MySQL之入门JDBC(版本2.0)#使用PerparedStatement利用占位符?处理sql拼接

最新推荐文章于 2022-11-01 17:13:33 发布
最新推荐文章于 2022-11-01 17:13:33 发布
阅读量615 收藏 1
点赞数 1
分类专栏: MySQL
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LINHONG_1994/article/details/98463338
版权

上一篇我们介绍MySQL之入门JDBC(版本1.0)包括其概念总结、使用步骤、CURD代码实现,之前我们在使用步骤中使用的是Satement对象,再用Satement对象调用executeUdate(sql),为了优化sql拼接问题,我们使用Satement的一个子接口PerparedStatment进行操作。

使用Satement处理sql的拼接操作(添加)
package com.daxia.test02;

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.Statement;
import java.util.Scanner;

public class InsertTest {
	public static void main(String[] args) throws Exception {
		//1.注册驱动
		Class.forName("com.mysql.jdbc.Driver");
		//2.连接服务器
		Connection con = DriverManager.getConnection("jdbc:mysql://localhost:3306/coding0110lindb", "root", "root");
		//3.从键盘输入
		Scanner input =new Scanner(System.in);
		System.out.print("请输入姓名:");
		String name = input.next();
		System.out.print("请输入性别:");
		String sex = input.next();
		System.out.print("请输入电话:");
		String tel = input.next();
		System.out.print("请输入薪水:");
		Double salary = input.nextDouble();
		//4.编写sql
		String sql = "INSERT INTO employee(ename,esex,etel,esalary) VALUES('"+name+"','"+sex+"','"+tel+"','"+salary+"')";
		//5.创建Statement
		Statement st = con.createStatement();
		int len = st.executeUpdate(sql);
		System.out.println(len);
		System.out.println(len > 0 ? "添加成功" : "添加失败");
		st.close();
		con.close();
		/**
		 *  请输入姓名:Satement测试
		 * 	请输入性别:男
		 *  请输入电话:1234566
		 * 	请输入薪水:20000
		 * 	1
			添加成功
		 */	
	}
}
测试表数据
mysql> use coding0110lindb;
Database changed
mysql> select * from employee;
Empty set (0.00 sec)
    
mysql> select * from employee;
+-----+-------+------+---------+---------+
| eid | ename | esex | etel    | esalary |
+-----+-------+------+---------+---------+
|   1 | Satement测试|| 1234566| 20000 |
+-----+-------+------+---------+---------+
1 row in set (0.00 sec)

mysql>

小结:

   在进行添加操作进行赋值VALUES(’"+name+"’,’"+sex+"’,’"+tel+"’,’"+salary+"’)",字符串的拼接受sql语法的限制,拼接显得很复杂,用PerparedStatment的占位符我们来比对下!

使用PerparedStatment处理sql的拼接操作,利用占位符?(添加)
package com.daxia.test02;

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.Statement;
import java.util.Scanner;

public class InsertTest {
	public static void main(String[] args) throws Exception {
		//1.注册驱动
		Class.forName("com.mysql.jdbc.Driver");
		//2.连接服务器
		Connection con = DriverManager.getConnection("jdbc:mysql://localhost:3306/coding0110lindb", "root", "root");
		//3.从键盘输入
		Scanner input =new Scanner(System.in);
		System.out.print("请输入姓名:");
		String name = input.next();
		System.out.print("请输入性别:");
		String sex = input.next();
		System.out.print("请输入电话:");
		String tel = input.next();
		System.out.print("请输入薪水:");
		Double salary = input.nextDouble();
		//4.编写sql
		//String sql = "INSERT INTO employee(ename,esex,etel,esalary) VALUES('"+name+"','"+sex+"','"+tel+"','"+salary+"')";
		String sql = "INSERT INTO employee(ename,esex,etel,esalary) VALUES(?,?,?,?)";
		
		//5.创建PreparedStatement
		//Statement st = con.createStatement();
		 PreparedStatement ps = con.prepareStatement(sql);
		 //设置?的值
		 
		 /*=====优化======
		 ps.setString(1,name);//1代表第一个占位符?
		 ps.setString(2,sex);//2代表第二个占位符?
		 ps.setString(3,tel);//3代表第三个占位符?
		 ps.setDouble(4,salary);*///4代表第四个占位符?
        
