基于JDBC的SQL注入问题

sql注入问题:用户输入的信息，间接或者直接的参与了，sq语句的拼写,影响了语句的判断

---

问题：

-- 早年登录逻辑,就是把用户在表单中输入的用户名和密码 带入如下sql语句. 如果查询出结果,那么 认为登录成功.

SELECT * FROM USER WHERE NAME='' AND PASSWORD='xxx';

-- sql注入: 请尝试以下 用户名和密码.

/* 用户名:

   密码: xxx

*/

-- 将用户名和密码带入sql语句, 如下:

SELECT * FROM USER WHERE NAME='xxx' OR 1=1 -- ' and password='xxx';

-- 发现sql语句失去了判断效果,条件部分成为了恒等式.

-- 导致网站可以被非法登录, 以上问题就是sql注入的问题.

思考会出现什么问题?

    将用户名密码带入sql语句,发现sql语句变成了如下形式:

        SELECT * FROM t_student WHERE NAME='abcd'OR 1=1;-- ' AND PASSWORD='1234';

    该sql语句就是一个 恒等条件.所以 一定会查询出记录. 造成匿名登陆.有安全隐患

  解决：  

如上问题,是如何解决的呢?

    1>解决办法:在运送sql时,我们使用的是Statement对象. 如果换成prepareStatement对象,那么就不会出现该问题.

    2>sql语句不要再直接拼写.而要采用预编译的方式来做.

完成如上两步.即可解决问题.

    *为什么使用PrepareStatement对象能解决问题?

                     sql的执行需要编译. 注入问题之所以出现,是因为用户填写 sql语句 参与了编译. 

 使用PrepareStatement对象在执行sql语句时,会分为两步.（运输两次）

 第一步：        将sql语句 "运送" 到mysql上编译. 

 第二步：        再回到 java端 拿到参数 运送到mysql端.

用户填写的 sql语句,就不会参与编译. 只会当做参数来看. 避免了sql注入问题;

PrepareStatement 在执行 母句相同, 参数不同的 批量执行时. 因为只会编译一次.节省了大量编译时间.效率会高.

使用PrepareStatement对象 与 Statement对象的区别

    1.Statement 可以先行创建, 然后将sql语句写入.

      PrepareStatement 在创建时一定要传入 sql语句, 因为它要先运送到数据库执行预编译

      api:      PreparedStatement pst = conn.prepareStatement(sql);

    2. PrepareStatement 在执行之前 先要设置 语句中的参数.

      api:        pst.setString(1, name);  -- set方法的调用要看 参数的类型.

                char/varchar    setString

                int                   setInt

                double             setDouble

                datatime/timestamp     setDate

    3. Statement对象在真正执行时 传入sql语句

           PrepareStatement 在执行之前已经 设置好了 sql语句 以及对应参数. 执行方法不需要参数

    api:         ResultSet rs = pst.executeQuery();