上一篇我们写了jdbc工具类：JDBCUtils ，在这里我们使用该工具类来连接数据库，

在之前我们使用 Statement接口下的executeQuery（sql）方法来执行搜索语句，但是这个接口并不安全，容易被注入攻击，注入攻击示例：

首先我们需要一个存放登录用户名密码的表：

use qy97;create table login(  id int primary key auto_increment,  sname varchar(50),  pwd varchar(50));insert into login values(1,'zhangsan','111'),(2,'lisi','123');

然后我们写代码实现登陆：

package com.zs.Demo;import JDBCUtils.JDBCUtils;import java.sql.Connection;import java.sql.ResultSet;import java.sql.SQLException;import java.sql.Statement;import java.util.Scanner;public class SQLZhuRu {    public static void main(String[] args) {        Scanner sc=new Scanner(System.in);        System.out.println("请输入用户名:");        String name = sc.nextLine();        System.out.println("请输入密码:");        String pwd = sc.nextLine();        login(name,pwd);    }    private static void login(String name, String pwd) {        Connection conn = JDBCUtils.getConnection();        String sql = "select * from login where sname='"+name+"'and pwd='"+pwd+"';";        System.out.println(sql);        Statement stat = null;        ResultSet rs=null;        try {            stat = conn.createStatement();            rs = stat.executeQuery(sql);            if (rs.next()) {                System.out.println("登陆成功，欢迎" + rs.getString("sname"));            } else {                System.out.println("登录失败！！");            }        } catch (SQLException e) {            e.printStackTrace();        }        JDBCUtils.close(conn,stat,rs);    }}

运行结果如下：

输入账号密码，然后在数据库中搜索，搜索到数据则登录成功，否则登录失败：

可是，当我们这样输入时，也能登陆成功：

从上面语句可以看出，执行的sql与语句是：select * from login where sname='lisi'and pwd='789 'or'1=1';

1=1是恒成立的，or 只要两边有一个为true 则为 true  ，所以登录成功，这是一个最简单的注入攻击，

解决方法：使用prepareStatement接口，以上一个例子为基础做修改

package com.zs.Demo;import JDBCUtils.JDBCUtils;import java.sql.Connection;import java.sql.PreparedStatement;import java.sql.ResultSet;import java.util.Scanner;public class PerpareStatementDemo {    public static void main(String[] args) {        Scanner sc=new Scanner(System.in);        System.out.println("请输入用户名:");        String name = sc.nextLine();        System.out.println("请输入密码:");        String pwd = sc.nextLine();        try {            login(name,pwd);        } catch (Exception e) {            e.printStackTrace();        }    }    //传递变量name pwd给方法    private static void login(String name, String pwd) throws Exception {        Connection conn = JDBCUtils.getConnection();//        设置？占位置，将查询的参数用？来替换        String sql="select * from login where sname=? and pwd=?";        PreparedStatement pre = conn.prepareStatement(sql);//        setObject方法来设置占位的？的值        pre.setObject(1,name);//设置第一个？的值为变量name        pre.setObject(2,pwd);//设置第二个？的值为变量pwd        ResultSet rs = pre.executeQuery();        if (rs.next()) {            System.out.println("登陆成功");        } else {            System.out.println("登录失败");        }        JDBCUtils.close(conn, pre, rs);    }}

运行结果：

 

可以看出，在不改变sql语句的情况下将？替换为变量的值，当注入攻击时：

可以看出来这个接口更加安全，所以建议使用这个接口来实现增删改查；关于PrepareStatement接口：（官方文档）

　　PrepareStatement接口：

　　　　表示预编译的SQL语句的对象。

　　　　SQL语句已预编译并存储在PreparedStatement对象中。 然后可以使用该对象多次有效地执行此语句。

　　　　注意：setter方法（ setShort ， setString用于设置IN参数值必须指定与所定义的SQL类型的输入参数的兼容的类型，等等）。 例如，如果IN参数具有SQL类型INTEGER ，　　　则应使用方法setInt 。

使用PrepareStatemnet接口实现数据库的更新：

package com.zs.Demo;import JDBCUtils.JDBCUtils;import java.sql.Connection;import java.sql.PreparedStatement;public class PrepareStatementDemo2 {    public static void main(String[] args) {        Connection conn = JDBCUtils.getConnection();        String sql="update login set sname = ? where id=?;";        PreparedStatement pst =null;        try {            pst = conn.prepareStatement(sql);            pst.setObject(1, "dijia");            pst.setObject(2,1);            pst.executeUpdate();        } catch (Exception e) {            e.printStackTrace();        }finally {            JDBCUtils.close(conn, pst);        }    }}