jdbc Connection接口中的方法prepareStatement与createStatement的区别

最新推荐文章于 2022-08-19 23:07:14 发布
最新推荐文章于 2022-08-19 23:07:14 发布
阅读量821 收藏 2
点赞数
分类专栏: jdbc Java操作数据库 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/A1369933164/article/details/115791571
版权

这里写自定义目录标题


*

jdbc Connection接口中的方法prepareStatement与createStatement的区别*

不废话直接上代码

在这里插public class createStatementDenRu {
    public static void main(String[] args) throws SQLException {
//        ;驱动加链接
        Connection cn = JDBCgonju.LJie();
//        获得小火车
        Statement st = cn.createStatement();
        Scanner sc = new Scanner(System.in);
        System.out.println("请输入账号");
        String n1 = sc.next();
        System.out.println("请输入密码");
        String n2 = sc.next();
//        mysql 语句,字符串拼接

        String sql = "SELECT * FROM user WHERE NAME='"+n1+"' AND PASSWORD='"+n2+"';";
//        执行
        ResultSet rs = st.executeQuery(sql);
        if (rs.next()){
            System.out.println("密码正确,登入成功");
        }else {
            System.out.println("登入失败");
        }
        JDBCgonju.close(cn,st,rs);
    }
}
入代码片

上面是一个我Java键盘输入账号密码然后通过jdbc向我的数据库查询是否有此账号密码,下面是我数据库在这里插入图片描述
当我用Connection中的createStatement方法时,我发现mysql只能用字符串拼接,开始没有什么问题,可是后来发现一个问题,那就是SQL注入攻击
请输入账号
aabbcc
请输入密码
12’OR’1’='1
密码正确,登入成功

我的账号随便输入的,数据库里面没有,但是登入成功了,前面输入了什么不要紧,最重要的是最后输入的OR 1=1 这个是永远成立的,所以登入成功了,这就是createStatement的bug。
现在就引入了 Connection接口的另外一种方法prepareStatement

public class prepareStatement_DenRu {
    public static void main(String[] args) throws Exception {
//        驱动加链接
        Connection cn = JDBCgonju.LJie();
        String sql = "SELECT * FROM user WHERE NAME=? AND PASSWORD=?;";
        //        获得安全货车
        PreparedStatement ps = cn.prepareStatement(sql);

        Scanner sc = new Scanner(System.in);
        System.out.println("请输入账号");
        String n1 = sc.next();
        System.out.println("请输入密码");
        String n2 = sc.next();
        ps.setString(1, n1);
        ps.setString(2, n2);
        ResultSet rs = ps.executeQuery();
        if (rs.next()) {
            System.out.println("登入成功");
            JDBCgonju.close(cn, ps, rs);

        } else {
            System.out.println("登入失败,请重新输入");
        }
            
    }
}

这里我们就不是用的字符串拼接,而是首先让PreparedStatement去解析这个SQL语句,不知道的值用问号来占位,后面再给问号赋值,这样就避免了SQL语句的注入攻击。

