接口 PreparedStatement execute() executeQuery() executeUpdate() 以及SQL注入

最新推荐文章于 2024-04-27 13:29:09 发布
最新推荐文章于 2024-04-27 13:29:09 发布
阅读量6.7k 收藏 11
点赞数 8
分类专栏: jdbc SQL 文章标签: execute SQL注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Hurricane_m/article/details/90301278
版权
SQL 同时被 2 个专栏收录
10 篇文章 0 订阅
订阅专栏
jdbc
6 篇文章 0 订阅
订阅专栏

execute

boolean execute()
                throws SQLException

在此 PreparedStatement 对象中执行 SQL 语句,该语句可以是任何种类的 SQL 语句。一些预处理过的语句返回多个结果,execute 方法处理这些复杂的语句,executeQueryexecuteUpdate 处理形式更简单的语句。

execute 方法返回一个 boolean 值,指示第一个结果的形式。必须调用 getResultSetgetUpdateCount 方法获取该结果,必须调用 getMoreResults 获取任何后续结果。

 

返回:

如果第一个结果是 ResultSet 对象,则返回 true;如果第一个结果是更新计数或者没有结果,则返回 false

抛出:

SQLException - 如果发生数据库访问错误;在关闭的 PreparedStatement 上调用此方法,或者为此方法提供了参数

 

executeQuery

ResultSet executeQuery()
                       throws SQLException

在此 PreparedStatement 对象中执行 SQL 查询,并返回该查询生成的 ResultSet 对象。

 

返回:

包含该查询生成的数据的 ResultSet 对象;不会返回 null

抛出:

SQLException - 如果发生数据库访问错误,在关闭的 PreparedStatement 上调用此方法,或者 SQL 语句没有返回 ResultSet 对象

executeUpdate

int executeUpdate()
                  throws SQLException

在此 PreparedStatement 对象中执行 SQL 语句,该语句必须是一个 SQL 数据操作语言(Data Manipulation Language,DML)语句,比如 INSERTUPDATEDELETE 语句;或者是无返回内容的 SQL 语句,比如 DDL 语句。

 

返回:

(1) SQL 数据操作语言 (DML) 语句的行数

(2) 对于无返回内容的 SQL 语句,返回 0

抛出:

SQLException - 如果发生数据库访问错误,在关闭的 PreparedStatement 上调用此方法,或者 SQL 语句返回一个 ResultSet 对象

 

使用PreparedStatement的优势

Statement 和 PrepareStatement 都可以实现数据库的增删改查等操作,但两者相比,PrepareStatement有如下优势

1.提高了代码的可读性和可维护性.

 PrepareStatement 可以避免繁琐的SQL语句拼接操作。
 例如 SQL语句中的
 insert into student(stuNo,stuName,stuAge) values(5,'Meng',20) 
 如果其中字段值 用变量来表示
 int stuNn = 5;
 String stuName = "Meng";
 int stuAge = 20;
 但如果用 Statement方式执行时 需要将SQl语句拼接成
 stmt.executeUpdate(  " insert into student(stuNo,stuName,stuAge) values( "
                   + stuNo + ", ' " + stuName + " '," + stuAge + " )"    );

而如果 用PrepareStatement 方式执行时 就可以先用 ? 充当参数值的占位符
再用 setXXX() 方法设置 ? 的具体值, 以避免SQL语句的拼接操作

 

2.提高了SQL语句的性能

 创建Statement对象时 不使用SQL语句做参数
     例如 Statement stmt = connection.createStatement() ;
 不会解析和编译SQL语句,而是每次调用executeUpdate()或者executeQuery()方法时 才会进行SQL语句的解析和编译操作
     例如 stmt.executeUpdate("delete from student where stuNo = 5");



而创建 PrepareStatment 对象时 ,是使用带占位符 '?'的SQL语句作为参数
     例如 PrepareStatement pstmt = connection.prepareStatement("delete  from student where 
                                             stuName = ? and stuAge = ?");
会预先解析和编译该SQL语句,之后通过setXXX()方法给占位符'?'赋值 , 
最后执行SQL 语句时 无须再解析和编译SQL 语句  直接执行即可
    例如 pstmt.executeUpdate();
这就使得,如果多次操作相同,就可以大大提高性能。 即 PrepaerStatement是预编译的SQL语句对象

