关于jdbc:JDBC4-jdbc预编译与拼接sql对比

46次阅读

共计 5042 个字符,预计需要花费 13 分钟才能阅读完成。

  • 在 jdbc 中,有三种形式执行 sql,别离是应用 Statement(sql 拼接),PreparedStatement(预编译),还有一种 CallableStatement(存储过程),在这里我就不介绍 CallableStatement 了,咱们来看看 Statement 与 PreparedStatement 的区别。
1. 创立数据库,数据表

数据库名字是 test, 数据表的名字是 student,外面有四个字段,一个是 id,也就是主键(主动递增),还有名字,年龄,问题。最初先应用 sql 语句插入六个测试记录。

CREATE DATABASE `test` DEFAULT CHARACTER SET utf8 COLLATE utf8_general_ci;
CREATE TABLE `student` (`id` INT NOT NULL AUTO_INCREMENT , `name` VARCHAR(20) NOT NULL , 
`age` INT NOT NULL , `score` DOUBLE NOT NULL , PRIMARY KEY (`id`)) ENGINE = MyISAM; 
INSERT INTO `student` VALUES (1, '小红', 26, 83);
INSERT INTO `student` VALUES (2, '小白', 23, 93);
INSERT INTO `student` VALUES (3, '小明', 34, 45);
INSERT INTO `student` VALUES (4, '张三', 12, 78);
INSERT INTO `student` VALUES (5, '李四', 33, 96);
INSERT INTO `student` VALUES (6, '魏红', 23, 46);

建设对应的学生类:

/**
 * student 类,字段包含 id,name,age,score
 * 实现无参结构,带参结构,toString 办法,以及 get,set 办法
 * @author 秦怀
 */
public class Student {
    private int id;
    private String name;
    private int age;
    private double score;
    
    public Student() {super();
        // TODO Auto-generated constructor stub
    }
    public Student(String name, int age, double score) {super();
        this.name = name;
        this.age = age;
        this.score = score;
    }
    public int getId() {return id;}
    public void setId(int id) {this.id = id;}
    public String getName() {return name;}
    public void setName(String name) {this.name = name;}
    public int getAge() {return age;}
    public void setAge(int age) {this.age = age;}
    public double getScore() {return score;}
    public void setScore(double score) {this.score = score;}
    @Override
    public String toString() {
        return "Student [id=" + id + ", name=" + name + ", age=" + age
                + ", score=" + score + "]";
    }
    
}
2.Statement

先来看代码, 上面是获取数据库连贯的工具类 DBUtil.class

public class DBUtil {
    private static String URL="jdbc:mysql://127.0.0.1:3306/test";
    private static String USER="root";
    private static String PASSWROD ="123456";
    private static Connection connection=null;
    static{
        try {Class.forName("com.mysql.jdbc.Driver");
            // 获取数据库连贯
            connection=DriverManager.getConnection(URL,USER,PASSWROD);
            System.out.println("连贯胜利");
        } catch (ClassNotFoundException e) {
            // TODO Auto-generated catch block
            e.printStackTrace();} catch (SQLException e) {
            // TODO Auto-generated catch block
            e.printStackTrace();}
    }
    // 返回数据库连贯
    public static Connection getConnection(){return connection;}
}

上面是依据 id 查问学生信息的代码片段, 返回 student 对象就能输入了:

    public Student selectStudentByStatement(int id){
        // 拼接 sql 语句
        String sql ="select * from student where id ="+id;
        try {
            // 获取 statement 对象
            Statement statement = DBUtil.getConnection().createStatement();
            // 执行 sql 语句,返回 ResultSet
            ResultSet resultSet = statement.executeQuery(sql);
            Student student = new Student();
            // 一条也只能应用 resultset 来接管
            while(resultSet.next()){student.setId(resultSet.getInt("id"));
                student.setName(resultSet.getString("name"));
                student.setAge(resultSet.getInt("age"));
                student.setScore(resultSet.getDouble("score"));
            }
            return student;
        } catch (SQLException e) {// TODO: handle exception}
        return null;
    }

咱们能够看到整个流程是先获取到数据库的连贯 Class.forName("com.mysql.jdbc.Driver"); connection=DriverManager.getConnection(URL,USER,PASSWROD); 获取到连贯之后通过连贯获取 statement 对象, 通过 statement 来执行 sql 语句,返回 resultset 这个后果集,Statement statement = DBUtil.getConnection().createStatement();ResultSet resultSet = statement.executeQuery(sql);,值得注意的是,下面的 sql 是曾经拼接好,写固定了的 sql,所以很容易被注入,比方这句:

sql = "select * from user where name='" + name + "'and password='" + password+"'";

