2. 程式人生 > >使用PreparedStatement 防止SQL攻擊 實現預編譯功能提高效能

使用PreparedStatement 防止SQL攻擊 實現預編譯功能提高效能

阿新 發佈:2019-01-24 
public boolean login(String username,String password) throws Exception
{
    String driverClassName="com.mysql.jdbc.Driver";

    String url="jdbc:mysql://localhost:3306/mydb3";

    String u="root";

    String p="123";

    Class.forName(driverClassName);

    Connection connection=DriverManager.getConnection(url, u, p);

    String sql="SELECT * FROM user where username=? AND password=?";

    PreparedStatement preparedStatement=connection.prepareStatement(sql);

    preparedStatement.setString(1,username);
    preparedStatement.setString(2,password);

    ResultSet resultSet=preparedStatement.executeQuery();

    return resultSet.next();
}

@Test
public void fun() throws Exception
{
    String username="zhangSan";
    String password="1234789";
    System.out.println(login(username, password));
}
}

tips 1:有返回值的函式不能寫註解@Test,否則會報函式引數必須為空的異常
2:傳統的Statement在每次執行executeQuery(sql)都需要進行重新效驗語法並編譯成相應函式程式碼,降低了效率。
3:若使用PreparedStatement ,可以實現一次編譯函式程式碼,而後的過程僅僅是給出函式引數,大大提高了效率。
4:第3點效率的提高是基於MySql資料庫開啟預編譯功能。

如何開啟資料庫預編譯功能呢?

使用以下url即可

String url="jdbc:mysql://localhost:3306/mydb3?useServerPrepStmts=true&cachePrepStmts=true"

相關推薦

使用PreparedStatement 防止SQL攻擊 實現編譯功能提高效能

public boolean login(String username,String password) throws Exception { String driverClassName="com.mysql.jdbc.Driver"; S

JDBC防止SQL攻擊PreparedStatement的用法

public boolean login(String username, String passwo) throws Exception { /* * 一、得到Connection 二、得到Statement 三、得到ResuleSet 四、rs.next()返回的是

SQL或HQL編譯語句,能夠防止SQL注入,但是不能處理%和_特殊字元

最近專案在做整改,將所有DAO層的直接拼接SQL字串的程式碼,轉換成使用預編譯語句的方式。個人通過寫dao層的單元測試,有以下幾點收穫。 dao層程式碼如下 //使用了預編譯sql public Li

MySQL之使用處理物件PreparedStatement防止注入攻擊

防止注入攻擊核心思想通過預處理物件PreparedStatement,對SQL語句中引數列表進行指定傳參,防止使用者在SQL語句結尾上新增額外的SQL語句SQL語句中引數列表每條SQL語句中的引數全部採用問號佔位符String sql = "insert into sort(

MySQL的編譯功能

.cn 支持 right amp print div 服務 nec rom 1、預編譯的好處   大家平時都使用過JDBC中的PreparedStatement接口,它有預編譯功能。什麽是預編譯功能呢?它有什麽好處呢?   當客戶發送一條SQL語句給服務器後,服務器總是

在使用PreparedStatement防止SQL注入時,順帶輸出完整的SQL語句

本文轉載於:https://www.cnblogs.com/aipan/p/7237854.html 但有修改和補充 原因: PreparedStatement介面沒有提供什麼方法可以直接輸出封裝好的sql語句,所以在這找了一個比較實用的類,自己寫,一次寫成,終身受益。具體程式碼如下。

如何在T-sql實現陣列的功能

T-SQL象陣列一樣處理字串、分割字串    在日常的程式設計過程中,陣列是要經常使用到的。在利用SQL對資料庫進行操作時,有時就想在SQL使用陣列,比如將1,2,3,4,5拆分成陣列。可惜的是在T-SQL中不支援陣列。不過還是有變通的辦法。我們可以自己編寫兩函式Get

Mybatis中#{}和${}的區別以及對sql注入、編譯、jdbcType的說明

#{}和${}都可以獲取map中的值或者pojo物件屬性的值; sql語句示例: select * from tbl_employee where id=${id} and last_name=#{lastName} Preparing: select * from tbl_employee

