3.0 PreparedStatement

最新推荐文章于 2022-09-27 16:56:14 发布
最新推荐文章于 2022-09-27 16:56:14 发布
阅读量246 收藏
点赞数
分类专栏: JDBC 文章标签: mysql jdbc
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/GabrielCP/article/details/105877548
版权

当使用statement , 假设有登录案例SQL语句如下:
SELECT * FROM 用户表 WHERE NAME = 用户输入的用户名 AND PASSWORD = 用户输的密码;

此时,当用户输入正确的账号与密码后,查询到了信息则让用户登录。

但是当用户输入的账号为XXX 密码为:XXX’ OR ‘a’=’a时,则真正执行的代码变为:

SELECT * FROM 用户表 WHERE NAME = ‘XXX’ AND PASSWORD =’ XXX’  OR ’a’=’a’;

此时,上述查询语句时永远可以查询出结果的。那么用户就直接登录成功了,显然我们不希望看到这样的结果,这便是SQL注入问题。
为此,我们使用PreparedStatement来解决对应的问题。

在这里插入图片描述
**

3.1 预处理对象(PreparedStatement)

**
1.使用PreparedStatement预处理对象时,建议每条sql语句所有的实际参数,都使用逗号分隔。
该接口的实现类也在数据库驱动程序中。
String sql = “insert into sort(sid,sname) values(?,?)”;//问号表示占位符
//PreparedStatement预处理对象代码:
PreparedStatement psmt = con.prepareStatement(sql)
// 通过Connection对象的 prepareStatement方法,SQL 语句被预编译并存储在 PreparedStatement 对象中。然后可以使用此对象多次高效地执行该语句。

常用方法:

1.执行SQL语句:
在这里插入图片描述

2.设置实际参数
void setXxx(int index, Xxx xx) 将指定参数设置为给定Java的xx值。在将此值发送到数据库时,驱动程序将它转换成一个 SQL Xxx类型值。

例如:
setString(2, “家用电器”) 把SQL语句中第2个位置的占位符? 替换成实际参数 “家用电器”

完整代码:
String sql = “insert into sort(sid,sname) values(?,?)”;
PreparedStatement psmt = con.prepareStatement(sql);
Psmt.setObject(1, “007”);
Psmt.setObject(2, “家用电器”);

在这里插入图片描述

3.ResultSet
在这里插入图片描述

4.ResultSetMetaData
在这里插入图片描述
**

3.2 executeUpdate方法

**
通过预处理对象的executeUpdate方法,完成记录的insert\update\delete语句的执行。
操作格式统一如下:
1. 注册驱动
2. 获取连接
3. 获取预处理对象
4. SQL语句占位符设置实际参数
5. 执行SQL语句
6. 释放资源

1.创建样本表

我们将使用JDBC对分类表进行增删改查操作。
#创建数据库
create database JDBC;
#使用数据库
use JDBC;
###创建分类表
create table sort(
sid int PRIMARY KEY ,
sname varchar(100)
);
#初始化数据
insert into sort(sname) values(‘家电’);
insert into sort(sname) values(‘服饰’);
insert into sort(sname) values(‘化妆品’);

2.插入记录:insert

实现向分类表中插入指定的新分类

public void demo01() throws Exception {
		// 1注册驱动
		Class.forName("com.mysql.jdbc.Driver");
		// 2获取连接
	Connection conn=   DriverManager.getConnection("jdbc:mysql://localhost:3306/mydb", "root","161028");
		// 3获得预处理对象
		String sql = "insert into sort(sname) values(?)";
		PreparedStatement stat = conn.prepareStatement(sql);
		// 4 SQL语句占位符设置实际参数
		stat.setString(1, "奢侈品");
		// 5执行SQL语句
		int line = stat.executeUpdate();
		System.out.println("新添加记录数:" + line);
		// 6释放资源
		stat.close();
		conn.close();
	}

3.更新记录:update

实现更新分类表中指定分类ID所对应记录的分类名称

public void demo02() throws Exception {
		// 1注册驱动
		Class.forName("com.mysql.jdbc.Driver");
		// 2获取连接
		Connection conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/mydb", "root", "root");
		// 3获得预处理对象中
		String sql = "update sort set sname=? where sid=?";
		PreparedStatement stat = conn.prepareStatement(sql);
		// 4 SQL语句占位符设置实际参数
		stat.setString(1, "数码产品");
		stat.setInt(2, 1);
		// 5执行SQL语句
		int line = stat.executeUpdate();
		System.out.println("更新记录数:" + line);
		// 6释放资源
		stat.close();
		conn.close();
	}

