JDBC之PreparedStatement
2009-10-21 00:30 BlueDream 阅读(33226) 评论(0) 编辑 收藏 举报上一节JDBC初步.主要讲了基本访问数据库的步骤.其中第四步提到了用Statement去执行SQL语句.
这里介绍个Statement的子类PreparedStatement.
PreparedStatement(预处理执行语句)相比其父类Statement主要有以下几个优点.
1.可以防止SQL注入. 2.在特定的驱动数据库下相对效率要高(不绝对) 3.不需要频繁编译.因为已经预加载了
这里2和3的优点就不具体分析.这里主要讲解下防止SQL注入这一用途.
什么叫SQL注入可以阅读下WIKI.这里还是使用上一节总结的DBUtils来讲解.
DBUtils辅助类
import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;
/**
* @author Administrator
* 模板类DBUtils
*/
public final class DBUtils {
// 参数定义
private static String url = "jdbc:mysql://localhost:3306/mytest"; // 数据库地址
private static String username = "root"; // 数据库用户名
private static String password = "root"; // 数据库密码
private DBUtils() {
}
// 加载驱动
static {
try {
Class.forName("com.mysql.jdbc.Driver");
} catch (ClassNotFoundException e) {
System.out.println("驱动加载出错!");
}
}
// 获得连接
public static Connection getConnection() throws SQLException {
return DriverManager.getConnection(url, username, password);
}
// 释放连接
public static void free(ResultSet rs, Statement st, Connection conn) {
try {
if (rs != null) {
rs.close(); // 关闭结果集
}
} catch (SQLException e) {
e.printStackTrace();
} finally {
try {
if (st != null) {
st.close(); // 关闭Statement
}
} catch (SQLException e) {
e.printStackTrace();
} finally {
try {
if (conn != null) {
conn.close(); // 关闭连接
}
} catch (SQLException e) {
e.printStackTrace();
}
}
}
}
}
在写sql注入演示类之前看下数据库结构:
上边就是简单的users表.然后看下SQL注入演示类
SQLInner
import java.sql.Connection;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;
public class SqlInner {
public static void main(String[] args) {
//Read("zhangsan"); // 如果普通查询可以
Read("' or 1 or'");
}
public static void Read(String name) {
Statement st = null;
ResultSet rs = null;
Connection conn = null;
try {
conn = DBUtils.getConnection();
st = conn.createStatement();
String sql = "select * from users where lastname = '" + name + "'"; // 主要注入发生地
System.out.println("sql: " + sql); // 打印SQL语句
rs = st.executeQuery(sql);
System.out.println("age\tlastname\tfirstname\tid");
while (rs.next()) {
System.out.println(rs.getInt(1) + "\t" + rs.getString(2)
+ "\t\t" + rs.getString(3) + "\t\t" + rs.getString(4));
}
} catch (SQLException e) {
e.printStackTrace();
} finally {
DBUtils.free(rs, st, conn);
}
}
}
见注释.如果用普通的键zhangsan来查询.会打印
23 zhangsan lisi 3
结果正常.但使用下面的' or 1 or'结果为
22 啡 咖 1
25 434 ni 2
23 zhangsan lisi 3
把所有结果都打印出来了.打印了一下生成后的SQL语句如下:
分析下不难看出.主要问题是用了两个单引号 分别把前后的两个''给封闭了 变成两个空 然后通过or 1即or true就是符合所有条件了.
这就是SQL注入的一种.为了避免这种情况可以使用特殊符号替换 但只是亡羊补牢. 下面就引出了PreparedStatement
import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;
public class SqlInner {
public static void main(String[] args) {
Read("' or 1 or'");
}
public static void Read(String name) {
PreparedStatement st = null;
ResultSet rs = null;
Connection conn = null;
try {
conn = DBUtils.getConnection();
String sql = "select * from users where lastname = ?"; // 这里用问号
st = conn.prepareStatement(sql);
st.setString(1,name); // 这里将问号赋值
rs = st.executeQuery();
System.out.println("age\tlastname\tfirstname\tid");
while (rs.next()) {
System.out.println(rs.getInt(1) + "\t" + rs.getString(2)
+ "\t\t" + rs.getString(3) + "\t\t" + rs.getString(4));
}
} catch (SQLException e) {
e.printStackTrace();
} finally {
DBUtils.free(rs, st, conn);
}
}
}
见注释.PreparedStatement用?代替变量.然后加载后setString给赋值.由于PreparedStatement内置了字符过滤
那么就相当于 where name = ' or 1 or '显然没有对应记录.所以数据结果为空.这就体现了PreparedStatement的防注入功能
所以提倡大家只要是动态参数就是用PreparedStatement去代替Statement.况且效率也不错.优化的很好.
其余JDBC介绍文章待续.
