PreparedStatement JDBC域处理/SQl攻击

感谢传智播客提供的学习视频，希望传智播客越来越好

l 它是Statement接口的子接口；

l 强大之处：

Ø 防SQL攻击；

Ø 提高代码的可读性、可维护性；

Ø 提高效率！

l 学习PreparedStatement的用法：

Ø 如何得到PreparedStatement对象：

¨ 给出SQL模板！

¨ 调用Connection的PreparedStatement prepareStatement(String sql模板)；

¨ 调用pstmt的setXxx()系列方法sql模板中的?赋值！

¨ 调用pstmt的executeUpdate()或executeQuery()，但它的方法都没有参数。

l 预处理的原理

Ø 服务器的工作：

¨ 校验sql语句的语法！

¨ 编译：一个与函数相似的东西！

¨ 执行：调用函数

Ø PreparedStatement：

¨ 前提：连接的数据库必须支持预处理！几乎没有不支持的！

¨ 每个pstmt都与一个sql模板绑定在一起，先把sql模板给数据库，数据库先进行校验，再进行编译。执行时只是把参数传递过去而已！

¨ 若二次执行时，就不用再次校验语法，也不用再次编译！直接执行！

1　什么是SQL攻击

在需要用户输入的地方，用户输入的是SQL语句的片段，最终用户输入的SQL片段与我们DAO中写的SQL语句合成一个完整的SQL语句！例如用户在登录时输入的用户名和密码都是为SQL语句的片段！

2　演示SQL攻击

首先我们需要创建一张用户表，用来存储用户的信息。

CREATE TABLE user(

uid CHAR(32) PRIMARY KEY,

username VARCHAR(30) UNIQUE KEY NOT NULL,

PASSWORD VARCHAR(30)

);

INSERT INTO user VALUES('U_1001', 'zs', 'zs');

SELECT * FROM user;

现在用户表中只有一行记录，就是zs。

下面我们写一个login()方法！

public void login(String username, String password) {

Connection con = null;

Statement stmt = null;

ResultSet rs = null;

try {

con = JdbcUtils.getConnection();

stmt = con.createStatement();

String sql = "SELECT * FROM user WHERE " +

"username='" + username +

"' and password='" + password +"'";

rs = stmt.executeQuery(sql);

if(rs.next()) {

System.out.println("欢迎" + rs.getString("username"));

} else {

System.out.println("用户名或密码错误！");

}

} catch (Exception e) {

throw new RuntimeException(e);

} finally {

JdbcUtils.close(con, stmt, rs);

}

下面是调用这个方法的代码：

这行当前会使我们登录成功！因为是输入的用户名和密码是SQL语句片段，最终与我们的login()方法中的SQL语句组合在一起！我们来看看组合在一起的SQL语句：

SELECT * FROM tab_user WHERE username='a' or 'a'='a' and password='a' or 'a'='a'

3　防止SQL攻击

l 过滤用户输入的数据中是否包含非法字符；

l 分步交验！先使用用户名来查询用户，如果查找到了，再比较密码；

l 使用PreparedStatement。

4　PreparedStatement是什么？

PreparedStatement叫预编译声明！

PreparedStatement是Statement的子接口，你可以使用PreparedStatement来替换Statement。

PreparedStatement的好处：

l 防止SQL攻击；[c1]

l 提高代码的可读性，以可维护性；

l 提高效率[c2] 。

5　PreparedStatement的使用

l 使用Connection的prepareStatement(Stringsql)：即创建它时就让它与一条SQL模板绑定；

l 调用PreparedStatement的setXXX()系列方法为问号设置值

l 调用executeUpdate()或executeQuery()方法，但要注意，调用没有参数的方法；

String sql = “select * from tab_student where s_number=?”;

PreparedStatement pstmt = con.prepareStatement(sql);

pstmt.setString(1, “S_1001”);

ResultSet rs = pstmt.executeQuery();

rs.close();

pstmt.clearParameters();[崔3]

pstmt.setString(1, “S_1002”);

rs = pstmt.executeQuery();

