PreparedStatement预编译SQL

最新推荐文章于 2023-01-26 23:53:42 发布
最新推荐文章于 2023-01-26 23:53:42 发布
阅读量250 收藏
点赞数
文章标签: sql mysql jdbc
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/GiantApe/article/details/109007433
版权

PreparedStatement预编译SQL

PreparedStatement

  • PreparedStatement 预编译Statement是Statement的子接口
  • PreparedStatement 对SQL进行参数化,预防SQL注入攻击
  • PreparedStatement 比Statement执行效率高

用Statement语句的代码

//存在SQL注入风险
//dname值为' or 1 = 1 or 1 = '时,所有筛选条件均失效
//SQL:select * from employee where dname = '' or 1=1 or 1=''
stmt = connection.createStatement();
rs = stmt.executeQuery("select * from employee where dname = '" + pdname + "'");
System.out.println("select * from employee where dname = '" + pdname + "'");

while(rs.next()){
    ....
}

用PreparedStatement语句的代码

//利用PreparedStatement预防SQL注入风险
//当dname值为' or 1=1 or 1='时查询不到任何结果
//SQL:select * from employee where dname = '\' or 1=1 or 1=\''
String sql = "select * from employee where dname=?";
pstmt = connection.prepareStatement(sql);
pstmt.setString(1, pdname);//设置SQL参数,参数从1开始
rs = pstmt.executeQuery();
while(rs.next()){
    ....
}

