5单个编译总会编译全部_JDBC【5】 JDBC预编译和拼接Sql对比
- 在jdbc中,有三种方式执行sql,分别是使用
Statement
(sql拼接),PreparedStatement
(预编译),还有一种CallableStatement
(存储过程),在这里我就不介绍CallableStatement
了,我们来看看Statement
与PreparedStatement
的区别。
1. 创建数据库,数据表
数据库名字是test
,数据表的名字是student
,里面有四个字段,一个是id
,也就是主键(自动递增),还有名字,年龄,成绩。最后先使用sql
语句插入六个测试记录。
CREATE DATABASE `test` DEFAULT CHARACTER SET utf8 COLLATE utf8_general_ci;CREATE TABLE `student` ( `id` INT NOT NULL AUTO_INCREMENT , `name` VARCHAR(20) NOT NULL , `age` INT NOT NULL , `score` DOUBLE NOT NULL , PRIMARY KEY (`id`)) ENGINE = MyISAM; INSERT INTO `student` VALUES (1, '小红', 26, 83);INSERT INTO `student` VALUES (2, '小白', 23, 93);INSERT INTO `student` VALUES (3, '小明', 34, 45);INSERT INTO `student` VALUES (4, '张三', 12, 78);INSERT INTO `student` VALUES (5, '李四', 33, 96);INSERT INTO `student` VALUES (6, '魏红', 23, 46);
建立对应的学生类:
/** * student类,字段包括id,name,age,score * 实现无参构造,带参构造,toString方法,以及get,set方法 * @author 秦怀 */public class Student { private int id; private String name; private int age; private double score;
public Student() { super(); // TODO Auto-generated constructor stub } public Student(String name, int age, double score) { super(); this.name = name; this.age = age; this.score = score; } public int getId() { return id; } public void setId(int id) { this.id = id; } public String getName() { return name; } public void setName(String name) { this.name = name; } public int getAge() { return age; } public void setAge(int age) { this.age = age; } public double getScore() { return score; } public void setScore(double score) { this.score = score; } @Override public String toString() { return "Student [id=" + id + ", name=" + name + ", age=" + age + ", score=" + score + "]"; }
}
2.测试代码
先来看代码,下面是获取数据库连接的工具类 DBUtil.class
:
public class DBUtil { private static String URL="jdbc:mysql://127.0.0.1:3306/test"; private static String USER="root"; private static String PASSWROD ="123456"; private static Connection connection=null; static{ try { Class.forName("com.mysql.jdbc.Driver"); // 获取数据库连接 connection=DriverManager.getConnection(URL,USER,PASSWROD); System.out.println("连接成功"); } catch (ClassNotFoundException e) { // TODO Auto-generated catch block e.printStackTrace(); } catch (SQLException e) { // TODO Auto-generated catch block e.printStackTrace(); } } // 返回数据库连接 public static Connection getConnection(){ return connection; }}
下面是根据id
查询学生信息的代码片段,返回student
对象就能输出了:
public Student selectStudentByStatement(int id){ // 拼接sql语句 String sql ="select * from student where id = "+id; try { // 获取statement对象 Statement statement = DBUtil.getConnection().createStatement(); // 执行sql语句,返回 ResultSet ResultSet resultSet = statement.executeQuery(sql); Student student = new Student(); // 一条也只能使用resultset来接收 while(resultSet.next()){ student.setId(resultSet.getInt("id")); student.setName(resultSet.getString("name")); student.setAge(resultSet.getInt("age")); student.setScore(resultSet.getDouble("score")); } return student; } catch (SQLException e) { // TODO: handle exception } return null; }
我们可以看到整个流程是:
- 先获取到数据库的连接
Class.forName("com.mysql.jdbc.Driver"); connection=DriverManager.getConnection(URL,USER,PASSWROD);
- 获取到连接之后通过连接获取statement对象,通过statement来执行sql语句,返回resultset这个结果集,
Statement statement = DBUtil.getConnection().createStatement();ResultSet resultSet = statement.executeQuery(sql);
- 值得注意的是,上面的sql是已经拼接好,写固定了的sql,所以很容易被注入,比如这句:
sql = "select * from user where name= '" + name + "' and password= '" + password+"'";
如果有人的name
故意传入很奇怪的字符串:
- name = "name' or '1'= '1"
- password = "password' or '1'='1",那么整个语句就会变成:
sql = "select * from user where name= 'name' or '1'='1' and password= 'password' or '1'='1'";
那么就会返回所有的信息,所以这是很危险的。还有更加危险的,是在后面加上删除表数据的操作,不过一般我们都不会把这些权限开放的。
// 如果password = " ';drop table user;select * from user where '1'= '1"// 后面一句不会执行,但是这已经可以删除表格了sql = "select * from user where name= 'name' or '1'='1' and password= '' ;drop table user;select * from user where '1'= '1'";
所以预编译显得尤为重要了。
3.PreparedStatement预编译
我们先来看看预编译的代码:
// 根据id查询学生 public Student selectStudent(int id){ String sql ="select * from student where id =?"; try { PreparedStatement preparedStatement = DBUtil.getConnection()..prepareStatement(sql); preparedStatement.setInt(1, id); ResultSet resultSet = preparedStatement.executeQuery(); Student student = new Student(); // 一条也只能使用resultset来接收 while(resultSet.next()){ student.setId(resultSet.getInt("id")); student.setName(resultSet.getString("name")); student.setAge(resultSet.getInt("age")); student.setScore(resultSet.getDouble("score")); } return student; } catch (SQLException e) { // TODO: handle exception } return null; }
预编译也是同样需要获取到数据库连接对象connection,但是sql语句拼接的时候使用了占位符 ?
