1. 引入 PreparedStatement

PreparedStatement 通过 Connection.createPreparedStatement(String sql) 方法创建,主要用来反复执行一条结构相似的 SQL 语句。

例如:

INSERT INTO STUDENT (STUDENT_NAME, STUDENT_PASSWORD) VALUES ('van Nistelrooy', '666666');

INSERT INTO STUDENT (STUDENT_NAME, STUDENT_PASSWORD) VALUES ('van der Sar', '777777');

这两条 SQL 语句,除了插入的值不同,其他的基本语法没有任何区别。

针对这种情况,可以使用占位符 ?来代替:

INSERT INTO STUDENT (STUDENT_NAME, STUDENT_PASSWORD) VALUES (?, ?);

Statement 是不允许使用 ? 占位符的,而且这个占位符需要获得值之后才能够执行。PreparedStatement 就是针对这种场景才引入进来的。

PreparedStatement 是 Statement 的子接口,它支持以下4种执行 SQL 的方式:

  • execute()
  • executeUpdate()
  • executeQuery()
  • executeLargeUpdate()

同时,PreparedStatement 提供了一系列的 setXxx(int index, Xxx value) 来支持对于 ? 占位符的替换。Xxx 是占位符的数据类型。

如果不确定数据类型,可以通过 setObject() 方法来传入数据。

2. Demo

这里贴一个自己写的例子:

package com.gerrard.demo;

import com.gerrard.entity.Student;

import com.gerrard.util.Connector;

import com.gerrard.util.DriverLoader;

import java.sql.Connection;

import java.sql.PreparedStatement;

import java.sql.SQLException;

import java.util.ArrayList;

import java.util.Arrays;

import java.util.List;

public final class PreparedStatementDemo {

    public static void main(String[] args) {

        String sql = "INSERT INTO STUDENT (STUDENT_NAME, STUDENT_PASSWORD) VALUES (?, ?)";

        Student student1 = new Student(0, "van Nistelrooy", "666666");

        Student student2 = new Student(0, "van der Sar", "777777");

        List<Student> studentList = new ArrayList<>(Arrays.asList(student1, student2));

        DriverLoader.loadSqliteDriver();

        try (Connection conn = Connector.getSqlConnection();

             PreparedStatement pstmt = conn.prepareStatement(sql)) {

            for (Student student : studentList) {

                pstmt.setString(1, student.getName());

                pstmt.setObject(2, student.getPassword());

                pstmt.executeUpdate();

            }

            System.out.println("Successfully executeUpdate using PreparedStatement.");

        } catch (SQLException e) {

            e.printStackTrace();

        }

    }

}

3. PreparedStatement 的优势

PreparedStatement 的优势主要有以下3点:

  • 通过预编译 SQL 语句的方式(即创建 PreparedStatement 的时候,就将 SQL语句传递进去),大大降低了多次执行相似的 SQL 语句的效率。
  • 需要传递参数的时候,无需拼接 SQL 语句,降低了编程的复杂度。
  • 防止 SQL 注入。

4. SQL 注入

SQL 注入是一个常见的 Cracker 入侵方式,利用 SQL 语句的漏洞来入侵。

那么怎么去理解 PrepareStatement 能够防止 SQL 注入呢?

实际上,这是不使用 SQL 字符串拼接的副产品。

现在假设,有一个 GUI 界面,需要输入用户名和密码来登录。

在后台,我提供了一个登陆服务:

public interface StudentLoginService {

    Student login(String id, String password);

}

那么现在,我用 Statement 去实现这个服务:(有些自定义的类,详情见 JDBC 学习笔记(十)—— 使用 JDBC 搭建一个简易的 ORM 框架

package com.gerrard.service;

import com.gerrard.entity.Student;

import com.gerrard.executor.SqlExecutorStatement;

import com.gerrard.orm.FlexibleResultSetAdapter;

import com.gerrard.orm.ResultSetAdapter;

import java.util.List;

public final class StatementLoginService implements StudentLoginService {

    private static final String VALIDATE_SQL = "select * from STUDENT s where s.[STUDENT_ID] = ? and s.[STUDENT_PASSWORD] = ?";

    @Override

    public Student login(String id, String password) {

        ResultSetAdapter<Student> adapter = new FlexibleResultSetAdapter<>(Student.class);

        SqlExecutorStatement<Student> executor = new SqlExecutorStatement<>(adapter);

        String sql = VALIDATE_SQL.replaceFirst("\\?", id).replaceFirst("\\?", "'" + password + "'");

        List<Student> list = executor.executeQuery(sql);

        return list.isEmpty() ? null : list.get(0);

    }

}

这样写代码,看似没有问题,但是实际上有个致命的缺陷。

假设有人猜测到了这个登陆服务是用 Statement 实现的,那么他在密码一栏可以输入:

