A. sql注入的防范 使用预编译语句
预编译语句PreparedStatement是 java.sql中的一个接口,继承自Statement 接口。通过Statement对象执行SQL语句时,需要将SQL语句发送给DBMS,由 DBMS先进行编译后再执行。而预编译语句和Statement不同,在创建PreparedStatement对象时就指定了SQL语句,该语句立即发送给DBMS进行编译,当该编译语句需要被执行时,DBMS直接运行编译后的SQL语句,而不需要像其他SQL语句那样先将其编译。引发SQL注入的根本原因是恶意用户将SQL指令伪装成参数传递到后端数据库执行。作为一种更为安全的动态字符串的构建方法,预编译语句使用参数占位符来替代需要动态传入的参数,这样攻击者无法改变SQL语句的结构,SQL语句的语义不会发生改变,即便用户传入类似于前面' or '1'='1这样的字符串,数据库也会将其作为普通的字符串来处理。
B. pstmt = conn.prepareStatement(sql);是什么意思
pstmt = conn.prepareStatement(sql)是执行SQL语句的一个接口。但是执行前会对SQL语句进行预编译的操作,然后就开始执行SQL语句,并把结果赋值给pstmt。conn的意思是一个数据库连接。
PreparedStatement是Statement的子接口,表示预编译的 SQL 语句的对象,SQL 语句被预编译并存储在PreparedStatement对象中。然后可以使用此对象多次高效地执行该语句。如果有参数的话还需要添加输入的参数。
(2)预编译语句执行sql语句扩展阅读:
数据库建立连接的五大步骤:
1、加载(注册)数据库
装载驱动程序只需要非常简单的一行代码。例如,你想要使用 JDBC-ODBC 桥驱动程序,可以用下列代码装载它:Class.forName("sun.jdbc.odbc.JdbcOdbcDriver")。
你的驱动程序文档将告诉你应该使用的类名。例如, 如果类名是 jdbc.DriverXYZ ,你将用代码以下的代码装载驱动程序:Class.forName("jdbc.DriverXYZ")。
你不需要创建一个驱动程序类的实例并且用 DriverManager 登记它,因为调用 Class.forName 将自动将加载驱动程序类。加载 Driver 类后,它们即可用来与数据库建立连接。
2 、建立链接
第二步就是用适当的驱动程序类与 DBMS 建立一个连接。下列代码是一般的做法:
Connection con = DriverManager.getConnection(url,"myLogin","myPassword")
3 、执行SQL语句
我们使用 executeUpdate 方法是因为在 createTableCoffees 中的 SQL 语句是 DDL (数据定义语言)语句。创建表,改变表,删除表都是 DDL 语句的例子,要用 executeUpdate 方法来执行。
4、 处理结果集
5 、关闭数据库
参考资料来源:网络-Java数据库连接
C. jdbc链接MySql数据库,预编译的sql语句怎么使用批处理执行
http://feilaiye.blog.163.com/blog/static/87359597200932353735886/
帮你找到的,希望有帮助。特别是以下内容。
Connection conn = ConnectionObject.getConnection();
String insql = "insert into students(sid,sname,sex,age,address,tel) values(?,?,?,?,?,?)";
if(conn != null){
try {
sta = conn.createStatement();
ps = conn.prepareStatement(insql);
ps.setString(1, "tzcs008");
ps.setString(2, "朱玉丽");
ps.setCharacterStream(3, sr,sex.length());
ps.setInt(4, 22);
ps.setString(5, "宁乡");
ps.setString(6,"15985633254");
ps.executeUpdate();
}
D. 求高手!!!! DButil 怎么实现预编译 以及 批量执行sql 语句 求 代码!!!
DataSource dataSource = new DataSource(); // 实例化Datasource
QueryRunner runQuery = new QueryRunner(dataSource);
runQuery.batch(sql,object); // sql : "DELETE FROM english WHERE id = ? " 预编译
Object 是一个二维数组 对应你要删除的值
E. sql语句执行时有几个步骤
主要是以下几个阶段:
1、语法分析:分析语句是否有错误
2、预编译:对分析通过的语句进行编译
3、优化编译:进行语句的自动优化
4、执行:执行优化后的语句,得出结果
呵呵,希望能有帮助,^_^
F. 预编译SQL语句的使用问题
void setString(int parameterIndex,
String x)
PreparedStatement pstmt = con.prepareStatement("UPDATE table4 SET m = ? WHERE x = ?");
pstmt 对象包含语句 "UPDATE table4 SET m = ? WHERE x = ?",它已发送给DBMS,并为执行作好了准备。
2、传递 IN 参数
在执行 PreparedStatement 对象之前,必须设置每个 ? 参数的值。这可通过调用 setXXX 方法来完成,其中 XXX 是与该参数相应的类型。例如,如果参数具有Java 类型 long,则使用的方法就是 setLong。setXXX 方法的第一个参数是要设置的参数的序数位置,第二个参数是设置给该参数的值。例如,以下代码将第一个参数设为 123456789,第二个参数设为 100000000:
pstmt.setLong(1, 123456789);
pstmt.setLong(2, 100000000);
一旦设置了给定语句的参数值,就可用它多次执行该语句,直到调用clearParameters 方法清除它为止。在连接的缺省模式下(启用自动提交),当语句完成时将自动提交或还原该语句。
如果基本数据库和驱动程序在语句提交之后仍保持这些语句的打开状态,则同一个 PreparedStatement 可执行多次。如果这一点不成立,那么试图通过使用PreparedStatement 对象代替 Statement 对象来提高性能是没有意义的。
利用 pstmt(前面创建的 PreparedStatement 对象),以下代码例示了如何设置两个参数占位符的值并执行 pstmt 10 次。如上所述,为做到这一点,数据库不能关闭 pstmt。在该示例中,第一个参数被设置为 "Hi"并保持为常数。在 for 循环中,每次都将第二个参数设置为不同的值:从 0 开始,到 9 结束。
pstmt.setString(1, "Hi");
for (int i = 0; i < 10; i++) {
pstmt.setInt(2, i);
int rowCount = pstmt.executeUpdate();
}
G. 能执行预编译sql的是哪一个选项
能执行预编译sql的是哪一个选项
pstmt.setString(1,user.getId()+"");
pstmt.setString(2,user.getName());
pstmt.setString(3,user.getPwd());
这是以占位符方式设置 sql的参数值。