加载中…
个人资料
微博
  • 博客等级:
  • 博客积分:
  • 博客访问:
  • 关注人气:
  • 获赠金笔:0支
  • 赠出金笔:0支
  • 荣誉徽章:
正文 字体大小:

PreparedStatement

(2012-02-19 22:53:39)
标签:

杂谈

 分类: JAVASE

简单概述:

 

PreparedStatement继承自Statement,但比Statement功能强大的多。

优点:

1、PreparedStatement是预编译的,比Statement速度快。

    当同时要执行多条相同结构sql语句时使用,这时可以用setObject()addBatch()executeBatch()这几个函数。

2、可以防止sql注入。

    对JDBC而言,SQL注入攻击只对Statement有效,对PreparedStatement是无效的,这是因为PreparedStatement不允许在插入时改变查询的逻辑结构.

举例分析:

 

例一: 说明PreparedStatement速度快 插入两条语句只需编译一次,而Statement则需要编译两次。

package com;

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.SQLException;

public class TestPreparedStatement {
    public static void main(String[] args) {
        Connection con = null;
        PreparedStatement pst = null;
        try {
            Class.forName("com.microsoft.sqlserver.jdbc.SQLServerDriver");

            String url = "jdbc:sqlserver://127.0.0.1:1433;databaseName=userManager";
            con = DriverManager.getConnection(url, "as", "");
           

            String sql = "insert into myuser (userName,pwd) values (? , ?)";
            pst = con.prepareStatement(sql);
           

            pst.setString(1, "张三");  //也可以用setObject()
            pst.setString(2, "123");
            pst.addBatch();
   
            pst.setString(1, "李四");
            pst.setString(2, "456");
            pst.addBatch();
   
            pst.executeBatch();
   
        } catch (ClassNotFoundException e) {
            e.printStackTrace();
        } catch (SQLException e) {
            e.printStackTrace();
        } finally {
           try {
               if (pst != null) {
                   pst.close();
                   pst = null;
               }
               if (con != null) {
                   con.close();
                   con = null;
               }
           } catch (SQLException e) {
               e.printStackTrace();
           }
       }
    }
}

 

例二:说明PreparedStatement可以防止sql注入。

 

System.out.println("请输入用户名:");
name = input.nextLine();
System.out.println("请输入密码:");
pwd = input.nextLine();

String sql = "select * from myuser where userName = '" + name + "' and pwd = '" + pwd + "'";

Statement st = con.createStatement();
ResultSet rs = st.executeQuery(sql);
if (rs.next()) {
    System.out.println("登陆成功!");
} else {
    System.out.println("登陆失败!");
}

当输入用户名为任意,密码为:123' or '1' = '1时,则都可以登录成功。

 

System.out.println("请输入用户名:");
name = input.nextLine();
System.out.println("请输入密码:");
pwd = input.nextLine();

String sql = "select * from myuser where userName = ? and pwd = ? ";
PreparedStatement pst = con.prepareStatement(sql);

pst.setString(1, name);
pst.setString(2, pwd);
ResultSet rs = pst.executeQuery();
System.out.println(sql);
if (rs.next()) {
    System.out.println("登陆成功!");
} else {
    System.out.println("登陆失败!");
}

当输入用户名为任意,密码为:123' or '1' = '1时,则都可以登录失败。防止了sql注入。

 

喜欢

0

阅读 收藏 喜欢 打印举报/Report
  

新浪BLOG意见反馈留言板 欢迎批评指正

新浪简介 | About Sina | 广告服务 | 联系我们 | 招聘信息 | 网站律师 | SINA English | 产品答疑

Copyright © 1996 - 2022 SINA Corporation, All Rights Reserved

新浪公司 版权所有