PreparedStatement 对象对sql语句进行预编译防止SQL注入！！！

怼烎@ 2024-04-01 08:21 57阅读 0赞

PreparedStatement 好处：

*  预编译SQL，性能更高
 *  防止SQL注入：将敏感字符进行转义  
    ![在这里插入图片描述][1125623d9e1249eea302fd1ed4889934.png]

Java代码操作数据库流程如图所示：

*  将sql语句发送到MySQL服务器端
 *  MySQL服务端会对sql语句进行如下操作
    
     *  检查SQL语句
        
        检查SQL语句的语法是否正确。
     *  编译SQL语句。将SQL语句编译成可执行的函数。
        
        检查SQL和编译SQL花费的时间比执行SQL的时间还要长。如果我们只是重新设置参数，那么检查SQL语句和编译SQL语句将不需要重复执行。这样就提高了性能。
     *  执行SQL语句  
        接下来我们通过查询日志来看一下原理。
 *  开启预编译功能
    
    在代码中编写url时需要加上以下参数。而我们之前根本就没有开启预编译功能，只是解决了SQL注入漏洞。
    
        useServerPrepStmts=true
 *  配置MySQL执行日志（重启mysql服务后生效）
    
    在mysql配置文件（my.ini）中添加如下配置

log-output=FILE
    general-log=1
    general_log_file="D:\mysql.log"		//日志保存位置
    slow-query-log=1
    slow_query_log_file="D:\mysql_slow.log"	//日志保存位置
    long_query_time=2

sql注入语句：`'or '1' = '1`  
![在这里插入图片描述][a300fe28e4c44a5889f7649209215f09.png]当添加时我们可以看到它先进行预编译sql语句，然后再执行的  
![在这里插入图片描述][04a093a1f1a6403da7552f736e104c36.png]  
小结：

*  在获取PreparedStatement对象时，将sql语句发送给mysql服务器进行检查，编译（这些步骤很耗时）
 *  执行时就不用再进行这些步骤了，速度更快
 *  如果sql模板一样，则只需要进行一次检查、编译

[1125623d9e1249eea302fd1ed4889934.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/01/99e1104c3bf846f4b1042bd3cffa500d.png
[a300fe28e4c44a5889f7649209215f09.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/01/13d333f559294f26b41f04b1f7c795c5.png
[04a093a1f1a6403da7552f736e104c36.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/01/f1b661d6d771495a8b3a9c7bb6e46b7e.png