Java程序设计任务驱动教程课件 项目12 任务2 使用 PreparedStatement 实现预编译 SQL 查询.pptxVIP

项目十二JDBC数据库编程任务二使用PreparedStatement实现预编译SQL查询Java程序设计任务驱动教程

项目十二JDBC数据库编程任务一通过JDBC实现基础的CRUD操作任务二使用PreparedStatement实现预编译SQL查询

任务要求任务一讲解了Java通过JDBC操作数据库，在实际项目中，需要处理更多的细节，如错误处理、事务管理、连接池的使用等；在安全方面，应该使用PreparedStatement来防范SQL注入。因此，本任务在任务一的基础上增加以下要求。（1）对用户输入的图书信息进行完整性验证，确保它们符合格式和类型的要求。（2）使用PreparedStatement对象而不是Statement对象进行参数化查询。

1.SQL注入防御：多重防护策略01.定义SQL注入是一种针对数据库的攻击手段,是比较常见的网络攻击方式之一。攻击者在Web应用程序中事先定义好的SQL语句结尾，添加额外的SQL语句,在管理员不知情的情况下实现非法操作。02.攻击原理假设登录页面使用SQL语句：SELECT*FROMusersWHEREusername=‘$username‘ANDpassword=‘$password‘。攻击者在原有SQL语句后面加上OR1=1这样的语句（一定会成功运行），就可以绕过输入限制，进入网站后台，使原有的SQL语句失效。

2.SQL注入防御：多重防护策略13输入验证参数化查询防火墙防护权限控制在代码中对??输?的内容进行严格的验证和过滤，避免接收不安全的输入。检查数据类型、长度、格式等。使用PreparedStatement使用Web应用程序防火墙限制数据库??的权限,对象进行参数化查询，替代(WAF)来检测和阻止确保只有必要的权限被直接将??输?拼接到SQL语句。SQL注入攻击，提供实时赋予，遵循最小权限原监控和拦截能力。则，降低攻击风险。多层防护，安全第一

3.StatementvsPreparedStatement：安全与效率的对比1.预编译执行：SQL语句预先编译，对于经常重复的查询非常高效；2.参数化查询：使用占位符(?)代替参数，通过setter方法赋值,自动转义;3.适用场景：需要参数查询、频繁执行相同结构的SQL语句;4.安全优势：高，有效防范SQL注入。02.PreparedStatement1.静态SQL执行：每次执行都需要完整解析SQL语句，性能开销较大；2.字符串拼接：直接将??输?拼接到SQL语句中，存在SQL注入风险；3.适用场景：不包含参数的静态查询，执行频率较低的简单操作;4.安全风险：高，无法防范SQL注入攻击。01.StatementVS

4.参数化查询原理：占位符机制详解平平风格编备预程01.占位符（？）说明1.占位符定义：PreparedStatement接口使用占位符(?)来代替参数，然后通过setter方法为SQL语句中的参数赋值；2.创建对象代码：PreparedStatementstatement=connection.preparedStatement(select*frombookswhereid=？)3.参数赋值：preparedStatement.setlnt(1,100);第一个参数是参数的顺序(从1开始)，第二个参数是参数的值；3.参数类型对应：setString()用于字符串类型，setlnt()用于整数类型，setDouble()用于浮点数类；4.自动转义：JDBC驱动程序会确保参数被正确转义，防止特殊字符破坏SQL语句结构

5.任务实施：完整性验证—确保数据质量的第一道防线书名验证出版社编号验证不能为空：title==nulltile.rimn.smpty0)非零检查：publisherid!=0长度限制8：title.length02，避免书名过短出版社编号必须为有效值，确保出版社有效性。确保图书名称的完整性和可读性。价格验证作者编号验证非零检查：authorid!=0非零检查：price!=0作者编号必须为有效值，不能为0，确保图书价格必须大于0，确保数据的经济关联的有效性。意义。验证通过后才能执行插入操作

5.任务实施：参数化插入—安全添加图书信息sql=INSERTINTObooks(title,authorid,publisherid,price)values(?,?,?,?)预编译SQL语句完整性验证创建PreparedStatement对象为参数赋值执行插入操作preparedState