4.删除记录:delete

实现删除分类表中指定分类ID的记录

	public void demo03() throws Exception {
		// 1注册驱动
		Class.forName("com.mysql.jdbc.Driver");
		// 2获取连接
		Connection conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/mydb", "root", "root");
		// 3获得预处理对象
		String sql = "delete from sort where sid=?";
		PreparedStatement stat = conn.prepareStatement(sql);
		// 4 SQL语句占位符设置实际参数
		stat.setInt(1, 1);
		// 5执行SQL语句
		int line = stat.executeUpdate();
		System.out.println("删除记录数:" + line);
		// 6释放资源
		stat.close();
		conn.close();
	}

**

3.3 executeQuery方法

**
通过预处理对象的executeQuery方法,完成记录的select语句的执行。操作格式统一如下:
1. 注册驱动
2. 获取连接
3. 获取预处理对象
4. SQL语句占位符设置实际参数
5. 执行SQL语句
6. 处理结果集(遍历结果集合)
7. 释放资源

查询记录:select

实现查询分类表所有记录

public void demo04() throws Exception {
		// 1注册驱动
		Class.forName("com.mysql.jdbc.Driver");
		// 2获取连接
		Connection conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/mydb", "root", "root");
		// 3获得预处理对象
		String sql = "select * from sort";
		PreparedStatement stat = conn.prepareStatement(sql);
		// 4 SQL语句占位符设置实际参数(无)
		// 5执行SQL语句
		ResultSet rs = stat.executeQuery();
		// 6处理结果集(遍历结果集合)
		while( rs.next() ){
			//获取当前行的分类ID。
			//ResultSet 对象以逻辑表格的形式封装了执行数据库操作的结果集
			String sid = rs.getString("sid");//方法参数为数据库表中的列名
			//获取当前行的分类名称
			String sname = rs.getString("sname");
			//显示数据
			System.out.println(sid+"-----"+sname);
		}
		// 7释放资源
		rs.close();
		stat.close();
		conn.close();
	}