         ps.setObject(1,name);
		 ps.setObject(2,sex);
		 ps.setObject(3,tel);
		 ps.setObject(4,salary);
		 
		 // int len = st.executeUpdate(sql);
		int len =ps.executeUpdate(); //()中不需要加入sql的对象参数
		System.out.println(len);
		System.out.println(len > 0 ? "添加成功" : "添加失败");
		ps.close();
		con.close();
		
	/*	请输入姓名:PreSatement测试  
		请输入性别:男
		请输入电话:15525854
		请输入薪水:25852
		1
		添加成功*/
	}
}


mysql> select * from employee;
+-----+-----------------+------+------------+---------+
| eid | ename           | esex | etel       | esalary |
+-----+-----------------+------+------------+---------+
|   1 | Satement测试        || 1234566    |   20000 |
|   2 | PreSatement测试     || 15525854 |   25852 |
|   3 | setObject测试       || 55522      |      12 |
+-----+-----------------+------+------------+---------+
3 rows in set (0.00 sec)

总结

   相比Statment,PerparedStatment的效率要高,支持批处理!PreparedStatement对象执行SQL命令时,命令被数据库进行编译和解析(即预编译的状态),被放到命令缓冲区。每当执行同一个PreparedStatement对象时,它会被再解析一次,但是不会被再次编译,在缓冲区中可以发现预编译的命令,并且可以重新使用。

   所以,我们一般使用PerparedStatment对象去对sql语句进行处理,用占位符取代传统的拼串操作。

#轻松一刻:

在这里插入图片描述

 ☝上述分享来源个人总结,如果分享对您有帮忙,希望您积极转载;如果您有不同的见解,希望您积极留言,让我们一起探讨,您的鼓励将是我前进道路上一份助力,非常感谢!我会不定时更新相关技术动态,同时我也会不断完善自己,提升技术,希望与君同成长同进步!

☞本人博客:https://coding0110lin.blog.csdn.net/  欢迎转载,一起技术交流吧!

