的结果,这便是SQL注入问题。
为此,我们使用PreparedStatement来解决对应的问题。
示例演示:
CREATE TABLE user(
id INT PRIMARY KEY AUTO_INCREMENT,
username VARCHAR(100),
PASSWORD VARCHAR(100)
);
INSERT INTO user (username,PASSWORD) VALUES ('a','1'),('b','2');
SELECT * FROM user;
-- 登录查询
SELECT * FROM user WHERE username='xxx' AND PASSWORD='xxx' OR 'a'='a'
使用sql语句就可以很简单通过检测;
3.2 预处理对象
preparedStatement:预编译对象,是Statement对象的子类。
特点:
性能高
会把sql语句先编译
能过滤掉用户输入的关键字。
PreparedStatement预处理对象,处理的每条sql语句中所有的实际参数,都必须使用占位符?替换。
String sql = “select * from user where username = ? and password = ?”;
PreparedStatement使用,需要通过以下3步骤完成:
- PreparedStatement预处理对象代码:
#获得预处理对象,需要提供已经使用占位符处理后的SQL语句
PreparedStatement psmt = conn.prepareStatement(sql) - 设置实际参数
void setXxx(int index, Xxx xx) 将指定参数设置指定类型的值
参数1:index 实际参数序列号,从1开始。
参数2:xxx 实际参数值,xxx表示具体的类型。
例如:
setString(2, “1234”) 把SQL语句中第2个位置的占位符?替换成实际参数 “1234” - 执行SQL语句:
int executeUpdate(); --执行insert update delete语句.
ResultSet executeQuery(); --执行select语句.
boolean execute(); --执行select返回true 执行其他的语句返回false.
3.2.1 解决前面的sql注入问题
public static void main(String[] args) throws Exception {
String url="jdbc:mysql://localhost:3306/smbms";
Class.forName("com.mysql.jdbc.Driver");
Connection conn = DriverManager.getConnection(url,"root","neapadmin");
Scanner sc=new Scanner(System.in);
System.out.println("请输入账号:");
String userName=sc.nextLine();
System.out.println("请输入密码:");
String password=sc.nextLine();
String sql="select * from user where username=? and password=?";
PreparedStatement stmt = conn.prepareStatement(sql);
stmt.setString(1,userName);
stmt.setString(2,password);
System.out.println(sql);
ResultSet rs = stmt.executeQuery();
if(rs.next()) {
System.out.println("login success");
}else {
System.out.println("login failure");
}
rs.close();
stmt.close();
conn.close();
}
例子:使用预处理对象,完成对某张表的增删改查。
package cn.njit.jdbc;
import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;
public class PreStaDemo {
public static void main(String[] args) {
try {
Class.forName("com.mysql.jdbc.Driver");
} catch (ClassNotFoundException e) {
e.printStackTrace();
}
String jdbcurl="jdbc:mysql://localhost:3306/njit?useUnicode=true&characterEncoding=UTF-8";
String user="root";
String password="admin";
try {
Connection conn=DriverManager.getConnection(jdbcurl, user, password);
String sql;
PreparedStatement ppst;
sql="insert into dept(deptno,dname) values(?,?);";
ppst=conn.prepareStatement(sql);
ppst.setString(1, "10010");
ppst.setString(2, "中国联不通");
ppst.executeUpdate();
System.out.println("插入成功");
sql="select * from dept where deptno=?;";
ppst=conn.prepareStatement(sql);
ppst.setString(1, "10086");
ResultSet rs=ppst.executeQuery();
System.out.println("部门编号\t部门名称");
while(rs.next()) {
String deptno=rs.getString("deptno");
String dname=rs.getString("dname");
System.out.println(deptno+"\t"+dname);
}
System.out.println("查询结束");
rs.close();
ppst.close();
conn.close();
} catch (SQLException e) {
e.printStackTrace();
}
}
}
3.3 插入数据,获取自增长值
步骤:
PreparedStatement pstmt;
ResultSet rs;
String sql_dept = “insert into dept(deptName) values(?)”;
pstmt = con.prepareStatement(sql_dept, Statement.RETURN_GENERATED_KEYS);
pstmt.executeUpdate();
rs = pstmt.getGeneratedKeys();
// 得到返回的自增长字段
if (rs.next()) {
deptId = rs.getInt(1);
}
只有int型才能设计为自增长;
插入时自动长,不需要插入数据;
package cn.njit.jdbc;
import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;
public class PreStaDemo {
public static void main(String[] args) {
try {
Class.forName("com.mysql.jdbc.Driver");
} catch (ClassNotFoundException e) {
e.printStackTrace();
}
String jdbcurl="jdbc:mysql://localhost:3306/njit?useUnicode=true&characterEncoding=UTF-8";
String user="root";
String password="admin";
try {
Connection conn=DriverManager.getConnection(jdbcurl, user, password);
String sql;
PreparedStatement ppst;
sql="insert into stu(name,sex) values(?,?);";
ppst=conn.prepareStatement(sql,Statement.RETURN_GENERATED_KEYS);
ppst.setString(1, "螺纹");
ppst.setString(2, "男");
ppst.executeUpdate();
ResultSet rss=ppst.getGeneratedKeys();
int id=0;
while(rss.next()) {
id=rss.getInt(1);
System.out.println(id);
}
rss.close();
ppst.close();
conn.close();
} catch (SQLException e) {
e.printStackTrace();
}
}
}