3.提高了安全性,能有效地防止SQL注入攻击
 

使用PrepareStatement 的SQL语句对象 传入的任何数据 都不会和已经编译好的SQL语句进行拼接,从而避免了SQL注入攻击。

例如,在使用Statement时 。 可能会用以下代码来进行登录验证


stmt = connection.createStatement();
String querySQL = "select count(*) frrom login where 
                      username='" + uname + "' and password = '"+ upwd + "'";
rs = stmt.executeQuery(querySQL);
...
if(rs.next()){

    int result = rs.getInt("count(*)");
    if(result>0){
       //登录成功
  }else{
      //登录失败
  }

}



上述代码看起来没有任何问题,
但试想如果用户输入的uname的值为是  “ 任意值'  or  1=1  --"  
 upwd 密码输入任意值,

则SQL语句拼接后的结果如下
select count(*) from login where username ='XXX' or 1=1 -- 'and password = 'XXX'
在SQL语句中 用 "or 1=1" 使得where条件永远成立   并且用-- 将后面的SQL代码注视掉,
这样就造成了安全隐患(SQL注入) ,使得并不存在的用户名和密码也能登录成功。
而PrepaerStatement 中使用了占位符 '?'  SQL语句预编译,
 以及 setXxx()方法有效的避免的这种漏洞。

     