開發者的進階之路:用語法樹來實現編譯

能夠 項目 未來 部分 領域 編譯器 提高 cfb ima 如何在保證安全性的前提下,提升開發過程的效率,是每個開發者都在不斷探索的問題。借助語法樹,開發者能夠更好地展現和修改源程序代碼,優化開發環節,提高安全系數,還能進一步實現安卓預編譯。 本文基於個推高級研發工程師李健

JDBC:使用PreparedStatement防止SQL注入

   1.關於SQL注入 什麼是SQL注入: 由於jdbc程式在執行的過程中sql語句在拼裝時使用了由頁面傳入引數,如果使用者惡意傳入一些sql中的特殊關鍵字,會導致sql語句意義發生變化,這種攻擊方式就叫做sql注入,參考使用者註冊登入案例。   首先看一下以下程式碼:

MySQL的編譯功能簡述

預編譯的好處 大家平時都使用過JDBC中的PreparedStatement介面,它有預編譯功能。什麼是預編譯功能呢?它有什麼好處呢? 當客戶傳送一條SQL語句給伺服器後,伺服器總是需要校驗SQL語句的語法格式是否正確,然後把SQL語句編譯成可執行的函式,最後才是執行SQL

誤用Freemarker標籤和SpringJDBC編譯功能導致的記憶體洩露問題分析

一. 問題描述         本人所在的專案組專案已經執行快一年了,功能效能都比較穩定。但是最近釋出了一個版本,只是業務上增加了一些資料量,最終效果卻是在持續執行的過程中,出現OOM異常。之前也發過一些版本,做過一些類似的調整,都沒有出現效能問題,而這個版本卻出現了,著實

以mysql為例介紹PreparedStatement防止sql注入原理

最近,在寫程式時開始注意到sql注入的問題,由於以前寫程式碼時不是很注意,有一些sql會存在被注入的風險,那麼防止sql注入的原理是什麼呢?我們首先通過PrepareStatement這個類來學習一下吧! 作為一個IT業內人士只要接觸過資料庫的人都應該知道sq

(工作小總結)Django REST Framework 效能優化,簡單實現載入功能

緣由: Django 的 ORM 是惰性的每個使用者訪問網站時候,都要進行一次資料互動 在最初開發的時候,需要考慮到使用者量大的時候, 又由於 Django 的 ORM 是惰性的,它只取出當前查詢所需響應最小的資料。它不知道你是否有成百上千的相同或相似的

用java程式碼實現javac編譯功能

 (摘自 http://www.evget.com/zh-CN/Info/catalog/15816.html ) Java作為業界應用最為廣泛的語言之一,深得眾多軟體廠商和開發者的推崇,更是被包括Oracle在內的眾多JCP成員積極地推動發展。但是對於Java語言的深度理

C語言中的三大編譯功能

這三種預處理包括:巨集定義、檔案包含、條件編譯。 巨集定義是C語言提供的三種預處理功能的其中一種。巨集定義和操作符的區別是:巨集定義是替換,不做計算,也不做表示式求解。 巨集定義又稱為巨集代換、巨集替換,簡稱“巨集”。 格式: 其中的識別符號就是所謂的符號常量,也

vue-cli3使用 DllPlugin 實現編譯,提升構建速度

ons 進行 closed brush highlight 忽略 pts con pla 在項目打包上有兩個目標:減少打包代碼體積和加快打包速度 1. 減少打包體積: (1)對於用的比較少的庫,可以去掉(我去掉了jquery以及lodash),用到的地方,參考源碼自己寫 (

abatis防止sql攻擊

為了防止SQL注入,iBatis模糊查詢時也要避免使用$$來進行傳值。下面是三個不同資料庫的ibatis的模糊查詢傳值。# mysql: select * from stu where name like concat('%',#name #,'%') # # oracl

PreparedStatement防止sql注入原理

PreparedStatement類是java的一個類,準確說是jdbc規範中的一個介面,各個資料庫產商的實現不同(即實現類不同),今天我們就以mysql資料庫來說,我已經下載了mysql資料庫的驅動jar包和驅動程式的原始碼. sql注入的時候,比如,有些使用者就會在介面

SQL SERVER 實現轉置功能

--1生成測試表 CREATE TABLE [dbo].[TABLEA]([WO] [varchar](50) NOT NULL,[ColoumnName] [varchar](50) NULL,[ColoumnValue] [varchar](50) NULL, )  i