JDBC:预处理查询 PreparedStatement

已于 2022-02-24 17:01:43 修改
阅读量1k 收藏 2
点赞数
分类专栏: Java数据库开发及实战应用 文章标签: java mysql
于 2022-02-24 16:29:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Thumb_/article/details/123113389
版权
本文展示了如何在Java中使用PreparedStatement执行SQL查询,以此来防止SQL注入攻击。程序通过用户输入的管理员名字和密码进行登录验证,演示了PreparedStatement如何设置参数并执行查询。在成功查询到管理员信息时,输出‘恭喜,登录成功’,否则提示‘抱歉,登录失败’。
摘要由CSDN通过智能技术生成

在这里插入图片描述

package com.hspedu.jdbc.preparedStatement_;

import java.io.FileInputStream;
import java.sql.*;
import java.util.Properties;
import java.util.Scanner;

public class PreparedStatement_ {

    public static void main(String[] args) throws Exception {
        Scanner scanner = new Scanner(System.in);

        //让用户输入管理员名和密码
        System.out.print("请输入管理员的名字:");
        String admin_name = scanner.nextLine();  //若使用next(),当接收到空格或者'就表示结束
        System.out.print("请输入管理员的密码:");
        String admin_pwd = scanner.nextLine();   //如果想要看到SQL注入效果,这里需要用nextLine()

        //通过Properties对象获取配置文件的信息
        Properties properties = new Properties();
        properties.load(new FileInputStream("src/mysql.properties"));
        //读取相关的值
        String driver = properties.getProperty("driver");
        String url = properties.getProperty("url");
        String user = properties.getProperty("user");
        String password = properties.getProperty("password");

        //1.注册驱动
        Class.forName(driver);

        //2.得到连接
        Connection connection = DriverManager.getConnection(url, user, password);

        //3.得到Statement
        //3.1.sql语句,sql语句的?就相当于占位符
        String sql = "select name, pwd from admin where name = ? and pwd = ?";
        //3.2.preparedStatement对象实现了PreparedStatement接口的实现类的对象
        PreparedStatement preparedStatement = connection.prepareStatement(sql);
        //3.3.给?赋值
        preparedStatement.setString(1, admin_name);
        preparedStatement.setString(2, admin_pwd);

        //4.执行select语句使用executeQuery
        //  如果执行的是dml(update, insert, delete) executeUpdate()
        ResultSet resultSet = preparedStatement.executeQuery();  //这里执行executeQuery, 不用再传入sql语句,否则传进去的是最初的sql语句
        if (resultSet.next()) {   //如果查询到一条记录,则说明该管理存在
            System.out.println("恭喜,登录成功");
        } else {
            System.out.println("抱歉,登录失败");
        }

        //关闭连接
        resultSet.close();
        connection.close();
        preparedStatement.close();
    }
}

输出:
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
PreparedStatement的好处
在这里插入图片描述

