当我们使用java程序来操作sql server时会使用到Statement和PreparedStatement,俩者都可以用于把sql语句从java程序中发送到指定数据库,并执行sql语句。那么如何进行一个较好的选择?
首先,我们来看俩者的区别:
Statement和PreparedStatement的区别(1)
1、直接使用Statement,驱动程序一般不会对sql语句作处理而直接交给数据库;使用PreparedStamen,形成预编译的过程,并且会对语句作字符集的转换(至少在sql server)中如此。
如此,有两个好处:对于多次重复执行的语句,使用PreparedStament效率会更高一点,并且在这种情况下也比较适合使用batch;另外,可以比较好地解决系统的本地化问题。
2、PreparedStatement还能有效的防止危险字符的注入,也就是sql注入的问题。(但是必须使用“对?赋值的方法”才管用)
我们用一个实例来进行演示:
PreparedStatement的使用[Sql_test2.java]
/**
* PreparedStatement使用CRUD
*1、PreparedStatement可以提高执行效率(因为它有预编译的功能)
*2、PreparedStatement可以防止SQL注入,但是要求用?赋值的方式才可以
*/
packagecom.sqlserver;
importjava.sql.*;
publicclass Sql_test2 {
public static void main(String[] args) {
Connection ct=null;
PreparedStatement ps=null;
ResultSet rs=null;
try {
//1、加载驱动(把需要的驱动程序加入内存)
Class.forName("sun.jdbc.odbc.JdbcOdbcDriver");
//2、得到连接(指定连接到哪个数据源、数据库的用户名和密码)
ct=DriverManager.getConnection("jdbc:odbc:mytest","sa","sa");
//3、创建PreparedStatement
//PreparedStatement用处:主要用于发送SQL语句到数据库
// ps=ct.prepareStatement("select *from dept where deptno=? and loc=?");
// //给?赋值(可防止SQL注入漏洞问题),不要直接使用拼接的方式
// ps.setInt(1, 20);
// ps.setString(2, "dallas");
// //演示:查询,显示所有的部门信息
// //ResultSet结果集,大家可以把ResultSet理解成返回一张表行的结果集
// rs=ps.executeQuery();
// //循环取出
// while(rs.next()){
// int a=rs.getInt(1);
// String b=rs.getString(2);
// String c=rs.getString(3);
// System.out.println(a+" "+b+" "+c);
// }
//使用PreparedStetement添加一条记录
// ps=ct.prepareStatement("insert into dept values(?,?,?)");
// ps.setInt(1, 60);
// ps.setString(2, "安全部");
// ps.setString(3, "上海");
// //执行
// int i=ps.executeUpdate();
// if(i==1){
// System.out.println("添加成功");
// }else{
// System.out.println("添加失败");
// }
//使用PreparedStetement修改一条记录从dept表中修改loc=上海deptno改为50
// ps=ct.prepareStatement("update dept set deptno=? where loc='上海'");
// ps.setInt(1, 50);
// //执行
// int i=ps.executeUpdate();
// if(i==1){
// System.out.println("修改成功");
// }else{
// System.out.println("修改失败");
// }
//使用PreparedStetement删除一条记录
ps=ct.prepareStatement("delete from dept where deptno=?");
ps.setInt(1, 50);
int i=ps.executeUpdate();
if(i==1){
System.out.println("删除成功");
}else{
System.out.println("删除失败");
}
} catch (Exception e) {
e.printStackTrace();
}finally{
//关闭资源,关闭顺序先创建后关闭,后创建先关闭
try {
if(rs!=null){
rs.close();
}
if(ps!=null){
ps.close();
}
if(ct!=null){
ct.close();
}
} catch (SQLException e) {
e.printStackTrace();
}
}
}
}
此段代码比较容易理解,使用了PreparedStatement,其中对问号(?)的赋值防止了SQL的危险注入问题。
如果使用Statement,则在有时候会产生危险注入。比如,一个database中有一张表user
create table user
{
username varchar(30)
passwd varchar(30)
}
insert into user values('ywq' , 'ywqwd')
select * from user where username='ywq' and passwd='ywqwd'
通过以上语句将建立一张表,并且将数据查询显示出来。
然而问题就出现在这儿!!!当我们写成select * from user where username='ywq' and passwd='ffwd'
or 1='1'的时候,还是可以查询并且显示出数据,这就意味着前面的用户名和密码成为了虚设的,不起任何作用。如此看来,漏洞就在这儿。
当使用Statement时,ps=ct.createStatement("select *from dept where deptno='10' and loc='北京'");此语句将产生危险注入,导致系统不安全。所以我们很有必要使用PreparedStatement。
修改之后的代码如下所示:
ps=ct.prepareStatement("select * from user where username=? and passwd=?");
ps.setString(1, "ywq");
ps.setString(2, "ywqwd");
此时将正确查询到数据。当第三行改为:ps.setString(2,""ywqwd" or 1=1") 时将得不到正确结果。
总结下对问号?赋值的格式如下所示:
ps=ct.prepareStatement("insert into dept values(?,?,?)");
ps.setInt(1, 60);
ps.setString(2, "安全部");
ps.setString(3, "上海");
其中后三句分别对第一句中的?进行赋值。