《Java SQL 操作指南:深入理解 Statement 用法与优化》

在 Java 数据库编程中,Statement 是用于执行 SQL 语句的接口,允许程序与数据库进行交互。本文将详细介绍 Statement 的基本概念、常见用法以及 PreparedStatementCallableStatement 等相关接口。

1. Statement 基本介绍

Statement 接口继承了 AutoCloseableWrapper 接口,使其具备自动关闭和封装功能。

  • AutoCloseable:提供 close() 方法,确保 Statement 在不再使用时释放资源。

  • Wrapper:提供 isWrapperFor(Class<?>)unwrap(Class<T>) 方法,允许 Statement 作为其他数据库 API 的封装。

此外,Statement 还包含多个重要属性,如 cursorNamepoolableconnection 等。

Statement 是 JDBC 提供的用于执行 SQL 语句的接口,主要特点如下:

  1. 适用于执行静态 SQL 语句,每次执行都需要编译。

  2. 通过 executeQuery() 执行查询语句,返回 ResultSet

  3. 通过 executeUpdate() 执行更新语句,返回影响的行数。

  4. 存在 SQL 注入风险,建议使用 PreparedStatement 代替。

2. Statement 的基本用法

java 复制代码
package JDBC;

import java.io.FileInputStream;
import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.ResultSet;
import java.sql.Statement;
import java.util.Properties;
import java.util.Scanner;

//JDBC注入机制演示

public class Statement_ {
    public static void main(String[] args) throws Exception {

//        Class.forName("com.mysql.jdbc.Driver");
        Scanner scanner = new Scanner(System.in);
        System.out.println("Enter SQL nameusr statement");
        String username =scanner.nextLine();
        System.out.println("Enter SQL pwd statement");
        String pwd =scanner.nextLine();

        Properties properties = new Properties();
        properties.load(new FileInputStream("src\\JDBC\\mysql.properties"));
        String url = (String) properties.get("url");
        String user =(String) properties.get("user");
        String password =(String) properties.get("password");
        String driver =(String) properties.get("driver");
//        实例化
        Class.forName(driver);

        Connection connection = DriverManager.getConnection(url, user, password);

//        得到statement
        Statement statement = connection.createStatement();

//        组织查询语句
        String sql = "select * from sql_injection where NAME='"+username+"'and  pwd = '"+pwd+"';" ;
        System.out.printf(sql+"\n");

        ResultSet resultSet = statement.executeQuery(sql);
        if (resultSet.next()) {
            System.out.println("查询成功");

        }
        else {
            System.out.println("查询失败");

        }

//        关闭连接,安全操作
        resultSet.close();
        statement.close();
        connection.close();



    }
}

2.1 主要方法

  • execute(String sql): 执行 SQL 语句,返回 boolean,如果执行的是查询语句,返回 true,否则返回 false

  • executeQuery(String sql): 仅用于 SELECT 语句,返回 ResultSet

  • executeUpdate(String sql): 仅用于 INSERTUPDATEDELETE 语句,返回受影响的行数。

  • addBatch(String sql): 添加 SQL 语句到批处理命令中。

  • executeBatch(): 执行批处理命令,返回每条 SQL 语句影响的行数。

  • clearBatch(): 清除已添加的批处理命令。

  • setQueryTimeout(int seconds): 设置查询超时时间。

  • getMoreResults(): 检查是否存在多个 ResultSet

  • close(): 关闭 Statement,释放资源。

2.2 执行更新操作

可以使用 executeUpdate() 进行 INSERTUPDATEDELETE 操作,例如:

java 复制代码
Statement stmt = conn.createStatement();
int rowsAffected = stmt.executeUpdate("UPDATE users SET age = 30 WHERE id = 1");
System.out.println("更新影响的行数: " + rowsAffected);

3. Statement 的问题与优化

3.1 SQL 注入风险

使用 Statement 直接拼接 SQL 语句可能会导致 SQL 注入攻击,例如:

sql 复制代码
USE mydatabase;
SHOW DATABASES;

SHOW TABLES;
CREATE TABLE sql_injection  ( -- 管理表
	NAME VARCHAR(32) NOT NULL UNIQUE,
	pwd VARCHAR(32) NOT NULL DEFAULT ''
)CHARACTER SET utf8;


DROP TABLE sql_injection;
DESC sql_injection;

INSERT INTO sql_injection VALUES( 'wangya' ,'1314520'
);

SELECT * FROM sql_injection;

SELECT *  FROM  sql_injection
	WHERE NAME='wangya' AND pwd='1314520';

-- sql 注入演示
-- 用户输入密码为: 1' or
-- 输入密码为:or '1'= '1
SELECT *  FROM  sql_injection
	WHERE NAME='1' OR' or AND pwd='OR '1'= '1';

SELECT *  FROM  sql_injection
	WHERE NAME='wangya' OR pwd='1314520'  OR '1'='1' ;

以上代码可能被攻击者利用,绕过密码验证。

总结

Statement 是 Java 数据库操作的基本接口,但由于其存在 SQL 注入风险,在实际开发中推荐使用 PreparedStatement。此外,CallableStatement 适用于调用存储过程,提高数据库访问效率。了解并正确使用这些接口,可以提升数据库操作的安全性和性能。

相关推荐
武子康18 分钟前
Java-80 深入浅出 RPC Dubbo 动态服务降级:从雪崩防护到配置中心秒级生效
java·分布式·后端·spring·微服务·rpc·dubbo
-SGlow-2 小时前
MySQL相关概念和易错知识点(2)(表结构的操作、数据类型、约束)
linux·运维·服务器·数据库·mysql
明月5663 小时前
Oracle 误删数据恢复
数据库·oracle
YuTaoShao3 小时前
【LeetCode 热题 100】131. 分割回文串——回溯
java·算法·leetcode·深度优先
源码_V_saaskw3 小时前
JAVA图文短视频交友+自营商城系统源码支持小程序+Android+IOS+H5
java·微信小程序·小程序·uni-app·音视频·交友
超浪的晨3 小时前
Java UDP 通信详解:从基础到实战,彻底掌握无连接网络编程
java·开发语言·后端·学习·个人开发
双力臂4044 小时前
Spring Boot 单元测试进阶:JUnit5 + Mock测试与切片测试实战及覆盖率报告生成
java·spring boot·后端·单元测试
♡喜欢做梦4 小时前
【MySQL】深入浅出事务:保证数据一致性的核心武器
数据库·mysql
遇见你的雩风4 小时前
MySQL的认识与基本操作
数据库·mysql
Edingbrugh.南空4 小时前
Aerospike与Redis深度对比:从架构到性能的全方位解析
java·开发语言·spring