在这里插入图片描述

Rex·Lin
关注
用PreparedStatement 预编译SQL 就不会有被 SQL 注入的风险?
数字化小李的博客
12-07 708
当我们说到关于持久层框架的功能,必然需要先想想这个功能的源头到底是不是直接通过数据库提供的。实际上和事务一样,SQL 预编译的功能也是需要数据库提供底层支持的。以 MySQL 为例,在 MySQL 中,所谓预编译其实是指先提交带占位符的 SQL 模板,然后为其指定一个 key,MySQL 先将其编译好,然后用户再拿着 key 和占位符对应的参数让 MySQL 去执行,用法有点像 python 中的 format 函数。一个标准的预编译 SQL 的用法如下:先通过 设置一个 SQL 模板,然后通过 提交参
mysql preparedStatement预编译
huyangyamin的专栏
12-27 989
Java中连结MySQL启用预编译的先决条件是useServerPstmts=true. 同时相关联的参数为: cachePrepStmts=true,开启预编译缓存.1, 没有开启预编译的执行和数据结构2,使用mysql server的预编译通过mysql general log可以看出来:161228 13:24:35 17 Connect vddl@localhost on tes
预编译PrepareStatement
feimeng4s的博客
07-24 846
2020.7.24、(1)PreparedStatement的学习JDBC的标准使用、(2)JDBC事务管理(1)PreparedStatement的学习JDBC的标准使用昨天学习的登录程序竟然出问题了,输入别的密码竟然能登录(2)JDBC事务管理 (1)PreparedStatement的学习JDBC的标准使用 昨天学习的登录程序竟然出问题了,输入别的密码竟然能登录 请输入用户名: dfgdf 请输入密码: a’ or ‘a’ ='a 登录成功 就是上面这个 原来这是因为查询语句的问题 原来的查询语句是这
[疯狂Java]JDBC:PreparedStatement预编译执行SQL语句
热门推荐
Lirx_Tech的专栏
04-14 1万+
1. SQL语句的执行过程——Statement直接执行的弊病:     1) SQL语句和编程语言一样,仅仅就会普通的文本字符串,首先数据库引擎无法识别这种文本字符串,而底层的CPU更不理解这些文本字符串(只懂二进制机器指令),因此SQL语句在执行之前肯定需要编译的;     2) SQL语句的执行过程:提交SQL语句 -> 数据库引擎对SQL语句进行编译得到数据库可执行的代码 -> 执行S
2、TestDML语句实现添加数据
qq_36410168的博客
02-14 173
import java.sql.Connection; import java.sql.DriverManager; import java.sql.SQLException; import java.sql.Statement; public class TestDML {      public static void main(String[] args)
PreparedStatement预编译sql执行对象
weixin_30563319的博客
09-27 283
一、预编译,防sql注入 其中,设置参数值占位符索引从1开始;在由sql 连接对象创建 sql执行对象时候传入参数sql语句,在执行对象在执行方法时候就不用再传入sql语句; 数据库索引一般是从1开始,java对象一般是从0开始; java代码方法subString(2,5)是左闭右开区间,数据库subString(str, 5) 是从5开始截取...
java 预编译sql_JDBC编程之预编译SQL与防注入
weixin_26875109的博客
02-21 1404
JDBC编程中,常用Statement、PreparedStatement和CallableStatement三种方式来执行查询语句,其中Statement用于通用查询,PreparedStatement用于执行参数化查询,而CallableStatement则是用于存储过程。1、Statement该对象用于执行静态的 SQL 语句,并且返回执行结果。 此处的SQL语句必须是完整的...
JDBC入门七:SQL注入攻击:SQL注入攻击的解决策略:PreparedStatement预编译SQL
小枯林的博客
04-11 593
的粉红色倒海翻江 1.PreparedStatemen简介 PreparedStatement预编译Statement,其目的是解决SQL注入攻击的问题。 PreparedStatement: (1)PreparedStatement本质也是一个接口,只是其继承自Statement接口;专用于对SQL语句进行预处理以后再去执行; (2)在实际工作中,推荐使用PreparedStatement; 2.PreparedStatement和Sta...
JDBC】PreparedStatement执行动态sql语句对象(预编译
Need not to know
11-30 1122
PreparedStatement执行动态(预编译sql语句对象   功能:   1.防止sql注入问题 SELECT * FROM 表名 WHERE username = '江河' AND password = 'Foriver' OR 'a' = 'a' - 这里由于添加了OR 'a' = 'a',使得WHERE表达式的结果恒为true,所以会查询出表中所有的数据,造成安全性问题   2.效率更高(※后期使用PreparedStateme
sql预编译
谢白羽
06-29 3827
文章目录1.PreparedStatement为什么能在一定程度上防止SQL注入?2.举例不使用预编译3.使用预编译后 1.PreparedStatement为什么能在一定程度上防止SQL注入? PreparedStatement会对SQL进行了预编译,在第一次执行SQL前数据库会进行分析、编译和优化,同时执行计划同样会被缓存起来,它允许数据库做参数化查询。在使用参数化查询的情况下,数据库不会将参数的内容视为SQL执行的一部分,而是作为一个字段的属性值来处理 数据库执行sql语句可以理解为按照关键字来编
javaSE JDBC, PreparedStatement接口, 防SQL注入, 预编译SQL语句
houyanhua1的专栏
06-22 645
Demo.java:package cn.xxx.demo; import java.sql.Connection; import java.sql.DriverManager; import java.sql.PreparedStatement; import java.sql.ResultSet; import java.sql.Statement; import java.util.Sca...
PreparedStatement原理
m0_46596099的博客
07-22 342
PreparedStatement好处预编译SQL,性能更高防止SQL注入==将敏感字符进行转义==Java代码操作数据库流程将sql语句发送到MySQL服务器端MySQL服务端会对sql语句进行如下操作检查SQL语句。检查SQL语句的语法是否正确。编译SQL语句。将SQL语句编译成可执行的函数。检查SQL和编译SQL花费的时间比执行SQL的时间还要长。如果我们只是重新设置参数,那么检查SQL语句和编译SQL语。...
preparestatment获取sql_JDBC-预防SQL注入-预处理对象PrepareStatement
weixin_39520880的博客
12-19 448
PreparedStatement接口介绍PreparedStatementStatement接口的子接口,继承于父接口中所有的方法.它是一个预编译SQL语句对象预编译: 是指SQL语句被预编译,并存储在PreparedStatement对象中. 然后可以使用此对象多次市郊地执行该语句PreparedStatement特点因为有预先编译的功能, 提高SQL的执行效率可以有效的防止SQL注入的问...
preparedstatement获得编译后的sql_Java连载138数据库删除数据以及编译预处理
weixin_39933336的博客
12-21 480
一、删除数据DELETE语句如下DELETE FROM WHERE 方法:(1)利用Statement实例执行静态DELETE语句完成;(2)利用PreparedStatement实例通过执行动态DELETE语句完成;(3)利用CallableStatement实例通过执行存储过程完成。第一种方式:Stringsql="deletefromtb_recordwhereda...
使用PrepareStatement预编译对象执行sql语句
m0_70503831的博客
05-22 1179
使用PrepareStatement预编译对象执行sql语句 prepareStatementStatement的对比
JavaWeb | 预编译SQL及PreparedStatement讲解
最新发布
Alita233_的博客
01-26 1696
预编译原理
MySQL中PreparedStatement 获得SQL语句的方法
frivol的专栏
01-21 1617
关于PreparedStatement 获得SQL语句的方法,没有直接的API可用,往往要自己实现或采用SQL profiler之类的工具,但在MySQL中有一个简便的方法: if (statement instanceof com.mysql.jdbc.PreparedStatement) { com.mysql.jdbc.PreparedState
preparedstatement获取sql语句_数据库大师成长日记:使用SQL语句获取服务器磁盘信息...
weixin_39989796的博客
12-04 435
朋友们,如果您是数据库管理员,您肯定会非常关注目前服务器磁盘的使用情况。当然,如果数据库服务器是您可以直接控制的,想要查看服务器的磁盘情况也不难,但很多情况下,我们未必有权限直接进入服务器。有些情况下,我们需要根据服务器的磁盘情况做特殊处理,这时候更需要在SQL脚本中直接获取服务器的磁盘信息。SQL Server为我们提供了获取磁盘信息的多种方式,今天我们就管中窥豹一番。xp_fixeddrive...
JSP PreparedStatement教程:预编译SQL提升性能
PreparedStatementJDBC中用于执行预编译SQL语句的接口,它继承自Statement,并提供了更高效和安全的数据库操作方式。主要知识点包括:预编译SQL语句、IN参数的使用、PreparedStatement对象的创建、设置IN参数的值...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Rex·Lin

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值