❶ java的預編譯語句集能防止所有sql注入嗎
是的,預編譯有個類是PreparedStatement.
這個類的對象是通過參數?來傳值的
例:
String sql = "select * from table where id = ?";
Connection con = .....///這里得到是資料庫的連接
PreparedStatement ps = con.prepareStatement(sql);
ps.setInt(1,id);//這里的資料庫語句所用到的參數要被設置的,如果你傳入了錯的值,或不同類型的值,它在插入到資料庫語句中會編譯不通過,這也就防止了SQL注入。
❷ 查看java 預編譯sql
看不到的,這些使用的是資料庫的佔位符。如果一定要看且用了hibernate的話,把hibernate的trace級別日誌也打開,能看到參數的綁定情況
❸ java預編譯的問題,其中sql語句執行不了,其他插入什麼的都正常,望指點~
pstmt.setString(1,user.getId()+"");
pstmt.setString(2,user.getName());
pstmt.setString(3,user.getPwd());
這是以佔位符方式設置 sql的參數值。
你的sql語句String sql = "select id,name,pwd from userinfo where id=10007";
沒有用到,所以這幾句刪了就行了。或者改為:
String sql = "select id,name,pwd from userinfo where id=?";
pstmt.setString(1,user.getId()+"");
❹ java jdbc 預編譯語句和普通語句的區別
一般是在需要反復使用一個SQL語句時才使用預編譯語句,預編譯語句常常放在一個for或者while循環裡面使用,通過反復設置參數從而多次使用該SQL語句;為了防止SQL注入漏洞,在某些數據操作中也使用預編譯語句。這點是預編譯語句和普通語句最大的區別。
❺ pstmt = conn.prepareStatement(sql);是什麼意思
pstmt = conn.prepareStatement(sql)是執行SQL語句的一個介面。但是執行前會對SQL語句進行預編譯的操作,然後就開始執行SQL語句,並把結果賦值給pstmt。conn的意思是一個資料庫連接。
PreparedStatement是Statement的子介面,表示預編譯的 SQL 語句的對象,SQL 語句被預編譯並存儲在PreparedStatement對象中。然後可以使用此對象多次高效地執行該語句。如果有參數的話還需要添加輸入的參數。
(5)預編譯的sql語句java擴展閱讀:
資料庫建立連接的五大步驟:
1、載入(注冊)資料庫
裝載驅動程序只需要非常簡單的一行代碼。例如,你想要使用 JDBC-ODBC 橋驅動程序,可以用下列代碼裝載它:Class.forName("sun.jdbc.odbc.JdbcOdbcDriver")。
你的驅動程序文檔將告訴你應該使用的類名。例如, 如果類名是 jdbc.DriverXYZ ,你將用代碼以下的代碼裝載驅動程序:Class.forName("jdbc.DriverXYZ")。
你不需要創建一個驅動程序類的實例並且用 DriverManager 登記它,因為調用 Class.forName 將自動將載入驅動程序類。載入 Driver 類後,它們即可用來與資料庫建立連接。
2 、建立鏈接
第二步就是用適當的驅動程序類與 DBMS 建立一個連接。下列代碼是一般的做法:
Connection con = DriverManager.getConnection(url,"myLogin","myPassword")
3 、執行SQL語句
我們使用 executeUpdate 方法是因為在 createTableCoffees 中的 SQL 語句是 DDL (數據定義語言)語句。創建表,改變表,刪除表都是 DDL 語句的例子,要用 executeUpdate 方法來執行。
4、 處理結果集
5 、關閉資料庫
參考資料來源:網路-Java資料庫連接
❻ 在Java中 Connection、Statement、ResultSet 、PreparedSta
Connection是建立與資料庫的鏈接,Statement算是一個連接的實例,用來執行SQL語句,ResultSet是查詢後得到的結果集,得到結果後必須執行.next()方法
給你個我剛寫的例子,區別很好理解的,我一般都用Statement,這是第一次用PreraredStatement 只不過是在後面賦值而已
publicclassTest{
publicstaticvoidmain(String[]args){
StringdriverName="com.microsoft.sqlserver.jdbc.SQLServerDriver";
StringdbURL="jdbc:sqlserver://localhost:1433;DatabaseName=LIBRARY";
StringuserName="sa";
StringuserPwd="";
ConnectiondbConn;
Statementstmt;
PreparedStatementps;
try{
Class.forName(driverName);
dbConn=DriverManager.getConnection(dbURL,userName,userPwd);
stmt=dbConn.createStatement();
ResultSetrs1=stmt.executeQuery("select*fromborrowwhereuno=2011111276");
System.out.println("statement:");
while(rs1.next()){
System.out.println(rs1.getString(1)+""+rs1.getString(2));
}ps=dbConn.prepareStatement("select*fromborrowwhereuno=?");
//注意這句
