预编译SQL语句(动态SQL)

预编译SQL语句与静态SQL语句的区别

预编译语句PreparedStatement 是java.sql中的一个接口,它是Statement的子接口。SQL语句的执行就是靠Statement执行的。

  1. 静态SQL语句: 
 //4.获取执行sql对象
 statement = connection.createStatement();
 //5.执行sql
 resultSet = statement.executeQuery(sql);

在获取到Statement对象后,SQL语句被发送到DBMS,完成了解析、检查、编译等工作,如果没有错误才可以执行
2. 预编译SQL语句:

//赋值语句使用?替换
   String sql = "select *from user where username = ? and password = ?;";
   psmt = connection.prepareStatement(sql);
   //为?赋值
   psmt.setString(1,username);
   psmt.setString(2,password);
   resultSet = psmt.executeQuery();

在获取到PreparedStatement 对象,前SQL语句被先发送到DBMS,完成了解析、检查、编译等工作,如果没有错误将返回PreparedStatement 对象用于执行SQL

<mark>3. SQL注入案例:</mark>

SELECT * FROM user WHERE username='admin' AND password='passwd'

--当输入了下面的用户名和密码,上面的SQL语句变成:
SELECT * FROM user WHERE username=''or 1=1 #' AND password=''

SELECT * FROM user WHERE username=‘or 1=1 #’ AND password=’’
由于是直接拼接好的SQL语句发送到数据库,所以等价于
SELECT * FROM user

可见如果采用了Statement执行SQL语句,将直接发送SELECT * FROM user WHERE username=’‘or 1=1 #’ AND password=’'到数据库,并且被DBMS解析后变成SELECT * FROM user,直接被绕过验证了,这是多么可怕的事情。
但是如果采用的是预编译语句处理,则发送到DBMS的是
SELECT * FROM user WHERE username=? AND password=?
setXXX之后的语句变成

select * FROM user WHERE username=\'\ or 1=1 #\'\ AND password=''

其中 单引号被MySQL的语法给转义了,导致无法匹配上数据库。

总之:相比正常的Statement执行SQL,预编译SQL的方法更为高效,体现在如果一条SQL语句要被执行多遍,则只会被DBMS检查一次,相比正常执行SQL的效率提高了;PreparedStatement还可以防止SQL注入问题,安全性也更高。

如有出入,恳请指教