_卷心菜_
关注
专栏目录
05.jdbc PreparedStatement 执行查询
Java 程序源
08-27 5353
PreparedStatement 执行查询和执行增删改操作流程没有太大区别, 只有两点: 查询使用的方法是 PreparedStatemnet.executeQuery(); 查询结果返回的是ResultSet, 需要进行解析. 1. ResultSet简介 ResultSet 数据结构类似于一个二维数组和游标的结合, 和普通的java 数据结构有点儿不太一样. 默认情况下, 游标指向二维...
数据库技术四:JDBC预处理对象,JDBC事务控制
bier_zm的博客
08-24 868
JDBC概述 什么是JDBC JDBC (Java Data Base Connectivity) 是 Java 访问数据库的标准规范。是一种用于执行 SQL 语句的 Java API,可以为多种关系数据库提供统一访问,它由一组用 Java 语言编写的类和接口组成。是 Java 访问数据库的标准规范。 JDBC原理 JDBC 是接口,驱动是接口的实现,没有驱动将无法完成数据库连接,从而不能操作数据库。每个数据库厂商都需要提供自己的驱动,用来连接自己公司的数据库,也就是说驱动一般都由数据库
jdbc预处理 查询 预处理DML jdbc常用API汇总
LuckyJerry66的博客
08-21 635
1 jdbc 预处理 PreparedStatement 预处理 1 PreparedStatement 执行的SQL语句中的参数用问号(?)来表示,调用PreparedStatement 对象的setXxx()方法来设置这些参数 . setXxx()方法有两个参数,第一个参数是要设置的SQL语句中的参数的索引(从1开始) ,第二个是设置的SQL语句中的参数的值 2 调用 excuteQuery() ,返回ResultSet 对象 3 调用 excuteUpdate() : 执行更新 ,包括增,删,修改.
JDBC】-- PreparedStatement实现数据库查询操作
张修宇的博客
07-21 4260
ORM思想(objectrelationalmapping)1、一个数据表对应一个java类2、表中一条记录对应java类的一个对象3、表中一个字段对应java类的一个属性JDBC结果集的元数据获取列数获取列的别名反射通过反射,创建指定类的对象,获取指定的属性并赋值。...
JDBC的PreparedStatement查询和DML
qq_46093575的博客
05-16 244
一、PreparedStatement 1.PreparedStatement执行sql语句中的参数用(?)表示,调用PreparedStatement对象的setxx()方法来设置参数,setxx()两个参数,第一个参数要设置sql语句中的参数的索引(从1开始),第二个要设置sql语句中的参数的值。 2.调用executeQuery(),返回ResultSet对象 3.调用executeUpdate():执行更新。 二、预处理的优势 1.不使用+拼接sql语句,降低了语法错误。 2.解决了sq
JDBC代码案例(使用PreparedStatement进行优化查询
weixin_45417821的博客
01-04 445
https://blog.csdn.net/weixin_45417821/article/details/1285368121,静态查询2,可能发生注入攻击,动态值充当了SQL语句结构,影响了原有的查询结果! 图解
Java JDBC预处理语句与事务处理
本资源可能来自《Web程序设计教程》,涵盖了JDBC使用、数据库连接、查询与更新记录、预处理、事务管理等多个方面,旨在帮助学习者理解和掌握Web环境下的数据库处理技术。" 预处理语句在数据库处理中的应用: 预处理...
Java学习日志(三十三): JDBC预处理对象,连接池C3P0
12-14
**JDBC预处理对象(PreparedStatement)** 预处理对象是JDBC提供的一种增强的安全性和效率的SQL语句执行方式。在使用PreparedStatement时,我们先定义SQL模板,然后在执行时将参数动态插入。这样做的好处有: 1. *...
JDBC预处理语句:了解和使用PreparedStatement
JDBC预处理语句简介 ## 1.1 JDBC概述 在Java中,JDBCJava Database Connectivity)是一种用于执行SQL语句的Java API,它提供了与多种数据库进行连接、查询和更新的方法。通过JDBC,开发人员可以使用统一的接口...
优化数据库操作:预处理语句与SQL执行效率
- 预处理语句(PreparedStatement)提供了解决方案,它允许一次编译SQL模板,然后多次重用。 3. **预处理语句的优势**: - 预编译的SQL语句被数据库缓存,减少了解析和优化的时间,提高了执行效率。 - 参数化查询...
JDBC之使用PreparedStatement操作数据库
最新发布
weixin_57800914的博客
07-06 1214
PreparedStatement介绍:可以通过调用 Connection 对象的方法获取 PreparedStatement 对象PreparedStatement 对象所代表的 SQL 语句中的参数用问号(?)来表示,调用 PreparedStatement 对象的 setXxx() 方法来设置这些参数. setXxx() 方法有两个参数,第一个参数是要设置的 SQL 语句中的参数的索引(从 1 开始),第二个是设置的 SQL 语句中的参数的值。
JDBC-04:PreparedStatement针对不同表的通用查询操作
小贺想改变
11-05 434
PreparedStatement针对不同表的通用查询操作
JDBC之PreparedStatement&两表查询
yxlyy0909的博客
01-07 580
一、preparedStatementstatement的区别: statement执行完整的sql语句,preparedStatement执行半成品sql语句 prepareStatement(sql)要执行sql语句,createStatement()不需要执行sql,在查询时在执行sql preparedStatement可以防止sql注入,更安全 String sql="select * from students where stu_id=? and stu_sex=? and stu_name
Java jdbc连接数据库使用PreparedStatement查询
qq_45041558的博客
09-26 1050
import java.sql.*; public class work { public static void main(String[] args) throws ClassNotFoundException, SQLException { // 1.加载驱动 Class.forName("com.mysql.jdbc.Driver");//加载驱动【掌握】 ...
JDBC笔记】PreparedStatement通用查询数据表
lijibai_的博客
06-28 852
本文利用的数据库如下目录Java与SQL对应数据类型转换表PreparedStatement查询数据表操作如果想查询对应数据表的数据,我们就需要制造一个表的对象,里面包含了表中的内容,比如本文查询一下 Customers 数据表 我们就可以根据转换表,写出数据表对象 PreparedStatement查询数据表操作 要查询数据库,我们可以先梳理一下思路。首先我们要知道查询哪个表,查询语句是什么,查询多少数据。那么顺着这个思路,我们就可以把以上三点写为参数传入方法中 在查询数据表的时候,我们要获取数
07. JDBC基础 — 通过PreparedStatement执行查询操作
散场前的温柔的博客
03-25 910
JDBC基础   —— 通过PreparedStatement执行查询操作 本章目的和提示 使用PreparedStatement实现占位符查询 本文基于第五章的代码基础上结合第六章进行更新 本章以下内容保持和第五章相同: 数据库结构和数据 项目结构 User类 pom.xml database.properties PropertiesUtils类 本章更新的内容: JDBCUtils类 ...
黑猴子的家:JDBC -> PreparedStatement 查询练习
黑猴子的博客
03-01 292
1、需求 在eclipse中建立java 程序,输入身份证号或准考证号可以查询到学生的基本信息 2、code package com.yinggu.demo3; import java.sql.Connection; import java.sql.PreparedStatement; import java.sql.ResultSet; import java.util.Scanner;...
JDBC——(6)PreparedStatement的使用——实现查询操作
qq_44891295的博客
12-30 1701
实现查询操作步骤: 1:创建Connection对象 2:创建Statement对象 3:执行sql语句 4:使用ResultSet对象 5:关闭资源 如下图就是一个编写完整JDBC的步骤 代码演示 @Test public void testQuery1() { Connection conn = null; PreparedStatement ps = null; Result...
JDBC之PreparedStatement
weixin_37590761的博客
01-14 227
why: 1.1 使用 Statement 需要进行拼写 SQL 语句 . 很辛苦 . 而且容易出错 . 1.2 使用 Statement 可能会发生 SQL 注入 SQL注入:SQL 注入是利用某些系统没有对用户输入的数据进行充分的检查,而在用户输入数据中注入非法的 SQL 语句段或命令,从而利用系统的 SQL 引擎完成恶意行为的做法对于 Java 而言,要防范 SQL 注入,只要用Prep...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值