Mysql-jdbc-PreparedStatement对象

最新推荐文章于 2023-09-04 12:58:23 发布
最新推荐文章于 2023-09-04 12:58:23 发布
阅读量335 收藏
点赞数
分类专栏: mysql 文章标签: mysql 数据库 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/A_Fierce/article/details/127981170
版权

PrepareedStatement 可以防止SQL注入

package com.kuang.lesson03;


import com.kuang.lesson02.utils.JdbcUtils;
import java.util.Date;
import java.sql.*;

public class TestInsert {
    public static void main(String[] args) throws SQLException {
        Connection conn = null;
        PreparedStatement st =null;
        try {
            conn= JdbcUtils.getConnection();

            //区别
            //使用?占位符代替参数
            String sql="insert into users(id,`NAME`,`PASSWORD`,`email`,`birthday`) values(?,?,?,?,?)";

            st=conn.prepareStatement(sql);//预编译,先写sql,然后不执行

            st.setInt(1,4);//id
            st.setString(2,"qiangjiang");//name
            st.setString(3,"123123");
            st.setString(4,"2233445");
            //注意点: sql.Date  数据库   java.sql.Date()
            //       util.Date   Java     new Date().getTime  获得时间戳
            st.setDate(5,new java.sql.Date(new Date().getTime()));
            //执行
            int i = st.executeUpdate();
            if(i>0){
                System.out.println("插入成功");
            }

        } catch (SQLException e) {
            e.printStackTrace();
        }finally {
            JdbcUtils.release(conn,st,null);
        }


    }
}

其他的类似,只需要改sql语句和手动给参即可。
删除类似:
在这里插入图片描述

更新:
在这里插入图片描述

查询:

package com.kuang.lesson03;

import com.kuang.lesson02.utils.JdbcUtils;

import javax.annotation.Resource;
import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;

public class TestSelect {
    public static void main(String[] args) throws SQLException {
        Connection conn=null;
        PreparedStatement st=null;
        ResultSet rs=null;

        try {
            conn=JdbcUtils.getConnection();

            String sql="select * from users where id = ?";

            st=conn.prepareStatement(sql);

            st.setInt(1,1);

            rs=st.executeQuery();
            if(rs.next()){
                System.out.println(rs.getString("NAME"));
            }

        } catch (SQLException e) {
            e.printStackTrace();
        }finally {
            JdbcUtils.release(conn,st,rs);
        }

    }
}

如何解决sql注入问题?

package com.kuang.lesson03;

import com.kuang.lesson02.utils.JdbcUtils;

import java.sql.*;

public class SqlInjection {
    public static void main(String[] args) {
//    login("zhansan","123456");
    login("''or '1=1","123456");
}
    public static void login(String username,String password){
        Connection conn=null;
        PreparedStatement st=null;
        ResultSet rs=null;

        try {
            conn= JdbcUtils.getConnection();


            //SELECT * FROM users WHERE `name` = 'zhansan' AND `password` = '123456';
            String sql="SELECT * FROM users WHERE `NAME` = ? and `PASSWORD`=?";
            st=conn.prepareStatement(sql);

            st.setString(1,username);
            st.setString(2,password);
            rs=st.executeQuery();
            while (rs.next()){
                System.out.println(rs.getString("NAME"));
                System.out.println(rs.getString("password"));
                System.out.println("=====================================");
            }
        } catch (SQLException e) {
            e.printStackTrace();
        }finally {
            try {
                JdbcUtils.release(conn,st,rs);
            } catch (SQLException e) {
                e.printStackTrace();
            }
        }
    }
}