,将含有占位符的sql
当参数传进去,获取到PreparedStatement
预编译的对象,最后是通过set
来绑定参数,然后再去使用execute
执行预编译过的代码。这样就避免了sql
注入的问题,同时,由于sql
已经编译过缓存q起来,所以执行起来不用再编译,速度就会比较快。
4.为什么预编译可以防止sql注入
- 在使用占位符,或者说参数的时候,数据库已经将
sql
指令编译过,那么查询的格式已经订好了,也就是我们说的我已经明白你要做什么了,你要是将不合法的参数传进去,会有合法性检查,用户只需要提供参数给我,参数不会当成指令部分来执行,也就是预编译已经把指令以及参数部分区分开,参数部分不允许传指令进来。这样的好处查询速度提高,因为有了预编译缓存,方便维护,可读性增强,不会有很多单引号双引号,容易出错,防止大部分的sql
注入,因为参数和sql
指令部分数据库系统已经区分开。百度文库里面提到:传递给PreparedStatement对象的参数可以被强制进行类型转换,使开发人员可以确保在插入或查询数据时与底层的数据库格式匹配。要是理解不透彻可以这么来理解:
select * from student where name= ?
预编译的时候是先把这句话编译了,生成sql模板,相当于生成了一个我知道你要查名字了,你把名字传给我,你现在想耍点小聪明,把字符串'Jame' or '1=1'
传进去,你以为他会变成下面这样么:
select * from student where name= 'Jame' or '1=1'
放心吧,不可能的,这辈子都不可能的啦,数据库都知道你要干嘛了,我不是有sql模板了么,数据库的心里想的是我叫你传名字给我,行,这名字有点长,想害我,可以,我帮你找,那么数据库去名字这一字段帮你找一个叫'Jame' or '1=1'
的人,他心里想这人真逗,没有这个人,没有!!!而不会将你的语句执行,预编译大概就是提前知道了你大概是需要干什么?最后你只需要将参数传递过来,参数的地方是个占位符,而不会把参数解析成为具有语义的语句。
我理解的,这也就是为什么预编译可以防止sql
注入的解释了,它是经过了解释器解释过的,解释的过程我就不啰嗦了,只要是对参数做转义,转义之后让它在拼接时只能表示字符串,不能变成查询语句。
此文章仅代表自己(本菜鸟)学习积累记录,或者学习笔记,如有侵权,请联系作者删除。人无完人,文章也一样,文笔稚嫩,在下不才,勿喷,如果有错误之处,还望指出,感激不尽~
技术之路不在一时,山高水长,纵使缓慢,驰而不息。
公众号:秦怀杂货店
5单个编译总会编译全部_JDBC【5】 JDBC预编译和拼接Sql对比相关推荐
- 5单个编译总会编译全部_5分钟读懂JavaScript预编译
大家都知道JavaScript是解释型语言,既然是解释型语言,就是编译一行,执行一行,那又何来预编译一说呢?脚本执行js引擎都做了什么呢?今天我们就来看看吧. 1-JavaScript运行三部曲 语法 ...
