当我们使用java程序来操作sql server时会使用到Statement和PreparedStatement,俩者都可以用于把sql语句从java程序中发送到指定数据库,并执行sql语句。那么如何进行一个较好的选择?

首先,我们来看俩者的区别:

Statement和PreparedStatement的区别(1)

1、直接使用Statement,驱动程序一般不会对sql语句作处理而直接交给数据库;使用PreparedStamen,形成预编译的过程,并且会对语句作字符集的转换(至少在sql server)中如此。

如此,有两个好处:对于多次重复执行的语句,使用PreparedStament效率会更高一点,并且在这种情况下也比较适合使用batch;另外,可以比较好地解决系统的本地化问题。

2、PreparedStatement还能有效的防止危险字符的注入,也就是sql注入的问题。(但是必须使用“对?赋值的方法”才管用)

我们用一个实例来进行演示:

PreparedStatement的使用[Sql_test2.java]

/**

* PreparedStatement使用CRUD

*、PreparedStatement可以提高执行效率(因为它有预编译的功能)

*、PreparedStatement可以防止SQL注入,但是要求用?赋值的方式才可以

*/

packagecom.sqlserver;

importjava.sql.*;

publicclass Sql_test2 {

public static void main(String[] args) {

Connection ct=null;

PreparedStatement ps=null;

ResultSet rs=null;

try {

//1、加载驱动(把需要的驱动程序加入内存)

Class.forName("sun.jdbc.odbc.JdbcOdbcDriver");

//2、得到连接(指定连接到哪个数据源、数据库的用户名和密码)

ct=DriverManager.getConnection("jdbc:odbc:mytest","sa","sa");

//3、创建PreparedStatement

//PreparedStatement用处:主要用于发送SQL语句到数据库

//          ps=ct.prepareStatement("select *from dept where deptno=? and loc=?");

//          //给?赋值(可防止SQL注入漏洞问题),不要直接使用拼接的方式

//          ps.setInt(1, 20);

//          ps.setString(2, "dallas");

//          //演示:查询,显示所有的部门信息

//          //ResultSet结果集,大家可以把ResultSet理解成返回一张表行的结果集

//          rs=ps.executeQuery();

//          //循环取出

//          while(rs.next()){

//              int a=rs.getInt(1);

//              String b=rs.getString(2);

//              String c=rs.getString(3);

//              System.out.println(a+"\t"+b+"\t"+c);

//          }

//使用PreparedStetement添加一条记录

//          ps=ct.prepareStatement("insert into dept values(?,?,?)");

//          ps.setInt(1, 60);

//          ps.setString(2, "安全部");

//          ps.setString(3, "上海");

//          //执行

//          int i=ps.executeUpdate();

//          if(i==1){

//              System.out.println("添加成功");

//          }else{

//              System.out.println("添加失败");

//          }

//使用PreparedStetement修改一条记录从dept表中修改loc=上海deptno改为50

//          ps=ct.prepareStatement("update dept set deptno=? where loc='上海'");

//          ps.setInt(1, 50);

//          //执行

//          int i=ps.executeUpdate();

//          if(i==1){

//              System.out.println("修改成功");

//          }else{

//              System.out.println("修改失败");

//          }

//使用PreparedStetement删除一条记录

ps=ct.prepareStatement("delete from dept where deptno=?");

ps.setInt(1, 50);

int i=ps.executeUpdate();

if(i==1){

System.out.println("删除成功");

}else{

System.out.println("删除失败");

}

} catch (Exception e) {

e.printStackTrace();

}finally{

//关闭资源,关闭顺序先创建后关闭,后创建先关闭

try {

if(rs!=null){

rs.close();

}

if(ps!=null){

ps.close();

}

if(ct!=null){

ct.close();

}

} catch (SQLException e) {

e.printStackTrace();

}

}

}

}

此段代码比较容易理解,使用了PreparedStatement,其中对问号(?)的赋值防止了SQL的危险注入问题。

如果使用Statement,则在有时候会产生危险注入。比如,一个database中有一张表user

create table  user

{

username   varchar(30)

passwd     varchar(30)

}

insert  into user values('ywq' , 'ywqwd')

select * from user where username='ywq' and passwd='ywqwd'

通过以上语句将建立一张表,并且将数据查询显示出来。

然而问题就出现在这儿!!!当我们写成select * from user where username='ywq' and passwd='ffwd'
or 1='1'的时候,还是可以查询并且显示出数据,这就意味着前面的用户名和密码成为了虚设的,不起任何作用。如此看来,漏洞就在这儿。

当使用Statement时,ps=ct.createStatement("select *from dept where deptno='10' and loc='北京'");此语句将产生危险注入,导致系统不安全。所以我们很有必要使用PreparedStatement。