bug学习
关注
专栏目录
JDBC常用接口PrepareStatement
王浴昊
03-21 7513
在新手推荐JSP+JavaBean+Servlet MVC模式用户注册模块,有关数据库的操作,我们用到了: String sql ="select * from tb_user WHERE username=?"; PreparedStatement ps = connection.prepareStatement(sql); ps.setString(1, username); R
数据库开发三:JDBC数据库开发入门三(PrepareStatement的使用及预处理原理)
YKWNDY的博客
03-23 933
PerparedStatement ·它是Statement接口的子接口 ·作用 >防止sql攻击 >提高代码的可读性,可维护性 >提高效率 防止sql攻击 sql攻击模拟如下所示: 当前数据库: 代码: package jdbc; import org.junit.Test; import java.sql.*; /** * Created by kevi...
java连接数据库的Connection的prepareStatementcreateStatement区别
ilaveyou68的专栏
04-23 4354
这两者的区别主要在于如何构造执行sql语句的对象, 1,对于prepareStatement来说,其执行返回的是一个prepareStatement对象,而这个方法的描述是这样的,prepareStatement(String sql)创建一个 PreparedStatement 对象来将参数化的 SQL 语句发送到数据库。它需要一个参数,这个参数就是需要执行的sql语句。而createSt
第三十二天:JDBC基础 ConnectionStatement,PreparedStatement,ResultSet
qq_38250571的博客
12-05 1017
1. jdbc入门 1.1 概述 JDBCJava DataBase Connectivity java数据库连接) Java和数据库厂商共同制定的一套连接并操作数据库的统一规范(接口),需要数据库厂商来实现,我们使用的时候只需要导入数据库厂商已经实现好的jar包即可。 1.2 快速入门 public class JDBCDemo01 { public static void main(String[] args) throws Exception{ //1.导入jar包
Java数据库JDBCconnectionstatement,prepareStatement,ResultSet接口的用法和解释
大胆刁民的博客
02-11 2002
Java数据库JDBC——connectionstatement,prepareStatement,ResultSet接口的用法和解释 Connection常用方法 变量和类型 方法 描述 void close() 立即释放此 Connection对象的数据库和JDBC资源,而不是等待它们自动释放。 Statement createStatement() 创建一个 Statement对象,用于将SQL语句发送到数据库。 Statement createStatement​(int
javajdbc技术_详解Java连接数据库JDBC技术的prepareStatement
weixin_30002151的博客
02-28 744
详解Java连接数据库JDBC技术的prepareStatement发布时间:2020-07-18 09:14:24来源:亿速云阅读:107作者:小猪这篇文章主要是详解Java连接数据库JDBC技术的prepareStatement,内容清晰明了,对此有兴趣的小伙伴可以学习一下,相信大家阅读完之后会有帮助。一、prepareStatement 的用法和解释1.PreparedStatement...
【三大接口JDBC:Connectionstatement(PreparedStatement)、ResultSet的创建及使用 【整理】
超逸の学习技术博客
01-06 4570
文章目录1、简述JDBC2、Connection接口3、Statement接口4、PreparedStatement接口5、ResultSet接口 1、简述JDBC JDBCJava Data Base Connectivity,java数据库连接)是一种用于执行SQL语句的Java API,可以为多种关系数据库提供统一访问,它由一组用Java语言编写的类和接口组成。JDBC为工具/数据库开发人...
JDBC连接(Statement和PrepareStatement
一路向阳,春暖花开
04-06 2213
1.JDBC连接的连接步骤(Statement和PrepareStatement) (1)注册驱动 (只做一次) (2)建立连接(Connection)  (3)创建执行SQL的语句(Statement) (4)执行语句 (5)处理执行结果(ResultSet) (6)释放资源 1.1注册驱动 (1)Class.forName(“com.mysql.jdbc.Drive
JDBCStatement接口
YRZsir的博客
11-26 532
/* * JDBC全称Java数据库连接,它是一套用于执行SQL语句的API,应用程序可通过这套API连接到关系型数据库,并使用SQL语句来完成对数据库的查询、新增、更新和删除 * 如果直接使用数据库厂商提供的访问接口操作数据库,应用程序的可移植性会很差,例如当前程序使用的是MySQL提供的接口操作数据库,如果换成Oracle,则需要重新使用 * Oracle数据库提...
jdbc PreparedStatement进行批量执行
lijianqingfeng的专栏
03-17 1063
