SQL注入,PreparedStatement和Statement
* 在SQL中包含特殊字符或SQL的关键字(如:' or 1 or ')时Statement将出现不可预料的结果(出现异常或查询的结果不正确),可用PreparedStatement来解决。
* PreperedStatement(从Statement扩展而来)相对Statement的优点:
      1.没有SQL注入的问题。
      2.Statement会使数据库频繁编译SQL,可能造成数据库缓冲区溢出。
      3.数据库和驱动可以对PreperedStatement进行优化(只有在相关联的数据库连接没有关闭的情况下有效)。

SQLInject.java


package cn.itcast.jdbc;
 
import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;
 
public class SQLInject {
 
    /**
     * @param args
     * @throws SQLException
     */
    public static void main(String[] args) throws SQLException {
 
        //read1("admin");
        read1("' or 1 or '");
 
    }
 
    static void read1(String userid) throws SQLException {
        Connection conn = null;
        Statement st = null;
        ResultSet rs = null;
        try {
            // 2.建立连接
            conn = JdbcUtils.getConnection();
            // conn = JdbcUtilsSing.getInstance().getConnection();
 
            // 3.创建语句
            String sql = "select id, userid, uname, loginip from dede_admin where userid='"
                    + userid + "'";
            // 这种方式也可以查,但是不严谨,比如执行read("' or 1 or '")就会把所有结果都查出来
            // or是mysql的关键字, 1是真, 所以通过拼串这种方式是很不安全的,因为参数是别人传进来的,
            // 这样我们的系统就存在安全的隐患了。就比如登录的时候,密码随便写一个
            // 出现这种问题是由于单引号引起的,把单引号替换掉是一种处理方式,但是有时候单引号是保留字,
            // 有时候双引号是保留字,有时候反引号是保留字,这样过滤起来就没完没了,这样处理,
            // 就算你能保证现在能正常运行,但也不能保证以后能正常运行,或者说不能保证换个数据库能正常运行,
            // 那么这些关键字谁最清楚呢? 应该是数据库生产厂商最清楚,而在我们代码里?谁最清楚呢?
            // 驱动最清楚,因为驱动是数据库生产厂商生产的,所以驱动肯定清楚
            // 那我们的解决思路是我们不去进行过滤的工作,交给数据库驱动去干这件事情。
 
            System.out.println("sql=" + sql);
            st = conn.createStatement();
            // 4.执行语句
            rs = st.executeQuery(sql);
 
            // 5.处理结果
            while (rs.next()) {
                System.out.println(rs.getObject("id") + "\t"
                        + rs.getObject("userid") + "\t" + rs.getObject("uname")
                        + "\t" + rs.getObject("loginip"));
            }
        } finally {
            JdbcUtils.free(rs, st, conn);
        }
    }
 
}