在这里插入图片描述

Preparedstatement 防止SQL注入的本质,把传递进来的参数当做字符
假设其中存在转义字符,比如说 ` 会被直按转义

没有梦想的java菜鸟
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
mysql-jdbc
12-14
4. **执行SQL语句**:使用`Statement`或`PreparedStatement`对象,你可以执行SQL查询、更新等操作。例如: ```java Statement stmt = conn.createStatement(); ResultSet rs = stmt.executeQuery("SELECT * FROM ...
MySQL JDBC PrepareStatement基本的两种模式&客户端空间占用的源码分析
xieyuooo的专栏
08-31 7659
关于预编译(PrepareStatement),对于所有的JDBC驱动程序来讲,有一个共同的功能,就是“防止SQL注入”,类似Oracle还有一种“软解析”的概念,它非常适合应用于OLTP类型的系统中。在JDBC常见的操作框架中,例如ibatis、jdbcTemplate这些框架对JDBC操作时,默认会走预编译(jdbcTemplate如果没有传递参数,则会走createStatement),这貌
Mysql JDBC(执行sql的对象) 预编译PreparedStatement接口_区别于Statement接口
qq_51444577的博客
06-22 283
预编译PreparedStatement 使用范围:一次需要更新数据库表多条记录,当执行相似sql语句的次数比较多(对表频繁操作)语句一样,只是具体的值不一样,被称为动态SQL SQL语句具有一个或多个输入参数,这些输入参数的值在SQL语句创建时未被指定,而是为每个输入参数保留一个问号("?")作为占位符。 Statement: 用于执行静态 SQL 语句并返回它所生成结果的对象 创建Statement对象时,如果用SQL语句做参数,则在执行SQL语句时会一起被解析和编译进去 当使用Stat..
数据库——JDBC的正确打开方式
03-12 825
数据库驱动 应用程序通过数据库驱动和数据库连接,数据库驱动由数据库厂商提供 JDBCJava 访问数据库的标准规范,真正怎么操作数据库还需要具体的实现类,也就是数据库驱动。 在Java中,数据库存取技术(应用程序储存和读取数据库里的数据的技术)可分为下面几类: 1、JDBC直接访问数据库 2、JDO技术(Java Data Object) 3、第三方 O/R工具,如Hibernate,Mybatis等 JDBCjava访问数据库的基石,JDO,Hibernate等只是为了更好地封装JDBC 一、JDB
Java学习路程之mysql数据库查询(合并查询, 连接查询, 子查询)和JDBC(数据库连接)
liaodongdong&blog
09-28 633
一.数据库查询 1.合并查询 合并查询是把两张表的记录合并到一起显示 关键词union 创建表 CREATE TABLE student( stuid VARCHAR(10) PRIMARY KEY, stuname VARCHAR(50) ); — 分数表 CREATE TABLE score( stuid VARCHAR(10), score INT, courseid INT )...
合并mysql 请求
lcf枫的博客
12-16 276
合并mysql 请求 这个需求是在多表合并当成单表的时候存在非常多的请求。在合并前是各个表的压力。合并后就变成了单个表的压力。相当于是qps 的累加。如果在应用测缓存了请求,进行合并,那么tiDB 端的压力就会小特别多。 设计 mergeProcess 为了合并请求就需要缓存结果。缓存就很熟悉了。 "github.com/patrickmn/go-cache" 合并请求那肯定是要有方...
polardb-jdbc18.zip
10-20
通过`java.sql.Connection`对象创建`java.sql.Statement`或`java.sql.PreparedStatement`,然后执行SQL语句,获取`java.sql.ResultSet`进行数据操作。 3.4 关闭资源 使用完毕后,记得关闭`ResultSet`、`Statement`...
mysql-jdbc.jar:mysqljdbc驱动
03-29
MySQL JDBC驱动,全称为MySQL Java Database Connectivity Driver,是Java开发者用来连接MySQL数据库的重要工具。它遵循Java Database Connectivity (JDBC) API规范,使得Java应用程序能够与MySQL数据库进行交互,...
mysql-JDBC驱动.zip
05-21
MySQL-JDBC驱动,也称为Connector/J,是MySQL官方提供的Java驱动程序,使得Java应用程序能够通过JDBC接口与MySQL数据库进行连接、查询和操作数据。它遵循JDBC规范,提供了多种类型的驱动,包括Type 1、Type 2、Type ...
jdbc打开mysql 批处理_JDBC PrepareStatement对象执行批量处理实例
weixin_28956075的博客
01-27 140
以下是使用PrepareStatement对象进行批处理的典型步骤顺序 -使用占位符创建SQL语句。使用prepareStatement()方法创建PrepareStatement对象。使用setAutoCommit()将自动提交设置为false。使用addBatch()方法在创建的Statement对象上添加SQL语句到批处理中。在创建的Statement对象上使用executeBatch()方...
JDBC用PrepareStatement解决SQL注入
qq_46534049的博客
01-31 2274