Hurricane_m
关注
  • 8
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
PreparedStatement中的execute()方法
甘蓝的专栏
12-05 6740
PreparedStatement中的execute()方法
JDBC中PreparedStatement接口提供的executeexecuteQueryexecuteUpdate之间的区别及用法
10-28
JDBC 中的 PreparedStatement 接口提供了三种执行 SQL 语句的方法:executeQueryexecuteUpdateexecute。这些方法的使用取决于 SQL 语句所产生的内容。 _executeQuery 方法_ executeQuery 方法用于产生单个...
Java中利用execute方法执行MySQL操作
最新发布
挨踢星球
04-27 783
在Java应用程序开发中,与MySQL数据库的交互是不可或缺的一部分,尤其是在执行数据更新操作时。JDBC作为Java访问数据库的标准接口,允许开发者通过统一的API与多种数据库进行交互。在开始之前,请确保项目已配置了MySQL的JDBC驱动(方法来完成MySQL数据库的更新任务,从基础概念、操作流程、代码示例到高级应用,为你提供一套实用的指南。接口,是一个多功能方法,能够执行SQL语句并根据执行结果返回一个布尔值。方法有效地执行MySQL数据库的更新操作,包括其背后的原理、实践步骤。
PreparedStatementexecuteQueryexecuteUpdateexecute
aa1358075776的博客
09-21 7096
    一般的使用习惯Select语句使用executeQuery()方法执行,Delete、Update、Insert语句使用executeUpdate()方法执行,而Create和Drop语句使用execute()方法执行,当然也可以使用executeUpdate()方法。 PreparedStatement接口提供了三种执行 SQL 语句的方法:executeQueryexecuteUpd...
JDBC基本内容
Eliaukgit的博客
10-12 767
加油,奥利给,干!兄弟们!
PreparedStatement中的executeexecuteQueryexecuteUpdate之间的区别
lu_1110的博客
04-19 8806
该 PreparedStatement接口继承Statement,并与之在两方面有所不同: PreparedStatement 实例包含已编译的 SQL 语句。这就是使语句“准备好”。包含于 PreparedStatement 对象中的 SQL 语句可具有一个或多个 IN 参数。IN参数的值在 SQL 语句创建时未被指定。相反的,该语句为每个 IN 参数保留一个问号(“?”)作为占位符。每个
JDBC笔记3(基础—预编译语句(PreparedStatement))
wangshiqi666的博客
10-15 1656
使用预编译PreparedStatement语句来执行SQL语句。
如何获得PreparedStatement最终执行的sql语句
03-24
在实际应用中,如果需要获取动态构建的SQL,可能需要自定义一个`PreparedStatement`的代理类,覆盖`execute`或`executeQuery`方法,然后在这个代理类中拼接和打印出最终的SQL。但这需要对JDBC有深入的理解,并且需要...
详解Java的JDBC中Statement与PreparedStatement对象
09-03
如同Statement,PreparedStatement也有执行SQL的方法,如`execute()`, `executeQuery()`, 和 `executeUpdate()`,但它们接受预编译的SQL语句和参数。在执行前,必须用setXXX()方法为每个参数提供值,否则会抛出...
sql server 2000 java驱动包
02-03
使用`executeQuery()`, `executeUpdate()`, 或 `execute()` 方法执行SQL语句。 5. **处理结果**: 对于查询语句,通过`ResultSet`对象获取查询结果;对于更新语句,`executeUpdate()`会返回受影响的行数。 6. **...
sql server+JSP对数据库进行操作
12-25
3. 创建Statement或PreparedStatement对象:根据需求,可以创建`java.sql.Statement`用于执行SQL语句,或者创建`java.sql.PreparedStatement`以提高性能并防止SQL注入。 4. 执行SQL操作:调用Statement或...
第10章 JDBC-课后习题1
08-08
- 执行SQL:调用Statement或PreparedStatement的`executeQuery()`或`executeUpdate()`方法。 - 处理结果:对于查询语句,通过ResultSet处理结果;对于更新操作,检查返回的受影响行数。 - 清理资源:关闭...
JSP连接Mysql和SQLserver数据库
07-21
4. 执行SQL操作:创建Statement对象,执行`executeQuery()`(用于SELECT)、`executeUpdate()`(用于INSERT、UPDATE、DELETE)或`execute()`(用于存储过程和其他SQL命令)。 5. 处理结果集:如果执行了查询,可以...
jdbc for sqlserver
03-30
4. **执行SQL操作**:通过`executeQuery()`, `executeUpdate()`等方法执行SQL查询和修改操作。例如: ```java PreparedStatement pstmt = conn.prepareStatement("SELECT * FROM myTable WHERE id = ?"); pstmt....
sql 2000 for jdbc
02-24
4. **执行SQL**:调用`executeQuery()`、`executeUpdate()`或`execute()`方法执行SQL语句。 5. **处理结果集**:如果执行的是查询,你会得到一个`ResultSet`对象,可以通过遍历这个结果集来获取和处理数据。 6. **...
JDBC执行语句中,Statement,PreparedStatementexecuteexecuteUpdate的区别
weixin_41831919的博客
08-26 626
Statement与PreparedStatement PreparedStatementStatement一样,PreparedStatement也是用来执行sql语句的 与创建Statement不同的是,需要根据sql语句创建PreparedStatement 除此之外,还能够通过设置参数,指定相应的值,而不是Statement那样使用字符串拼接 PreparedStatement的优...
preparedStatement对象的execute()、executeUpdate()、executeQuery() 的理解
Vincent
02-21 531
[size=large][color=blue]【方法说明】[/color][/size] [size=medium] public ResultSet [color=red]executeQuery() [/color]throws SQLException 返回一个不为空的结果集 public int [color=red]executeUpdate()[/color] throw...
JDBC 事务和批处理 详解(通俗易懂)
Cyan_RA9的博客
06-10 2384
JDBC 第四节 事务和批处理详解!
一个PreparedStatement对象怎么执行不一样的sql
06-08
一个PreparedStatement对象可以执行不同的SQL语句,只需要在创建PreparedStatement对象时,传入不同的SQL语句即可。具体步骤如下: 1. 创建Connection对象,连接到数据库。 2. 使用Connection对象的prepareStatement方法创建一个PreparedStatement对象,该对象表示预编译的SQL语句。 3. 设置PreparedStatement对象中占位符对应的参数值。 4. 执行SQL语句,使用PreparedStatement对象的executeexecuteQueryexecuteUpdate方法,根据SQL语句的类型选择相应的方法。 5. 重复步骤2-4,使用不同的SQL语句,执行不同的操作。 以下是一个示例代码: ``` // 创建Connection对象 Connection conn = DriverManager.getConnection(url, username, password); // 创建PreparedStatement对象,并执行第一个SQL语句 PreparedStatement pstmt = conn.prepareStatement("SELECT * FROM users WHERE name = ?"); pstmt.setString(1, "Tom"); ResultSet rs = pstmt.executeQuery(); // 执行第二个SQL语句 pstmt = conn.prepareStatement("INSERT INTO users(name, age) VALUES(?, ?)"); pstmt.setString(1, "Jerry"); pstmt.setInt(2, 20); int rows = pstmt.executeUpdate(); // 关闭资源 rs.close(); pstmt.close(); conn.close(); ``` 在上面的代码中,首先创建了一个Connection对象,然后使用该Connection对象的prepareStatement方法创建了一个PreparedStatement对象,并执行了第一个SQL语句。接下来,使用同一个PreparedStatement对象,执行了第二个SQL语句。最后,关闭了ResultSet、PreparedStatement和Connection对象。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值