ps.setString(1,"2011111276");
ResultSetrs2=ps.executeQuery();
System.out.println("preparedstatement:");
while(rs2.next()){
System.out.println(rs2.getString(1)+""+rs2.getString(2));
}
}catch(Exceptione){
e.printStackTrace();
}
}
}
❼ Java預編譯SQL in怎麼賦值
sqlin使用方法:
1.in後條件不多,可以考慮主表建索引,或用unionall代替
2.in和exists的區別:如果子查詢得出的結果集記錄較少,主查詢中的表較大且又有索引時應該用in,反之如果外層的主查詢記錄較少,子查詢中的表大,又有索引時使用exists。其實我們區分in和exists主要是造成了驅動順序的改變(這是性能變化的關鍵),如果是exists,那麼以外層表為驅動表,先被訪問,如果是IN,那麼先執行子查詢,所以我們會以驅動表的快速返回為目標,那麼就會考慮到索引及結果集的關系了,另外IN時不對NULL進行處理。
3.如果in後接幾百幾千或幾萬的條件,可把in里的條件錄入臨時表,給臨時表加索引,用表連接代替。
❽ 什麼是sql注入如何防止sql注入
SQL注入是一種非常常見的資料庫攻擊手段,同時也是網路世界中最普遍的漏洞之一,簡單理解就是惡意用戶通過在表單中填寫包含SQL關鍵字的數據來使資料庫執行非常規代碼的過程。
問題來源是,SQL資料庫的操作是通過SQL語句來執行的,而無論是執行代碼還是數據項都必須寫在SQL語句中,也就導致如果我們在數據項中加入了某些SQL語句關鍵字,比如SELECT、DROP等,這些關鍵字就很有可能在資料庫寫入或讀取數據時得到執行。
解決方案
方案一:
採用預編譯技術
使用預編譯的SQL語句,SQL語句的語義不會是不會發生改變的。預編譯語句在創建的時候就已經將指定的SQL語句發送給了DBMS,完成了解析,檢查,編譯等工作,所以攻擊者無法改變SQL語句的結構,只是把值賦給?,然後將?這個變數傳給SQL語句。當然還有一些通過預編譯繞過某些安全防護的操作,大家感興趣可以去搜索一下。
方案二:
嚴格控制數據類型
在java、c等強類型語言中一般是不存在數字型注入的,因為在接受到用戶輸入id時,代碼一般會做一個int id 的數據類型轉換,假如我們輸入的是字元串的話,那麼這種情況下,程序就會報錯。但是在PHP、ASP這些沒有強調處理數據類型的語言,一般我們看到的接收id的代碼都是如下等代碼。
方案三:
對特殊的字元進行轉義
數字型注入可以通過檢查數據類型防止,但是字元型不可以,那麼怎麼辦呢,最好的辦法就是對特殊的字元進行轉義了。比如在MySQL中我們可以對" '
"進行轉義,這樣就防止了一些惡意攻擊者來閉合語句。當然我們也可以通過一些安全函數來轉義特殊字元。如addslashes()等,但是這些函數並非一勞永逸,攻擊者還可以通過一些特殊的方式繞過。
❾ c#怎麼預編譯SQL語句,就是像Java裡面那個PreparedStatement那樣的,不知道C#哪個類是對應的
PreparedStatement.setXXX(index,Value);
本來就是設定值的。
建議設定欄位還是使用+。
String List<X> getList(List<String> field){
String fieldList="";
StringBuffer buf=new StringBuffer().append(SELECT ");
for(oint i=0;i<field.size();i++){
buf.append(f);
if(i!=field.size()-1) buf.append(",");
}
buf.append(" FROM table");
...
}
❿ 預編譯SQL語句的使用問題
void setString(int parameterIndex,
String x)
PreparedStatement pstmt = con.prepareStatement("UPDATE table4 SET m = ? WHERE x = ?");
pstmt 對象包含語句 "UPDATE table4 SET m = ? WHERE x = ?",它已發送給DBMS,並為執行作好了准備。
2、傳遞 IN 參數
在執行 PreparedStatement 對象之前,必須設置每個 ? 參數的值。這可通過調用 setXXX 方法來完成,其中 XXX 是與該參數相應的類型。例如,如果參數具有Java 類型 long,則使用的方法就是 setLong。setXXX 方法的第一個參數是要設置的參數的序數位置,第二個參數是設置給該參數的值。例如,以下代碼將第一個參數設為 123456789,第二個參數設為 100000000:
pstmt.setLong(1, 123456789);
pstmt.setLong(2, 100000000);
一旦設置了給定語句的參數值,就可用它多次執行該語句,直到調用clearParameters 方法清除它為止。在連接的預設模式下(啟用自動提交),當語句完成時將自動提交或還原該語句。
如果基本資料庫和驅動程序在語句提交之後仍保持這些語句的打開狀態,則同一個 PreparedStatement 可執行多次。如果這一點不成立,那麼試圖通過使用PreparedStatement 對象代替 Statement 對象來提高性能是沒有意義的。
利用 pstmt(前面創建的 PreparedStatement 對象),以下代碼例示了如何設置兩個參數佔位符的值並執行 pstmt 10 次。如上所述,為做到這一點,資料庫不能關閉 pstmt。在該示例中,第一個參數被設置為 "Hi"並保持為常數。在 for 循環中,每次都將第二個參數設置為不同的值:從 0 開始,到 9 結束。
pstmt.setString(1, "Hi");
for (int i = 0; i < 10; i++) {
pstmt.setInt(2, i);
int rowCount = pstmt.executeUpdate();
}