CRUD_CODER_LIN
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PreparedStatement
zhujianghan的博客
10-02 125
这里写目录标题SQL注入问题 SQL注入问题拼接SQL时,有一些sql的特殊关键字参与字符串的拼接,会造成安全性的问题。 输入用户名随便,密码:a’ or ‘a’='a sql : select * from users where user=‘nejfrbv’ and password=‘a’ or ‘a’=‘a’;(or后面是一个恒等式) ...
SQL注入+PreparedStatement使用
小汤圆
02-03 190
SQL注入+PreparedStatement使用
jdbc总结5-preparedStatement解决-sql语句的拼写问题
zhangxucumt的博客
08-29 403
在读写数据库的时候在经常遇到要拼写sql语句的问题 例如 插入一个数据 // 获取数据库操作对象 Statement stat=cnn.createStatement(); // 执行sql语句 String sql="insert into student(name,sex,id,age)values('zhangsan6','boy',123,18)"; int row=stat.executeUpdate(sql); 在开发过程中,‘zhangsan6’,‘boy’,123,18这些信
2.3 PreparedStatement&SQL注入
southdreams的博客
12-30 153
PreparedStatement 概述:执行SQL的对象. SQL注入 在拼接SQL语句的时候,如果有一些SQL的特殊关键字参与了字符串的拼接,会造成安全问题。 a' or 'a'='a 拼接后的SQL语句:select * from user where username = '任意字符' and password = 'a' or...
利用JDBC工具类的方式实现mysql数据库的连接并且完成登录相关功能(防sql注入方式)
10-01
)是占位符JDBC会自动处理用户输入的数据,确保它们被安全地作为参数传递,而非直接拼接SQL字符串中。 此外,为了提高代码的可读性和复用性,我们可以创建一个JDBC工具类,封装数据库连接、关闭资源等常用操作...
JDBC PrepareStatement 使用(附各种场景 demo)
最新发布
01-14
此外,PrepareStatement还能够防止SQL注入攻击,因为它允许我们使用占位符(?)来代替直接拼接字符串。 在描述中提到的基本查询和更新场景中,我们可以使用PreparedStatement的`setXXX()`方法设置参数,其中XXX代表...
Sql_set.zip_MYSQL
09-23
例如,使用PreparedStatement,将用户输入转化为占位符,如`"SELECT * FROM Users WHERE username = ? AND password = ?"`,然后通过设置参数来填充这些占位符。 3. **动态SQL**:对于复杂的查询,可能需要根据不同...
MySQL prepare原理详解
12-15
占位符SQL语句,进行硬解析并生成语法树,然后存储在当前线程的PrepareStatement缓存中,用stmt->id作为键。Execute阶段,客户端只需提供stmt->id和参数,服务器就能从缓存中找到已解析的语句,设置参数并执行,...
MySQL中预处理语句prepare、execute与deallocate的使用教程
09-09
- **防止SQL注入**:预处理语句能够确保参数值被正确地处理,避免了直接拼接字符串可能导致的SQL注入问题。 在实际应用中,预处理语句可以适应各种复杂的场景。例如,你可以用它来动态构建SQL语句,如上面示例中的...
用预查询(JDBC里的preparedstatement)为什么比直接用字符串拼SQL效率高
g2kajun的博客
06-11 521
用预查询(JDBC里的preparedstatement)为什么比直接用字符串拼SQL效率高 用JDBC里的preparedstatement的好处 1、相对比较安全,可以防止sql注入 举个例子,假如我们在做用户的登录认证,里面有两个字段username,passwword,我们如果用字符串拼接,我们一般这么写:“select id from users where username = '”+username +"’ and password = ‘" + password +"’" 这里的us
Preparedstatement使用
Garson的博客
11-01 753
如何使用PreparedStament以及PreparedStatment和Statement的区别
PerparedStatementSQL语句
yijinyiyjy的专栏
11-22 443
增 String sql="insert into student values(" + number + ",'" + name + "'," + lass      + ",'" + sex + "','" + profession + "','" + academism + "')";    Statement stmt=MySqlDAO.getStatement(); "inser
JDBC中全文模糊查询的MySQL语句(字符拼接的)
SmallFH的博客
05-01 1302
MySQL语句: ①、select * from 【表名】 concat(字段名1,字段名2……) like ‘%【关键字】%’ ②、select * from 【表名】 concat(字段名1,字段名2……) regexp ‘【关键字】’ JDBC中String拼接: ①、“select * from 【表名】 concat (字段名1,字段名2……) like \"\%?\%\" ” ...
PerparedStatement防止SQL注入
weixin_57219176的博客
08-09 198
PerparedStatement防止SQL注入
prepareStatement 占位符(?)的使用
weixin_49066429的博客
08-26 2155
public void PrepareStatementInsertTest(){ Scanner input = new Scanner(System.in); System.out.println("请输入姓名"); String name = input.next(); System.out.println("请输入年龄"); int age = input.nextInt(); try { ..
【Java学习】preparedstatement 处理机制
爱科比的博客
05-08 1073
1. 使用PreparedStatement有什么样的优势? PreparedStatement是java.sql包下面的一个接口,用来执行SQL语句查询,通过调用connection.preparedStatement(sql)方法可以获得PreparedStatment对象。数据库系统会对sql语句进行预编译处理(如果JDBC驱动支持的话),预处理语句将被预先编译好,这条预编译的sql查询语...
oracle中按部门列拼接,Oracle将一列值按照另一列分组拼接的方法讲解-Oracle
weixin_32596045的博客
04-14 676
怎么把一列值按照另一列分组拼成字符串。比如下面两列:SQL> select deptno,ename from emp where deptno is not null;20 SMITH30 ALLEN30 WARD20 JONES30 MARTIN30 BLAKE10 CLARK20 SCOTT10 KING30 TURNER20 ADAMS30 JAMES20 JAMES10 MILLE...
帮我写一段代码,要求使用jdbc查询sql语句,规避sql注入漏洞,避免进行sql字符串拼接sql中的标名是动态的
02-11
以下是一段使用JDBC进行SQL查询的代码,通过使用PreparedStatement来规避SQL注入漏洞,并避免进行SQL字符串拼接的例子: ``` import java.sql.Connection; import java.sql.DriverManager; import java.sql....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值