实现查询分类表中指定分类名称的记录

public void demo05() throws Exception {
		// 1注册驱动
		Class.forName("com.mysql.jdbc.Driver");
		// 2获取连接
		Connection conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/mydb", "root", "root");
		// 3获得预处理对象
		String sql = "select * from sort where sname=?";
		PreparedStatement stat = conn.prepareStatement(sql);
		// 4 SQL语句占位符设置实际参数
		stat.setString(1, "奢侈品");
// 5执行SQL语句
		ResultSet rs = stat.executeQuery();
		// 6处理结果集(遍历结果集合)
		while( rs.next() ){
			//获取当前行的分类ID
			String sid = rs.getString("sid");//方法参数为数据库表中的列名
			//获取当前行的分类名称
			String sname = rs.getString("sname");
			//显示数据
			System.out.println(sid+"-----"+sname);
		}
		// 7释放资源
		rs.close();
		stat.close();
		conn.close();
	}
问道2020
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
sqljdbc_3.0架包
11-15
- 执行SQL:创建Statement或PreparedStatement对象,编写SQL语句,然后调用executeQuery或executeUpdate方法。 - 数据处理:使用ResultSet对象获取查询结果,或者通过CallableStatement调用存储过程。 4. 进阶...
sqljdbc_3.0.rar
07-27
《SQLJDBC 3.0:连接SQL Server的利器》 SQLJDBC 3.0是微软提供的一个关键组件,用于在Java应用程序中与SQL Server 2005及更高版本进行交互。这个版本的驱动程序是Java开发人员在处理SQL Server数据库时的重要工具...
JDBC学习笔记(4)——PreparedStatement的使用
weixin_34232363的博客
05-04 829
PreparedStatement public interface PreparedStatement extends Statement;可以看到PreparedStatementStatement的子接口,我们在执行查询或者更新数据表数据的时候,拼写SQL语句是一个很费力并且容易出错的事情,PreparedStatement可以简化这样的一个过程. PreParedStatement1...
预处理 PreparedStatementJDBC API
lidong777777的博客
09-07 269
本次博客带领大家学习JDBC中的预处理 PreparedStatement 的查询和DML的使用和JDBC API。
JDBC接口———PreparedStatement预处理
weixin_42472048的博客
09-24 897
PreparedStatement * 它是Statement接口的子接口; * 强大之处: - 防SQL攻击; - 提高代码的可读性、可维护性; - 提高效率! * 学习PreparedStatement的用法: - 给出SQL模板! - 调用Connection的PreparedState...
PreparedStatement预处理的原理
weixin_46245201的博客
02-13 212
PreparedStatement预处理的原理
访问数据库使使用PreparedStatement预处理
cleverlzc的专栏
12-13 1005
该篇文章还是以简单为主: 1.首先直观的附上例子:          string sql = "select * from people p where p.id = ? and p.name = ?";   preparedstatement ps = connection.preparestatement(sql);   ps.setint(1,id);   ps.s
sqljdbc_3.0
09-03
3. 创建Statement或PreparedStatement:根据需求创建Statement对象执行基本SQL,或者PreparedStatement对象执行预编译的SQL语句。 4. 执行SQL:调用Statement的executeQuery()或executeUpdate()方法执行SQL。 5. ...
JDBCDriver3.0.rar_jdbc driver 3.0_sql jdbc 3.0_sql server jdbc_s
09-22
2. **预编译语句(PreparedStatement)**:预编译的SQL语句可以显著提升执行速度,同时防止SQL注入攻击。 3. **批处理操作**:允许多个SQL语句一次性提交,减少网络通信次数,提高整体执行效率。 4. **游标支持**:...
JDBC 预处理PreparedStatement
最新发布
m0_71917549的博客
09-27 151
【代码】JDBC 预处理PreparedStatement
jdbc预处理对象 - PreparedStatement
XiaoJian的博客
09-19 1865
SQL注入问题: 用户 输入的内容作为了SQL语句语法的一部分,改变了原有SQL真正的意义。 当用户输入密码为: or 1=1 时 , 用户名和密码是什么已经不重要了 , 因为1=1相当于是true , OR关系有一个条件满足 , 用户就会永远登录成功了 . 例: SELECT * FROM users WHERE username=‘a’ AND PASSWORD=‘2’ OR 1=1;...
MySQL之使用预处理对象PreparedStatement防止注入攻击
绣花针
06-17 686
通过预处理对象PreparedStatement,对SQL语句中参数列表进行指定传参,防止用户在SQL语句结尾上添加额外的SQL语句
使用预处理PreparedStatement执行Sql语句
weixin_34146986的博客
11-06 209
/** * 使用预处理的方式执行Sql * @param sql Sql语句 * @param obj 变量值数组 * @return 查询结果 * @throws SQLException */ public List<Map<String, Object>> query(String ...
java 预处理语句_预处理语句PreparedStatement到底咋用啊
weixin_39622655的博客
02-16 217
该楼层疑似违规已被系统折叠隐藏此楼查看此楼我自己试了一下直接查询id为1的语句,有一条结果出来,但是用了PreparedStatement后就没有结果了,有大佬知道为什么吗orzpackage test;import java.io.IOException;import java.io.PrintWriter;import java.sql.*;import javax.servlet.Serv...
原⽣jdbc预处理对象PreparedStatment 5
消极的人永远是对的,积极的人选择勇往直前
08-02 230
PreparedStatement SQL注⼊问题 SQL注⼊:⽤户输⼊的内容作为了SQL语句语法的⼀部分,改变了原有SQL真正的意义。假设有登录案例SQL语句如下: SELECT * FROM ⽤户表 WHERE NAME = ⽤户输⼊的⽤户名 AND PASSWORD = ⽤户输的密码; 此时,当⽤户输⼊正确的账号与密码后,查询到了信息则让⽤户登录。但是当⽤户输⼊的账号为XXX 密码为: XXX’ OR ‘1=1 时,则真正执⾏的代码变为: select * from users wher
PreparedStatement预编译无法用?占位符替换表名和字段名
LiQiyao的博客
04-29 6898
PreparedStatementStatement的改良版,具有预编译功能,方便使用,运行速度快。 可以通过?占位符把字段值替换,之后通过setXXX方法,注入字段值。 但是?占位符只能替换字段值,不能替换表名、字段名或者其他关键词。
preparedstatement mysql 数据_使用PreparedStatement对象操作数据库
weixin_29332779的博客
02-03 582
PreparedStatementStatements相比主要有以下优点:1.PreparedStatement能够执行参数化的SQL语句,避免反复书写相同SQL语句的繁锁。参数化SQL语句具体如下:SELECT sname FROM student WHERE sid = ?;"?"是参数的占位符,程序可以传入不同的sid值完成参数化查询。2.PreparedStatement比Stateme...
时间格式不对,运行sql文件报错
随记
12-01 862
数据库时间格式用了datetime格式,结果转存时有这个错误发送,是因为有些数据没有值存了00-00-00 00:00:00,报错了,用了这个就解决了 set global sql_mode = 'STRICT_TRANS_TABLES,ERROR_FOR_DIVISION_BY_ZERO,NO_AUTO_CREATE_USER,NO_ENGINE_SUBSTITUTION'; ...
JDBC3.0数据库编程实战指南
"《JDBC 3.0 数据库编程》是一本面向Java数据库开发的图书,详细介绍了如何使用JDBC 3.0版本进行数据库应用程序的开发与设计。本书内容涵盖JDBC基础、环境配置、API使用、二三层结构应用开发、XML数据转换以及高级...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值