前面介绍了各种SQL语句的调用过程,虽然例子代码写死了每个SQL串,但是完全可以把查询条件作为方法参数传进来。比如现在想删除某个课程的教师记录,那么在编写删除方法时,就把课程名称作为该方法的一个输入参数。据此编写的方法代码示例如下:

	// 删除记录

	private static void deleteRecord(Statement stmt, String course) throws SQLException {

		String sql = String.format("delete from teacher where course='%s'", course);

		int count = stmt.executeUpdate(sql); // 执行处理语句

		System.out.println("待执行的SQL语句:"+sql);

		System.out.println("删除记录语句的返回结果为"+count);

	}

接着外部准备调用上面的deleteRecord方法,第二个课程参数填“化学”,表示希望删除所有化学老师的记录,调用代码如下所示:

			deleteRecord(stmt, "化学"); // 删除记录

运行包含以上代码的测试程序,观察到以下的输出日志。

待执行的SQL语句:delete from teacher where course='化学'

删除记录语句的返回结果为1

从日志信息可见,只删除一条化学老师的记录,看起来似乎一切正常。不过课程参数由外部传入,谁知道课程字符串是什么东西呢?倘若有人闲得发慌,在键盘上随便输了几个字符,像“' or '1'='1”这样的字符串当作课程名称。于是删除方法的调用代码变成了下面这般:

			deleteRecord(stmt, "' or '1'='1"); // 删除记录

再次运行测试程序,发现输出日志变得有点不对劲:

待执行的SQL语句:delete from teacher where course='' or '1'='1'

删除记录语句的返回结果为4

没想到随便输的几个字符竟然也让SQL语句执行了,而且是把teacher表的剩余记录删得精光。这可不得了了,原语句的格式明明只肯删除特定课程的记录,为啥执行结果大相径庭呢?缘由在于待执行的SQL语句呆板地将课程字符串原样填了进去,造成出现“or '1'='1'”这种极端条件,自然MySQL忠实地删光了teacher表。诸如此类的SQL缺陷,人称SQL注入漏洞,它常常被黑客利用为所欲为,造成重大损失。
上述的实验结果暴露了报告机制的安全问题,一旦条件参数被人恶意篡改,就可能产生意料之外的严重状况。为此JDBC又设计了另一种预报告机制,预报告定义了新类PreparedStatement,与原报告Statement不同的是,创建预报告对象时就要设定SQL语句,并且SQL里面的动态参数以问号代替。然后准备调用executeUpdate或者executeQuery之前,先调用预报告对象的setString方法来设置对应序号的参数值。下面便是引入预报告之后的数据库操作代码例子:

	// 测试预报告的处理

	private static void testPreparedStatement() {

		String sql = "delete from teacher where course=?";

		// 先获取数据库的连接,再创建连接的预报告

		try (Connection conn = DriverManager.getConnection(dbUrl, dbUserName, dbPassword);

				PreparedStatement stmt = conn.prepareStatement(sql)) {

			//stmt.setString(1, "化学"); // 设置对应序号的参数值

			stmt.setString(1, "'' or 1=1"); // 设置对应序号的参数值

			int count = stmt.executeUpdate(); // 执行处理语句

			System.out.println("预先准备的SQL语句:"+stmt.toString());

			System.out.println("删除记录语句的返回结果为"+count);

		} catch (SQLException e) {

			e.printStackTrace();

		}

	}

仍以之前的恶意字符串为例,上面代码在调用setString方法时填入了“' or '1'='1”,意图继续浑水摸鱼。运行包含testPreparedStatement方法的测试程序,观察到的日志信息如下所示:

预先准备的SQL语句:com.mysql.cj.jdbc.ClientPreparedStatement: delete from teacher where course='\'\' or 1=1'

删除记录语句的返回结果为0

从日志结果可见,这次捣乱行为没有得逞,一条记录都没删除。注意此时的条件语句变为“course='\'\' or 1=1'”,显然预报告把字符串中的单引号做了转义,使得转义后的条件语句格式不正确,也就没能成功执行SQL。由此证明预报告PreparedStatement提升了数据库操作的安全性,凡是需要动态传入参数的SQL语句,最好采取预报告机制加以处理。


更多Java技术文章参见《Java开发笔记(序)章节目录

Java开发笔记(一百四十九)引入预报告的好处的更多相关文章

  1. Java开发笔记(三十九)日期工具Date

    Date是Java最早的日期工具,编程中经常通过它来获取系统的当前时间.当然使用Date也很简单,只要一个new关键字就能创建日期实例,就像以下代码示范的那样: // 创建一个新的日期实例,默认保存的 ...