如果有人

  • name = “name’ or ‘1’= `1”
  • password = “password’ or ‘1’=’1″,那么整个语句就会变成:
sql = "select * from user where name='name'or'1'='1'and password='password'or'1'='1'";

那么就会返回所有的信息,所以这是很危险的。
还有更加危险的,是在前面加上删除表格的操作,不过个别咱们都不会把这些权限凋谢的。

// 如果 password = "';drop table user;select * from user where'1'='1"
// 前面一句不会执行,然而这曾经能够删除表格了
sql = "select * from user where name='name'or'1'='1'and password='' ;drop table user;select * from user where '1'= '1'";

所以预编译显得尤为重要了。

3.PreparedStatement 预编译

咱们先来看看预编译的代码:

    // 依据 id 查问学生
    public Student selectStudent(int id){
        String sql ="select * from student where id =?";
        try {PreparedStatement preparedStatement = DBUtil.getConnection()..prepareStatement(sql);
            preparedStatement.setInt(1, id);
            ResultSet resultSet = preparedStatement.executeQuery();
            Student student = new Student();
            // 一条也只能应用 resultset 来接管
            while(resultSet.next()){student.setId(resultSet.getInt("id"));
                student.setName(resultSet.getString("name"));
                student.setAge(resultSet.getInt("age"));
                student.setScore(resultSet.getDouble("score"));
            }
            return student;
        } catch (SQLException e) {// TODO: handle exception}
        return null;
    }

预编译也是同样须要获取到数据库连贯对象 connection,然而 sql 语句拼接的时候应用了 占位符?,将含有占位符的 sql 当参数传进去,获取到 PreparedStatement 预编译的对象,最初是通过 set 来绑定参数,而后再去应用 execute 执行预编译过的代码。这样就防止了 sql 注入的问题,同时,因为 sql 曾经编译过缓存在数据库中,所以执行起来不必再编译,速度就会比拟快。

4. 为什么预编译能够避免 sql 注入
  • 在应用占位符,或者说参数的时候,数据库曾经将 sql 指令编译过,那么查问的格局曾经订好了,也就是咱们说的我曾经明确你要做什么了,你要是将不非法的参数传进去,会有合法性检查,用户只须要提供参数给我,参数不会当成指令局部来执行,也就是预编译曾经把指令以及参数局部辨别开,参数局部不容许传指令进来。

这样的益处查问速度进步,因为有了预编译缓存,不便保护,可读性加强,不会有很多单引号双引号,容易出错,避免大部分的 sql 注入,因为参数和 sql 指令局部数据库系统曾经辨别开。百度文库外面提到: 传递给 PreparedStatement 对象的参数能够被强制进行类型转换,使开发人员能够确保在插入或查问数据时与底层的数据库格局匹配。
要是了解不透彻能够这么来了解:

select * from student where name= ?

预编译的时候是先把这句话编译了,生成 sql 模板,相当于生成了一个我晓得你要查名字了,你把名字传给我,你当初想耍点小聪明,把字符串 'Jame' or '1=1' 传进去,你认为他会变成上面这样么:

select * from student where name= 'Jame' or '1=1'

释怀吧, 不可能的,这辈子都不可能的啦,数据库都晓得你要干嘛了,我不是有 sql 模板了么,数据库的心里想的是我叫你传名字给我,行,这名字有点长,想害我,能够,我帮你找,那么数据库去名字这一字段帮你找一个叫 'Jame' or '1=1' 的人,他心里想这人真逗,没有这个人,没有!!!
所以这也就是为什么预编译能够避免 sql 注入的解释了,它是通过了解释器解释过的,解释的过程我就不啰嗦了,只有是对参数做本义,本义之后让它在拼接时只能示意字符串,不能变成查问语句。

此文章仅代表本人(本菜鸟)学习积攒记录,或者学习笔记,如有侵权,请分割作者删除。人无完人,文章也一样,文笔稚嫩,在下不才,勿喷,如果有谬误之处,还望指出,感激不尽~

技术之路不在一时,山高水长,纵使迟缓,驰而不息。

公众号:秦怀杂货店

正文完
 0