在使用Connection创建PreparedStatement对象时需要给出一个SQL模板，所谓SQL模板就是有“?”的SQL语句，其中“?”就是参数。

在得到PreparedStatement对象后，调用它的setXXX()方法为“?”赋值，这样就可以得到把模板变成一条完整的SQL语句，然后再调用PreparedStatement对象的executeQuery()方法获取ResultSet对象。

注意PreparedStatement对象独有的executeQuery()方法是没有参数的，而Statement的executeQuery()是需要参数（SQL语句）的。因为在创建PreparedStatement对象时已经让它与一条SQL模板绑定在一起了，所以在调用它的executeQuery()和executeUpdate()方法时就不再需要参数了。

PreparedStatement最大的好处就是在于重复使用同一模板，给予其不同的参数来重复的使用它。这才是真正提高效率的原因。

所以，建议大家在今后的开发中，无论什么情况，都去需要PreparedStatement，而不是使用Statement。

[c1]不只它可以防！

[c2]很重要！

[崔3]再次使用时需要把原来的设置清空。

<pre name="code" class="java">package cn.itcast.jdbc;import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;import org.junit.Test;import com.mysql.jdbc.PreparedStatement;public class JdbcPreparedStatement {/*** 登录方法  可以被SQL攻击的* 使用UserName和UserCode去查询数据库* @throws ClassNotFoundException * @throws SQLException */public boolean loginOne(String username,String password) throws Exception{/*** 一、得到Connection* 二、得到Statement* 三、得到ResultSet* 四、rs.next()返回的是什么，我们就返回什么*///准备四大参数String driverClassName="com.mysql.jdbc.Driver";String url="jdbc:mysql://localhost:3306/db3";String myUserName="root";String mypassword="123";//加载驱动类Class.forName(driverClassName);//得到connectionConnection con=DriverManager.getConnection(url,myUserName,mypassword);//得到statementStatement statm=con.createStatement();//给出SQL语句String sql="select * from student where UserName='"+username+"' and UserCode='"+password+"'";//在这可以输出SQL，是否写正确//System.out.println(sql);//执行SQL语句，调用statm中的excuteQuery(),得到ResultSetResultSet rs=statm.executeQuery(sql);//设置返回值 ，有结果表示查询到数据，没有，表示没有查询到return rs.next();}@Testpublic void fun1() throws Exception {String userName="a'or 'a'='a";String passWord="a'or 'a'='a";//这样传过去的SQL结果是：这就是SQL注入攻击//select * from student where UserName='a'or 'a'='a' and UserCode='a'or 'a'='a'boolean bool= loginOne(userName,passWord);System.out.println(bool); }/*** 防SQL攻击的登录* @throws Exception*/public boolean loginTwo(String username,String password) throws Exception{/*** 一、得到Connection* 二、得到Statement* 三、得到ResultSet* 四、rs.next()返回的是什么，我们就返回什么*///准备四大参数String driverClassName="com.mysql.jdbc.Driver";String url="jdbc:mysql://localhost:3306/db3";String myUserName="root";String mypassword="123";//加载驱动类Class.forName(driverClassName);//得到connectionConnection con=DriverManager.getConnection(url,myUserName,mypassword);///从这里开始，与上面的loginOne()方法中不一样，这里使用的是preparedStatement对象来处理 /** 得到preparedStatement*  1,给出SQL模板：所有的参数使用？来替代
//       *  2.调用connection的preparedStatement（）方法来生成preparedStatement对象*  3，给SQL模板赋值 ，用preStatm.setString方法来赋值 *  4，调用 preparedStatement的executeQuery方法，来执行语句*///给出SQL模板String sqlTwo="select * from student where UserName=? and UserCode=?";//得到 preparedStatement对象PreparedStatement preStatm =  (PreparedStatement) con.prepareStatement(sqlTwo);//给参数赋值 preStatm.setString(1, username);preStatm.setString(2, password);//调用 preStatm的executeQuery方法，来执行语句ResultSet rsTwo= preStatm.executeQuery();//没有参数的，向数据库发送查询方法//得到查询结果return rsTwo.next();}@Testpublic void TestTwo() throws Exception {String userName="ZhangSan";String PassWord="201401";boolean bool=loginTwo(userName, PassWord);System.out.println(bool);}
}