前面介绍了各种SQL语句的调用过程,虽然例子代码写死了每个SQL串,但是完全可以把查询条件作为方法参数传进来。比如现在想删除某个课程的教师记录,那么在编写删除方法时,就把课程名称作为该方法的一个输入参数。据此编写的方法代码示例如下:

	// 删除记录

	private static void deleteRecord(Statement stmt, String course) throws SQLException {

		String sql = String.format("delete from teacher where course='%s'", course);

		int count = stmt.executeUpdate(sql); // 执行处理语句

		System.out.println("待执行的SQL语句:"+sql);

		System.out.println("删除记录语句的返回结果为"+count);

	}

接着外部准备调用上面的deleteRecord方法,第二个课程参数填“化学”,表示希望删除所有化学老师的记录,调用代码如下所示:

			deleteRecord(stmt, "化学"); // 删除记录

运行包含以上代码的测试程序,观察到以下的输出日志。

待执行的SQL语句:delete from teacher where course='化学'

删除记录语句的返回结果为1

从日志信息可见,只删除一条化学老师的记录,看起来似乎一切正常。不过课程参数由外部传入,谁知道课程字符串是什么东西呢?倘若有人闲得发慌,在键盘上随便输了几个字符,像“' or '1'='1”这样的字符串当作课程名称。于是删除方法的调用代码变成了下面这般:

			deleteRecord(stmt, "' or '1'='1"); // 删除记录

再次运行测试程序,发现输出日志变得有点不对劲:

待执行的SQL语句:delete from teacher where course='' or '1'='1'

删除记录语句的返回结果为4

没想到随便输的几个字符竟然也让SQL语句执行了,而且是把teacher表的剩余记录删得精光。这可不得了了,原语句的格式明明只肯删除特定课程的记录,为啥执行结果大相径庭呢?缘由在于待执行的SQL语句呆板地将课程字符串原样填了进去,造成出现“or '1'='1'”这种极端条件,自然MySQL忠实地删光了teacher表。诸如此类的SQL缺陷,人称SQL注入漏洞,它常常被黑客利用为所欲为,造成重大损失。
上述的实验结果暴露了报告机制的安全问题,一旦条件参数被人恶意篡改,就可能产生意料之外的严重状况。为此JDBC又设计了另一种预报告机制,预报告定义了新类PreparedStatement,与原报告Statement不同的是,创建预报告对象时就要设定SQL语句,并且SQL里面的动态参数以问号代替。然后准备调用executeUpdate或者executeQuery之前,先调用预报告对象的setString方法来设置对应序号的参数值。下面便是引入预报告之后的数据库操作代码例子:

	// 测试预报告的处理

	private static void testPreparedStatement() {

		String sql = "delete from teacher where course=?";

		// 先获取数据库的连接,再创建连接的预报告

		try (Connection conn = DriverManager.getConnection(dbUrl, dbUserName, dbPassword);

				PreparedStatement stmt = conn.prepareStatement(sql)) {

			//stmt.setString(1, "化学"); // 设置对应序号的参数值

			stmt.setString(1, "'' or 1=1"); // 设置对应序号的参数值

			int count = stmt.executeUpdate(); // 执行处理语句

			System.out.println("预先准备的SQL语句:"+stmt.toString());

			System.out.println("删除记录语句的返回结果为"+count);

		} catch (SQLException e) {

			e.printStackTrace();

		}

	}

仍以之前的恶意字符串为例,上面代码在调用setString方法时填入了“' or '1'='1”,意图继续浑水摸鱼。运行包含testPreparedStatement方法的测试程序,观察到的日志信息如下所示:

预先准备的SQL语句:com.mysql.cj.jdbc.ClientPreparedStatement: delete from teacher where course='\'\' or 1=1'

删除记录语句的返回结果为0

从日志结果可见,这次捣乱行为没有得逞,一条记录都没删除。注意此时的条件语句变为“course='\'\' or 1=1'”,显然预报告把字符串中的单引号做了转义,使得转义后的条件语句格式不正确,也就没能成功执行SQL。由此证明预报告PreparedStatement提升了数据库操作的安全性,凡是需要动态传入参数的SQL语句,最好采取预报告机制加以处理。


更多Java技术文章参见《Java开发笔记(序)章节目录

Java开发笔记(一百四十九)引入预报告的好处的更多相关文章

  1. Java开发笔记(三十九)日期工具Date

    Date是Java最早的日期工具,编程中经常通过它来获取系统的当前时间.当然使用Date也很简单,只要一个new关键字就能创建日期实例,就像以下代码示范的那样: // 创建一个新的日期实例,默认保存的 ...