setXxx()方法有两个参数,第一个参数是要设置的SQL语句中的参数的索引(从1开始),第二个是设置的SQL语句中的参数的值。SQL注入(SQL injection)是因为应用程序在执行SQL语句的时候没有正确的处理用户输入字符串,将用户输入的恶意字符串拼接到了SQL语句中执行,从而导致了SQL注入。这个代码中1=1永远都是对的,#后面的成了注释,所以这条语句会将表中所有的数据查询出来,然后再做数据判断的时候,就会得到正确结果,从而说用户名和密码正确,登录成功。这是查询一条数据的运行结果。
MySQL JDBC PreparedStatement
一只努力的微服务
11-05 1417
JDBC作为JAVA访问数据库的一套规范与标准,统一了数据库操作的API,大大简化了程序开发工作。不过由于历史原因,MySQLJDBC默认的实现与规范定义或者说其它数据库如Oracle并不一致,为了更完整记录这些差异,计划抽空写个系列,整理下这些可能会误解的常用功能。第一篇首先聊聊PreparedStatementMySQL JDBC PreparedStatement Prepare SQ...
JDBC高级操作PreparedStatement
sm1253的博客
11-21 705
PreparedStatement高i姓名体现在插入数据 JDBC事务转账安全 一个转账减去了2000,另一个却失败了,这里就需要引入事务处理。这里的意思是两个操作要同步,不能一个成功,另一个却失败 如果他们两个有一条语句出错,那么就不会执行commit,会去执行回滚 完整代码 package com.JDBC2; import java.sql.Connection; import java.sql.DriverManager; import java....
jdbc mysql预编译测试类_JDBC之PreparedStatement类中预编译的综合应用解析
weixin_42356958的博客
02-04 216
预编译的优点1、PreparedStatement是预编译的,对于批量处理可以大大提高效率. 也叫JDBC存储过程。2、使用 Statement 对象。在对数据库只执行一次性存取的时侯,用 Statement 对象进行处理。PreparedStatement 对象的开销比Statement大,对于一次性操作并不会带来额外的好处。3、statement每次执行sql语句,相关数据库都要执行sql语句...
mysql1543错误解决方法_记录一次 Spring JDBC MySQL 批量插入异常
weixin_39725193的博客
02-18 1025
# 主要异常摘要```bashCaused by: java.sql.BatchUpdateException: Unexpected exception encountered during queryCaused by: java.sql.SQLException: Unexpected exception encountered during query.Caused by: java.la...
com.mysql.jdbc.出错_错误:com.mysql.jdbc.exceptions.jdbc4.MySQLSyntaxErrorException
weixin_36086687的博客
02-23 368
Caused by: com.mysql.jdbc.exceptions.jdbc4.MySQLSyntaxErrorException: Table 'hdjyproj.t_userinfo' doesn't existat sun.reflect.NativeConstructorAccessorImpl.newInstance0(Native Method)at sun.reflect.Na...
Can not issue SELECT via executeUpdate() or executeLargeUpdate().解决方法
wojadhi的博客
05-11 5240
在idea连接完成数据库之后,在java源程序中使用sql语句如果显示SQLException,可能是 mysql-connector-java.jar文件在项目中不存在,只需将这个文件导入即可, 选择项目结构 选择模块里面的依赖 +号导入jre 选择mysql-connector-java.jar文件点击确定即可 at com.mysql.cj.jdbc.exceptions.SQLError.createSQLException(SQLError.java:120) a...
026_jdbc-mysql-PrepareStatement解决sql注入
aihiao的专栏
01-29 207
1. 新建一个JDBCPrepareStatement工程, 使用我们之前的JDBCUtil.javajdbc.properties属性文件 2. PreparedStatement对象相比较以前的Statement对象, 预先处理给定的sql语句, 对其执行语法检查。 在sql语句里面使用?占位符来替代后续要传递进来的变量。后面不管传递什么进来, 都把它看成是字符串, 不会产生任何的关键字。 3. 使用PreparedStatement对象编写程序 4. 输入任意用户名和密码, 并且sql
聊聊mysql jdbc的prepareStatement
最新发布
go4it
09-04 504
本文主要研究一下mysql jdbc的prepareStatement
MySQL-JDBC反序列化漏洞详解与实战
MySQL-JDBC反序列化漏洞是一种在Java应用程序中常见的安全风险,特别是在与MySQL数据库进行交互时。这种漏洞发生在当Java应用程序尝试通过JDBCJava Database Connectivity)驱动程序将来自用户的输入作为序列化...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

没有梦想的java菜鸟

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值