  2. Java开发笔记(八十九)缓存字节I/O流

    文件输出流FileOutputStream跟FileWriter同样有个毛病,每次调用write方法都会直接写到磁盘,使得频繁的写操作性能极其低下.正如FileWriter搭上了缓存兄弟Buffere ...

  3. Java开发笔记(二十九)大整数BigInteger

    早期的编程语言为了节约计算机的内存,给数字变量定义了各种存储规格的数值类型,比如字节型byte只占用一个字节大小,短整型short占用两个字节大小,整型int占用四个字节大小,长整型long占用八个字 ...

  4. Java开发笔记(四十九)关键字super的用法

    前面介绍了如何从Bird类继承而来Swallow类,按道理子类应当继承父类的所有要素,但是对于构造方法来说,Swallow类仅仅继承了Bird类的默认构造方法,并未自动继承带参数的构造方法.如果子类想 ...

  5. Java开发笔记(五十九)Java8之后的扩展接口

    前面介绍了接口的基本用法,有心的朋友可能注意到这么一句话“在Java8以前,接口内部的所有方法都必须是抽象方法”,如此说来,在Java8之后,接口的内部方法也可能不是抽象方法了吗?之所以Java8对接 ...

  6. Java开发笔记(六十九)泛型类的定义及其运用

    前面从泛型方法的用法介绍到了泛型的起源,既然单个方法允许拥有泛化的参数类型,那么一个类也应当支持类级别的泛化类型,例如各种容器类型ArrayList.HashMap等等.一旦某个类的定义代码在类名称后 ...

  7. Java开发笔记(七十九)利用反射技术操作私有属性

    早在介绍多态的时候,曾经提到公鸡实例的性别属性可能被篡改为雌性,不过面向对象的三大特性包含了封装.继承和多态,只要把性别属性设置为private私有级别,也不提供setSex这样的性别修改方法,那么性 ...

  8. Java开发笔记(三十)大小数BigDecimal

    前面介绍的BigInteger只能表达任意整数,但不能表达小数,要想表达任意小数,还需专门的大小数类型BigDecimal.如果说设计BigInteger的目的是替代int和long类型,那么设计Bi ...

  9. Java开发笔记(三十二)字符型与整型相互转化

    前面提到字符类型是一种新的变量类型,然而编码实践的过程中却发现,某个具体的字符值居然可以赋值给整型变量!就像下面的例子代码那样,把字符值赋给整型变量,编译器不但没报错,而且还能正常运行! // 字符允 ...

随机推荐

  1. 彻底理解C++指针

    目录 目录 1 1. 概念 1 1.1. 双指针 1 1.2. 指针数组 1 1.3. 数组指针 1 1.4. 常见指针定义解读 1 2. 区别 2 3. 兼容性 2 4. 为何列数须相等? 2 5. ...

  2. A1113 | Integer Set Partition (25)

    太简单了 #include <stdio.h> #include <memory.h> #include <math.h> #include <string& ...

  3. vue-cli配置跨域代理

    现在使用vue大多使用了前后端分离模式,因此游览器经常显示跨域失败的信息,现在跨域的方式很多种,主要分两大类,ajax跨域,dom跨域,具体的方法就不例举啦. vue-cli作为一个强大的脚手架,内置 ...

  4. linux 运维基本操作

    本记录来自腾讯云实验  https://cloud.tencent.com/developer/labs/lab/10000 目录操作 任务时间:5min ~ 10min 创建目录 使用 mkdir ...

  5. SIT系统整合测试

    System Integrate Test的缩写,即系统整合测试      系统整合测试就是评估产品在其规格范围内的环境下工作,能否完成产品设计规格所需要的功能及与周边设备.应用软件的兼容性.大致可以 ...

  6. nginx location配置说明

    nginx location语法规则:location  [=|~|~*|^~]  /uri/  { … } nginx的location匹配的变量是$uri 规则优先级 = 高于 ^~ 高于 ~* ...

  7. centos7 安装 bugfree3

    . 安装apache yum install httpd . 安装mysql wget -i -c http://dev.mysql.com/get/mysql57-community-release ...

  8. python 启动pydoc查看文档

    启动pydoc查看文档 python3 -m pydoc -p 访问http://localhost:6789 或者查看官方文档:https://seleniumhq.github.io/seleni ...

  9. nginx php-fpm 配置问题(1)

    nginx php-fpm 配置问题(1) 1.问题    Nginx/FPM/PHP all php files say 'File not found.' nginx error日志: [erro ...

  10. SpringBoot之文件上传体积过大问题(解决方案)

    错误信息如下(关键): org.apache.tomcat.util.http.fileupload.FileUploadBase$SizeLimitExceededException: the re ...