  2. Java开发笔记(八十九)缓存字节I/O流

    文件输出流FileOutputStream跟FileWriter同样有个毛病,每次调用write方法都会直接写到磁盘,使得频繁的写操作性能极其低下.正如FileWriter搭上了缓存兄弟Buffere ...

  3. Java开发笔记(二十九)大整数BigInteger

    早期的编程语言为了节约计算机的内存,给数字变量定义了各种存储规格的数值类型,比如字节型byte只占用一个字节大小,短整型short占用两个字节大小,整型int占用四个字节大小,长整型long占用八个字 ...

  4. Java开发笔记(四十九)关键字super的用法

    前面介绍了如何从Bird类继承而来Swallow类,按道理子类应当继承父类的所有要素,但是对于构造方法来说,Swallow类仅仅继承了Bird类的默认构造方法,并未自动继承带参数的构造方法.如果子类想 ...

  5. Java开发笔记(五十九)Java8之后的扩展接口

    前面介绍了接口的基本用法,有心的朋友可能注意到这么一句话“在Java8以前,接口内部的所有方法都必须是抽象方法”,如此说来,在Java8之后,接口的内部方法也可能不是抽象方法了吗?之所以Java8对接 ...

  6. Java开发笔记(六十九)泛型类的定义及其运用

    前面从泛型方法的用法介绍到了泛型的起源,既然单个方法允许拥有泛化的参数类型,那么一个类也应当支持类级别的泛化类型,例如各种容器类型ArrayList.HashMap等等.一旦某个类的定义代码在类名称后 ...

  7. Java开发笔记(七十九)利用反射技术操作私有属性

    早在介绍多态的时候,曾经提到公鸡实例的性别属性可能被篡改为雌性,不过面向对象的三大特性包含了封装.继承和多态,只要把性别属性设置为private私有级别,也不提供setSex这样的性别修改方法,那么性 ...

  8. Java开发笔记(三十)大小数BigDecimal

    前面介绍的BigInteger只能表达任意整数,但不能表达小数,要想表达任意小数,还需专门的大小数类型BigDecimal.如果说设计BigInteger的目的是替代int和long类型,那么设计Bi ...

  9. Java开发笔记(三十二)字符型与整型相互转化

    前面提到字符类型是一种新的变量类型,然而编码实践的过程中却发现,某个具体的字符值居然可以赋值给整型变量!就像下面的例子代码那样,把字符值赋给整型变量,编译器不但没报错,而且还能正常运行! // 字符允 ...

随机推荐

  1. PHP的简单了解

    PHP 标识符/关键字/数据类型 标识符:其实标识符就是变量的名称,函数与类的名称也是标识符.PHP中标识符的规则: 1.标识符可以是任意长度的字母.数字.下划线,且不得以数字开头. 2.PHP中标识 ...

  2. Anaconda与Python安装版本对应关系 --- 转载

    转载自:https://blog.csdn.net/yuejisuo1948/article/details/81043823 首先解释一下上表. anaconda在每次发布新版本的时候都会给pyth ...

  3. 简述tcp三次握手

    第一次握手:建立连接时,客户端向服务端发送SYN(同步序列编号),其中包含客户端的初始序号seq(序列号)=x,并进入SYN_SENT(请求连接)状态,等待服务器确认. 第二次握手:服务器收到请求后, ...

  4. android常见错误之 No resource found that matches the given name

    新手上路,还希望大神多多照顾,刚自学android,遇到很多困难.其中就有这个问题,不知道你们遇到过没有,反正我是很头痛. No resource found that matches the giv ...

  5. DenseASPP论文总结

    论文地址:http://openaccess.thecvf.com/content_cvpr_2018/papers/Yang_DenseASPP_for_Semantic_CVPR_2018_pap ...

  6. xshell如何导入.xsh 文件

    xshell 不能导入 xsh 文件 导入功能 只能导入 *.xts, *.csv, *.tsv 文件,不能直接导入 .xsh 其实 xsh文件不需要导入,直接拷贝进去就可以了(.xsh 本来就是 x ...

  7. 行车记录仪 MyCar Recorder (转)

    行车记录仪 MyCar Recorder

  8. 【转】Python查找某文件夹下的所有excel文件

    # -*- coding: utf-8 -*- # author:baoshan import os dirname = r'D:\0.shenma\01.聊城资料\01.数据资料\02.聊城年鉴数据 ...

  9. Nginx添加静态页面

    1.编辑配置文件 sudo vim /etc/nginx/nginx.conf 在http {}中添加如下 server { listen 80; server_name localhost; loc ...

  10. allure与junit结合生成漂亮的demo

    1.allure安装 环境配置可参考https://blog.csdn.net/huggh/article/details/90905845,且博客中也分享了官网的案例https://github.c ...