修改之后的代码如下所示:

ps=ct.prepareStatement("select * from user where username=? and passwd=?");

ps.setString(1, "ywq");

ps.setString(2, "ywqwd");

此时将正确查询到数据。当第三行改为:ps.setString(2,""ywqwd" or 1=1") 时将得不到正确结果。

总结下对问号?赋值的格式如下所示:

ps=ct.prepareStatement("insert into dept values(?,?,?)");

ps.setInt(1, 60);

ps.setString(2, "安全部");

ps.setString(3, "上海");

其中后三句分别对第一句中的?进行赋值。

此时较好的解决了危险注入的问题。

浅析Statement和PreparedStatement的区别的更多相关文章

  1. JDBC中的Statement和PreparedStatement的区别

    JDBC中的Statement和PreparedStatement的区别  

  2. Statement和PreparedStatement的区别; 什么是SQL注入,怎么防止SQL注入?

    问题一:Statement和PreparedStatement的区别 先来说说,什么是java中的Statement:Statement是java执行数据库操作的一个重要方法,用于在已经建立数据库连接 ...

  3. Statement和PreparedStatement的区别; 什么是SQL注入,怎么防止SQL注入? (转)

    问题一:Statement和PreparedStatement的区别 先来说说,什么是java中的Statement:Statement是java执行数据库操作的一个重要方法,用于在已经建立数据库连接 ...

  4. Statement与PreparedStatement的区别

    Statement与PreparedStatement的区别   PreparedStatement预编译SQL语句,性能好. PreparedStatement无序拼接SQL语句,编程更简单. Pr ...

  5. [转] JDBC中的Statement和PreparedStatement的区别

    以Oracle为例吧 Statement为一条Sql语句生成执行计划,如果要执行两条sql语句select colume from table where colume=1;select colume ...

  6. JDBC与Statement和PreparedStatement的区别

    一.先来说说,什么是java中的Statement:Statement是java执行数据库操作的一个重要方法,用于在已经建立数据库连接的基础上,向数据库发送要执行的SQL语句.具体步骤: 1.首先导入 ...

  7. 7.秋招复习简单整理之请你讲讲 Statement 和 PreparedStatement 的区别?哪个性能更好?

    Statement和PreparedStatement都是数据库用于执行SQL语句的句柄,但是PreparedStatement代表一个预编译的SQL. 以下是PreparedStatement和St ...

  8. statement和preparedstatement用法区别

    1. PreparedStatement接口继承Statement, PreparedStatement 实例包含已编译的 SQL 语句,所以其执行速度要快于 Statement 对象.   2.作为 ...

  9. JDBC中的Statement 和PreparedStatement的区别?

    PreparedStatement是预编译的SQL语句,效率高于Statement. PreparedStatement支持操作符,相对于Statement更加灵活. PreparedStatemen ...

随机推荐

  1. POJ2253 Frogger —— 最短路变形

    题目链接:http://poj.org/problem?id=2253 Frogger Time Limit: 1000MS   Memory Limit: 65536K Total Submissi ...

  2. IntelliJ IDEA 运行错误:java: Compilation failed: internal java compiler error

    错误:java: Compilation failed: internal java compiler error 解决的方法: 文件 --> 设置 : 若没有模块,点击右边的把自己项目的模块添 ...

  3. nyoj--86--找球号(一)(hash&&set&&二分)

    找球号(一) 时间限制:3000 ms  |  内存限制:65535 KB 难度:3 描述 在某一国度里流行着一种游戏.游戏规则为:在一堆球中,每个球上都有一个整数编号i(0<=i<=10 ...

  4. asp.net core zipkin

    微服务监控zipkin+asp.net core 0.目录 整体架构目录:ASP.NET Core分布式项目实战-目录 监控目录:微服务监控zipkin.skywalking以及日志ELK监控系列 一 ...

  5. 用js实现的一个可拖动标签的例子

    先贴代码: <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w ...

  6. HTML <legend> 标签

    转自:https://www.w3cschool.cn/htmltags/tag-legend.html <!DOCTYPE HTML> <html> <body> ...

  7. zz MBR,EBR

    http://hi.baidu.com/net5x/item/12d5243d86416bd76d15e993

  8. [msf]CentOS VPS创建pptpd 并搭建msf

    安装pptpd服务 vps下 下载 centos 6 一键安装包 wget --no-check-certificate https://raw.githubusercontent.com/teddy ...

  9. Codeforces 2 A. Winner

    哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈....... 先让我笑完................ 就是一道撒比题啊,一开始是题目看错= =.是,但是后面还是自己不仔细错的.....不存在题目坑这种情况 ...

  10. 骨骼蒙皮动画(SkinnedMesh)的原理解析(一)

    http://blog.csdn.net/jimoshuicao/article/details/9253999 一)3D模型动画基本原理和分类 3D模型动画的基本原理是让模型中各顶点的位置随时间变化 ...