java中statement、prepareStatement的相關理解

標籤：java statement

statement使用方法

Statement statement = connection.createStatement();String queryString = "select username,password from user_table where username=‘" +      username + "‘ and password=‘" + password + "‘";ResultSet resultSet = statement.executeQuery(queryString);

statement 為非先行編譯語句，每次執行會去資料庫 產生一條語句執行。

如果 password 變數 賦值為 ‘ or ‘‘1‘=‘1’ 則 整個語句為

select username,password from user_table where username=‘zhagnsan‘ and password=‘‘ or ‘1‘=‘1‘

 

statement會把這個字串傳給資料庫進行執行，此字串帶有注入，所以輸入任何資訊都會 登陸成功。

prepareStatement 使用方法

 String queryString = "select username,password from user_table where username = ? "                + "and password = ?"; preparedStatement = connection.prepareStatement(queryString); preparedStatement.setString(1, username); preparedStatement.setString(2, password); resultSet = preparedStatement.executeQuery();

connection.prepareStatement(queryString); 會把語句傳給資料庫 產生先行編譯語句。

  然後username ,password 的值就會變成 兩個問號的參數。輸入 or ‘‘1‘=‘1‘的值只會當成第二個參數值，資料庫裡先行編譯的語句 不會把 or 當成 選擇關係關鍵字，只會當成一個參數字串，傳進先行編譯的語句，這樣先行編譯語句 可以防止注入。

並且先行編譯語句 不用每次執行都去產生一條執行語句，而是產生一次之後可以多次調用使用，而statement是每次都會將拼接的 String字串 去資料庫產生語句執行。

先行編譯prepareStatement是statement更有效率。

java中statement、prepareStatement的相關理解