- java预编译啥意思_java预编译 java jdbc 预编译语句和普通语句的区别
java中什么是预编译precompile?总有一天你恍然大悟,父母是你花心思,花时间最少,却最爱你的人. 什么是预编译?起什么作用的? . 在java中如何实现预编译?祝你幸福!这句话真俗.小编会祝 ...
- 创建预编译头 Debug 正常 Release Link Error:预编译头已存在,使用第一个 PCH
创建预编译头 Debug 正常 Release Link Error Main.obj : error LNK2005: ___@@_PchSym_@00@UmfilkilqUdrmzkkUkilqU ...
- php预编译mysql扩展_PHP-Mysqli扩展库的预编译
(1)预编译的好处 假如要执行100条类似的sql语句,每一次执行,在MySQL端都会进行一次编译,效率很低.提高效率的方法就是--减少编译的次数. 先制造一个sql语句的模板,在MySQL端预先编译 ...
- java中预编译是啥意思_JAVA学习笔记预编译
JAVA学习笔记预编译 (2011-07-30 02:36:17) 标签: 杂谈 第顺次运行jsp时jsp将被改换成servlet(第顺次工夫较长,而尔后就会快许多) 搭配好的利用过程能够穿越设置js ...
- java 编译引入库_eclipse编译cpp文件,并且引用其他预编译的库
一.项目结构 jni相关的单独放在一个文件夹内,包括 st_stereo.h,main.cpp,这个是要进行编译的文件 lib下的libSTdisp.so,libStereoblur.so,前面要编译 ...
- ASP.NET 网站预编译概述
默认情况下,在用户首次请求资源(如网站的一个页)时,将动态编译 ASP.NET 网页和代码文件.第一次编译页和代码文件之后,会缓存编译后的资源,这样将大大提高随后对同一页提出的请求的效率. ASP.N ...
- 预编译头文件来自编译器的早期版本_Debug
1.报错形式 用Visual Studio2010 编写C++程序,编译出现错误: 预编译头文件来自编译器的早期版本,或者预编译头为 C++ 而在 C 中使用它(或相反) 2.解决方法 3.原因分析 ...
- 深入剖析ASP.NET的编译原理之二:预编译(Precompilation)
(转载)在本篇文章的第一部分:[原创]深入剖析ASP.NET的编译原理之一:动态编译(Dynamical Compilation),详细讨论了ASP.NET如何进行动态编译的,现在我们来谈谈另外一种重 ...
最新文章
- javascript语法糖_语法糖和JavaScript糖尿病
- c语言什么是内联函数,C语言中内联函数inline的使用方法
- 【转载】 Searching过程粗略梳理
- python学习ajax_Python开发【第二十三篇】:AJAX全套
- AS打包APK时,一直缺失so库的解决办法
- gooflow的流程设计
- 前端:分享几个前端素材网站
- 计算机程序员 面试题库,计算机软考程序员面试题精选题2
- 习题2.4 编写程序,从键盘输入两个整数分别给变量x,y,如果x大于y,则输出x及x-y的值;否则,输出y及y-x的值
- 关于Xshell无法连接VM中的openEuler的解决思路
- KEIL 提示L6406E L6407E的解决方法
- consplan r语言_模拟退火算法实现:求解中国31个城市TSP问题
- Jekins的简介和使用
- 汽车鸿蒙音响怎么调,汽车音响怎么调试 汽车音响调试步骤方法【详细介绍】...
- 电脑磁盘空间莫名其妙满了
- 2023届嵌入式笔面经一位双非本科生的秋招日记
- java记事本编译_Java记事本编译
- 实操手册:如何在GKE上部署HTTP(S) Load Balancer及容器应用程式
- 社群运营的爆款文案怎么写?
- QT5.7.0 arm开发环境搭建
热门文章
- win8无线网络受限怎么办 win8网络受限的解决方法
- 学习阮一峰Javascript模块化编程,requireJS使用
- 计算机专业怎样提升竞争力,新形势下如何提高计算机专业学生就业竞争力.doc...
- SpringBoot整合阿里云OSS上传文件
- parseInt(string, radix)
- 界面优美的linux,Ubuntu 11.04新版发布 诠释精美用户界面
- layui导航栏页面滚动固定_网站建设页面导航如何降低用户寻找的时间
- python 网页自动化框架_python+selenium自动化框架
- linux dev alloc name,深入理解Linux网络技术内幕-设备注册和初始化(二)
- PHP 继承新增,php类的扩展和继承用法实例