之前项目的数据需要大量写数据库,每次写的条数很多,所以想到了用批量执行的方式来节省时间。但这一块是同时做的,我直接调用API,一直没仔细看。后来想了解一下PreparedStatement的原理是怎样的,结果发现似乎想要批量执行并不是那么简单。 发现了这篇文章https://blog.csdn.net/intelrain/article/details/80451120。除了排版很差劲,其他的...
connection 和 preparedstatement 的关闭问题
01-29
什么时候用statement,什么时候用preparedstatement
JDBC CreateStatement 和 PrepareStatement区别
言诺liang
09-26 4047
在学习JDBC的时候碰到一个问题。获取向数据库发送sql语句的statement对象有两种类似的接口这两个接口没有本质上的区别。都是通过对象调用executeQuery方法来执行SQL语句。说是CreateStatement和PrepareStatement区别,但其实说的就是Statement和PrepareStatement区别。 第一点: conn.=JdbcUtils.get...
Connection连接和PreparedStatement 操作数据库
渡灬魂的博客
12-21 4709
Connection连接和PreparedStatement 操作数据库链接数据库操作的代码连接数据库的几种方式通过访url建立连接通过访问数据源建立连接通过JDBC直接建立连接开启数据库连接操作数据库查询条件查询(支持多个条件)条件查询(1个条件)条件查询(两个条件)执行sql语句执行sql 注入参数执行sql 多个参数事务处理开始事务处理结束提交处理回滚(还原数据记录)关闭数据库连接关闭PrepareStatementproxool.xml 配置 链接数据库操作的代码 连接数据库的几种方式 //数据库
java prepare_Java Connection.prepareStatement方法代码示例
weixin_35718242的博客
02-13 820
import com.mysql.jdbc.Connection; //导入方法依赖的package包/类@Overridepublic int execute(MapleClient c, String[] splitted) {if (splitted.length < 1) {c.getPlayer().dropMessage(6, "!pnpc ");return 0;}int np...
PreparedStatementConnection接口Statement接口
m0_53917137的博客
03-11 1110
PreparedStatement 基本用法 PreparedStatement提供的功能: 1、允许sql语句使用?占位符,表示参数 2、支持预编译功能 3、在一定程序上可以避免sql注入漏洞 查询所有的姓yan,年龄18岁以上男学生 Connection接口 Statement createStatement() 创建用于执行SQL语句的Statement对象 PreparedStatement prepareStatement(String sql)创建PrepareStatement对象,
ResultSet ,PreparedStatementConnection详解
熊晓磊的博客
09-22 1031
Class.forName (); 方法的作用,就是初始化给定的类。 Connection:与特定数据库的连接(会话)。在连接上下文执行 SQL 语句并返回结果 DriverManager是驱动的管理类 1)通过重载的getConnection()方法获取数据库连接 2)通过DriverManager可以注册并同时管理多个驱动程序:如果注册了多个数据库连接,则调用getConnection()方...
JDBC的PreparedStatement接口
cccccccmmm的博客
08-19 1217
继承自 Statement 接口,由 preparedStatement方法创建。PreparedStatement具有预编译SQL语句能力,所以PreparedStatement 对象比 Statement 对象的效率更高,由于实现了动态的参数绑定,所以可以防止 SQL 注入,所以我们一般都使用 PreparedStatement。PreparedStatement执行sql语句的编写顺序:1、获取Connection对象2、编写sql语句。
PrepareStatement用法(附源码解析)
Sherlock1020的博客
08-11 5686
PrepareStatement 基本用法 与 SQL注入分析
createStatement与prepareStatement区别
javaMov的专栏
10-24 2420
* createStatement 方法用于: 简单的 SQL 语句(不带参数) prepareStatement 方法用于: 带一个或多个 IN      * 参数的 SQL 语句      *      * pstm一旦绑定了SQL,此pstm就不能执行其他的Sql,即只能执行一条SQL命令。 stm可以执行多条SQL命令。      *      * 对于执行同构的sql(只有
理解JDBCConnectionStatement和ResultSet接口
`Connection`接口提供了多种方法,如`createStatement()`用来创建一个`Statement`对象,`prepareStatement()`用来创建预编译的`PreparedStatement`对象,以及关闭连接的`close()`方法。此外,`Connection`还支持事务...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值