预处理prepareStatement是怎么防止sql注入漏洞的？

旧城等待， 2023-10-02 15:28 23阅读 0赞

序，目前在对数据库进行操作之前，使用prepareStatement预编译，然后再根据通配符进行数据填值，是比较常见的做法，好处是提高执行效率，而且保证排除SQL注入漏洞。

### 一、prepareStatement的预编译和防止SQL注入功能 ###

大家都知道，java中JDBC中，有个预处理功能，这个功能一大优势就是能提高执行速度尤其是多次操作数据库的情况，再一个优势就是预防SQL注入，严格的说，应该是预防绝大多数的SQL注入。

用法就是如下边所示：

String sql="update cz_zj_directpayment set dp.projectid = ? where dp.payid= ?";
    try {
        
        PreparedStatement pset_f = conn.prepareStatement(sql);
        pset_f.setString(1,inds[j]);
        pset_f.setString(2,id);
        pset_f.executeUpdate(sql_update);
    }catch(Exception e){
        
        //e.printStackTrace();
        logger.error(e.message());
    }

为什么它这样处理就能预防SQL注入提高安全性呢？其实是因为SQL语句在程序运行前已经进行了预编译，在程序运行时第一次操作数据库之前，SQL语句已经被数据库分析，编译和优化，对应的执行计划也会缓存下来并允许数据库已参数化的形式进行查询，当运行时动态地把参数传给PreprareStatement时，即使参数里有敏感字符如 or '1=1’也数据库会作为一个参数一个字段的属性值来处理而不会作为一个SQL指令，如此，就起到了SQL注入的作用了！

### 二、**Statement和PreparedStatement的区别** ###

先来说说，什么是java中的Statement：Statement是java执行数据库操作的一个重要方法，用于在已经建立数据库连接的基础上，向数据库发送要执行的SQL语句。具体步骤：

1.首先导入java.sql.\*；这个包。

2.然后加载驱动，创建连接，得到Connection接口的的实现对象，比如对象名叫做conn。

3.然后再用conn对象去创建Statement的实例，方法是：Statement stmt = conn.creatStatement(“SQL语句字符串”);

Statement 对象用于将 SQL 语句发送到数据库中。实际上有三种 Statement 对象，它们都作为在给定连接上执行 SQL语句的包容器：Statement、PreparedStatement（它从 Statement 继承而来）和CallableStatement（它从 PreparedStatement 继承而来）。它们都专用于发送特定类型的 SQL 语句：Statement 对象用于执行不带参数的简单 SQL 语句；PreparedStatement 对象用于执行带或不带参数的预编译 SQL 语句；CallableStatement 对象用于执行对数据库已存储过程的调用。

综上所述，总结如下：Statement每次执行sql语句，数据库都要执行sql语句的编译，最好用于仅执行一次查询并返回结果的情形，效率高于PreparedStatement.但存在sql注入风险。PreparedStatement是预编译执行的。在执行可变参数的一条SQL时，PreparedStatement要比Statement的效率高，因为DBMS预编译一条SQL当然会比多次编译一条SQL的效率高。安全性更好，有效防止SQL注入的问题。对于多次重复执行的语句，使用Prepared

Statement效率会更高一点。执行SQL语句是可以带参数的，并支持批量执行SQL。由于采用了Cache机制，则预编译的语句，就会放在Cache中，下次执行相同的SQL语句时，则可以直接从Cache中取出来。

PreparedStatement pstmt  =  con.prepareStatement("UPDATE EMPLOYEES  SET name= ? WHERE ID = ?");
    pstmt.setString(1, "李四");
    pstmt.setInt(2, 1);
    pstmt. executeUpdate();

那么CallableStatement扩展了PreparedStatement的接口，用来调用存储过程，它提供了对于输入和输出参数的支持，CallableStatement 接口还有对 PreparedStatement 接口提供的输入参数的sql查询的支持。

PreparedStatement: 数据库会对sql语句进行预编译，下次执行相同的sql语句时，数据库端不会再进行预编译了，而直接用数据库的缓冲区，提高数据访问的效率（但尽量采用使用？号的方式传递参数），如果sql语句只执行一次，以后不再复用。 从安全性上来看，PreparedStatement是通过?来传递参数的，避免了拼sql而出现sql注入的问题，所以安全性较好。

在开发中，推荐使用 PreparedStatement

### 三、什么是SQL注入，怎么防止SQL注入？ ###

所谓SQL注入，就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。具体来说，它是利用现有应用程序，将（恶意）的SQL命令注入到后台数据库引擎执行的能力，它可以通过在Web表单中输入（恶意）SQL语句得到一个存在安全漏洞的网站上的数据库，而不是按照设计者意图去执行SQL语句。

怎么防止SQL注入，使用存储过程来执行所有的查询；检查用户输入的合法性；将用户的登录名、密码等数据加密保存。

### 四、spring中的事务是如何配置的？Spring中的AOP实现是基于什么原理？ ###

先来回答第二个问题，是个开发者都知道Spring中的AOP说的是面向切面的编程。所以，再深入点，AOP的实现原理其实是Java的动态代理

第二个问题，先来说说数据库中的事务，再来说所Spring是怎么处理数据库中的事务的。通俗的说，数据库事务就是在你需要插入1000条数据，然后再修改其中5条，删除其中3条的操作执行完毕之后的一次性提交。而在提交之前，这些变动实际上不写入数据库的。同时，里面如果有一步出错的话，所有的在这一个事务内部做过的变动都要撤销、回滚。如果未使用事务的话，对于上述操作，实际上数据库操作的次数是100+5+3次。那么，Spring对事务做了一些什么事情呢？Spring对事务做了封装，可以通过申明的方式提供事务管理，