A. sql注入的防範 使用預編譯語句
預編譯語句PreparedStatement是 java.sql中的一個介面,繼承自Statement 介面。通過Statement對象執行SQL語句時,需要將SQL語句發送給DBMS,由 DBMS先進行編譯後再執行。而預編譯語句和Statement不同,在創建PreparedStatement對象時就指定了SQL語句,該語句立即發送給DBMS進行編譯,當該編譯語句需要被執行時,DBMS直接運行編譯後的SQL語句,而不需要像其他SQL語句那樣先將其編譯。引發SQL注入的根本原因是惡意用戶將SQL指令偽裝成參數傳遞到後端資料庫執行。作為一種更為安全的動態字元串的構建方法,預編譯語句使用參數佔位符來替代需要動態傳入的參數,這樣攻擊者無法改變SQL語句的結構,SQL語句的語義不會發生改變,即便用戶傳入類似於前面' or '1'='1這樣的字元串,資料庫也會將其作為普通的字元串來處理。
B. pstmt = conn.prepareStatement(sql);是什麼意思
pstmt = conn.prepareStatement(sql)是執行SQL語句的一個介面。但是執行前會對SQL語句進行預編譯的操作,然後就開始執行SQL語句,並把結果賦值給pstmt。conn的意思是一個資料庫連接。
PreparedStatement是Statement的子介面,表示預編譯的 SQL 語句的對象,SQL 語句被預編譯並存儲在PreparedStatement對象中。然後可以使用此對象多次高效地執行該語句。如果有參數的話還需要添加輸入的參數。
(2)預編譯語句執行sql語句擴展閱讀:
資料庫建立連接的五大步驟:
1、載入(注冊)資料庫
裝載驅動程序只需要非常簡單的一行代碼。例如,你想要使用 JDBC-ODBC 橋驅動程序,可以用下列代碼裝載它:Class.forName("sun.jdbc.odbc.JdbcOdbcDriver")。
你的驅動程序文檔將告訴你應該使用的類名。例如, 如果類名是 jdbc.DriverXYZ ,你將用代碼以下的代碼裝載驅動程序:Class.forName("jdbc.DriverXYZ")。
你不需要創建一個驅動程序類的實例並且用 DriverManager 登記它,因為調用 Class.forName 將自動將載入驅動程序類。載入 Driver 類後,它們即可用來與資料庫建立連接。
2 、建立鏈接
第二步就是用適當的驅動程序類與 DBMS 建立一個連接。下列代碼是一般的做法:
Connection con = DriverManager.getConnection(url,"myLogin","myPassword")
3 、執行SQL語句
我們使用 executeUpdate 方法是因為在 createTableCoffees 中的 SQL 語句是 DDL (數據定義語言)語句。創建表,改變表,刪除表都是 DDL 語句的例子,要用 executeUpdate 方法來執行。
4、 處理結果集
5 、關閉資料庫
參考資料來源:網路-Java資料庫連接
C. jdbc鏈接MySql資料庫,預編譯的sql語句怎麼使用批處理執行
http://feilaiye.blog.163.com/blog/static/87359597200932353735886/
幫你找到的,希望有幫助。特別是以下內容。
Connection conn = ConnectionObject.getConnection();
String insql = "insert into students(sid,sname,sex,age,address,tel) values(?,?,?,?,?,?)";
if(conn != null){
try {
sta = conn.createStatement();
ps = conn.prepareStatement(insql);
ps.setString(1, "tzcs008");
ps.setString(2, "朱玉麗");
ps.setCharacterStream(3, sr,sex.length());
ps.setInt(4, 22);
ps.setString(5, "寧鄉");
ps.setString(6,"15985633254");
ps.executeUpdate();
}
D. 求高手!!!! DButil 怎麼實現預編譯 以及 批量執行sql 語句 求 代碼!!!
DataSource dataSource = new DataSource(); // 實例化Datasource
QueryRunner runQuery = new QueryRunner(dataSource);
runQuery.batch(sql,object); // sql : "DELETE FROM english WHERE id = ? " 預編譯
Object 是一個二維數組 對應你要刪除的值
E. sql語句執行時有幾個步驟
主要是以下幾個階段:
1、語法分析:分析語句是否有錯誤
2、預編譯:對分析通過的語句進行編譯
3、優化編譯:進行語句的自動優化
4、執行:執行優化後的語句,得出結果
呵呵,希望能有幫助,^_^
F. 預編譯SQL語句的使用問題
void setString(int parameterIndex,
String x)
PreparedStatement pstmt = con.prepareStatement("UPDATE table4 SET m = ? WHERE x = ?");
pstmt 對象包含語句 "UPDATE table4 SET m = ? WHERE x = ?",它已發送給DBMS,並為執行作好了准備。
2、傳遞 IN 參數
在執行 PreparedStatement 對象之前,必須設置每個 ? 參數的值。這可通過調用 setXXX 方法來完成,其中 XXX 是與該參數相應的類型。例如,如果參數具有Java 類型 long,則使用的方法就是 setLong。setXXX 方法的第一個參數是要設置的參數的序數位置,第二個參數是設置給該參數的值。例如,以下代碼將第一個參數設為 123456789,第二個參數設為 100000000:
pstmt.setLong(1, 123456789);
pstmt.setLong(2, 100000000);
一旦設置了給定語句的參數值,就可用它多次執行該語句,直到調用clearParameters 方法清除它為止。在連接的預設模式下(啟用自動提交),當語句完成時將自動提交或還原該語句。
如果基本資料庫和驅動程序在語句提交之後仍保持這些語句的打開狀態,則同一個 PreparedStatement 可執行多次。如果這一點不成立,那麼試圖通過使用PreparedStatement 對象代替 Statement 對象來提高性能是沒有意義的。
利用 pstmt(前面創建的 PreparedStatement 對象),以下代碼例示了如何設置兩個參數佔位符的值並執行 pstmt 10 次。如上所述,為做到這一點,資料庫不能關閉 pstmt。在該示例中,第一個參數被設置為 "Hi"並保持為常數。在 for 循環中,每次都將第二個參數設置為不同的值:從 0 開始,到 9 結束。
pstmt.setString(1, "Hi");
for (int i = 0; i < 10; i++) {
pstmt.setInt(2, i);
int rowCount = pstmt.executeUpdate();
}
G. 能執行預編譯sql的是哪一個選項
能執行預編譯sql的是哪一個選項
pstmt.setString(1,user.getId()+"");
pstmt.setString(2,user.getName());
pstmt.setString(3,user.getPwd());
這是以佔位符方式設置 sql的參數值。