' or 1=1 or '

这样,整句 SQL 就变成了:

select * from STUDENT s where s.[STUDENT_ID] = 1 and s.[STUDENT_PASSWORD] = '' or 1=1 or ''

显然,所有的 Student 都被查到了,登陆成功。

但是,使用 PreparedStatement 就没有这种问题,Cracker 输入会被拒绝登陆:

package com.gerrard.service;

import com.gerrard.entity.Student;

import com.gerrard.executor.SqlExecutorPreparedStatement;

import com.gerrard.orm.FlexibleResultSetAdapter;

import com.gerrard.orm.ResultSetAdapter;

import java.util.Arrays;

import java.util.LinkedList;

import java.util.List;

public final class PreparedStatementLoginService implements StudentLoginService {

    private static final String VALIDATE_SQL = "select * from STUDENT s where s.[STUDENT_ID] = ? and s.[STUDENT_PASSWORD] = ?";

    @Override

    public Student login(String id, String password) {

        List<Object> params = new LinkedList<>(Arrays.asList(id, password));

        ResultSetAdapter<Student> adapter = new FlexibleResultSetAdapter<>(Student.class);

        SqlExecutorPreparedStatement<Student> executor = new SqlExecutorPreparedStatement<>(adapter, params);

        List<Student> list = executor.executeQuery(VALIDATE_SQL);

        return list.isEmpty() ? null : list.get(0);

    }

}

最后贴一下实验代码和输出:

package com.gerrard.demo;

import com.gerrard.entity.Student;

import com.gerrard.service.PreparedStatementLoginService;

import com.gerrard.service.StatementLoginService;

import com.gerrard.service.StudentLoginService;

public final class InjectCase {

    public static void main(String[] args) {

        String id1 = "6";

        String pass1 = "123456";

        String id2 = "6";

        String pass2 = "' or 1=1 or '";

        // case 1, normal login with Statement

        StudentLoginService service1 = new StatementLoginService();

        Student student1 = service1.login(id1, pass1);

        if (student1 == null) {

            System.out.println("Login failure.");

        } else {

            System.out.println("Student [" + student1.getName() + "] login success.");

        }

        // case 2, cracker login with PreparedStatement

        StudentLoginService service2 = new StatementLoginService();

        Student student2 = service2.login(id2, pass2);

        if (student2 == null) {

            System.out.println("Login failure.");

        } else {

            System.out.println("Student [" + student2.getName() + "] login success.");

        }

        // case 3, normal login with Statement

        StudentLoginService service3 = new PreparedStatementLoginService();

        Student student3 = service3.login(id1, pass1);

        if (student3 == null) {

            System.out.println("Login failure.");

        } else {

            System.out.println("Student [" + student3.getName() + "] login success.");

        }

        // case 4, cracker login with PreparedStatement

        StudentLoginService service4 = new PreparedStatementLoginService();

        Student student4 = service4.login(id2, pass2);

        if (student4 == null) {

            System.out.println("Login failure.");

        } else {

            System.out.println("Student [" + student4.getName() + "] login success.");

        }

    }

}

最新文章

  1. RStudio中,出现中文乱码问题的解决方案
  2. HBase最佳实践-列族设计优化
  3. MYSQL中创建存储过程实现向表中循环插入数据
  4. unique函数的作用
  5. [LeetCode]题解(python):102 Binary Tree Level Order Traversal
  6. DimDate
  7. 【转】Android Intent Action 大全
  8. ASP.NET MVC and jqGrid 学习笔记 2-如何从本地获得数据
  9. codevs3731 寻找道路
  10. linux之ioctl函数解析
  11. c#局域网聊天软件的实现
  12. java与xml之间的转换(jaxb)
  13. ReactNative学习之Html基本标签使用
  14. centos7的服务管理
  15. MT【314】正切比值
  16. 1、mysql初识
  17. LeetCode104.二叉树最大深度
  18. laravel更改默认的登录密码加密方式
  19. Sql Server Report Service 的部署问题(Reporting Service 2014為什麼不需要IIS就可以運行)
  20. Google Protocol Buffers介绍

热门文章

  1. Java VS Python 应该先学哪个?
  2. POJ 1845 Sumdiv (数学,乘法逆元)
  3. 卓越管理的实践技巧(2)成功的委派任务 Setup for Successful Delegation
  4. [web开发] Vue+Spring Boot 上海大学预约系统开发记录
  5. python_94_类变量实例变量
  6. Linux centos 6 配置php环境,扩展redis
  7. c++作业:求N的阶乘。
  8. jmeter操作mysql数据库
  9. ipvsadm分发MySQL读请求
  10. 创建 Django 步骤