Statement和PreparedStatement

最新推荐文章于 2024-10-05 00:24:42 发布
最新推荐文章于 2024-10-05 00:24:42 发布
阅读量843 收藏
点赞数 1
分类专栏: 学习 文章标签: sql 数据库 sqlserver
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Tisnum/article/details/121232074
版权

使用用户登录例子来区别Statement和PreparedStatement

需要使用Statement的例子在这里

import java.util.HashMap;
import java.sql.*;
import java.util.Map;
import java.util.Scanner;
/**
 * 用户名:fdsa
 * 密码:fdsa' or '1'='1
 * 用Statement输入以上会登录成功
 * 这种现象被称为SQL注入(安全隐患)
 * 1.导致SQL注入的根本原因是什么?
 *   	用户输入的信息中含有sql语句的关键字,并且这些关键字参与sql语句的编译过程,导致sql语句的原意被扭曲,进而形成SQL注入
 * 2.如何解决SQL注入问题?
 *   	只要用户提供的信息不参与SQL语句的编译过程,问题就解决了。
 *   	要想用户信息不参加SQL语句的编译,那么必须使用java.sql.PreparedStatement
 *   	PreparedStatement接口继承了java.sql.Statement 它是属于预编译的数据库操作对象
 *   它的原理是:预先对SQL语句的框架进行编译,然后再给SQL语句传值
 * 3.对比Statement和PreparedStatement
 *   	-Statement存在SQL注入问题,PreparedStatement解决了SQL注入问题
 *   	-Statement是编译一次执行一次。PreparedStatement是编译一次可以执行n次
 *   	-PreparedStatement会在编译阶段做类型的安全检查
 *   综上所述:PreparedStatement使用较多,只有极少数的情况下需要使用Statement
 * 4.什么情况下必须使用Statement?
 * 		Statement支持SQL注入,凡是业务方面要求是需要进行sql语句拼接,必须使用Statement。
 * 		例如用户在控制台输入desc变为降序,输入asc变为升序 
 */
public class LoginTest {
	public static void main(String[] args) {
		//初始化用户界面
		Map<String,String> userLoginInfo = initUI();
		//验证用户名和密码
		boolean loginSuccess = login(userLoginInfo);
		//输出最后结果
		System.out.println(loginSuccess ? "登录成功" : "登录失败");
		
	}
	/**
	 * 用户登录
	 * @param userLoginInfo 用户登录信息
	 * @return false表示失败 true表示成功
	 */
	private static boolean login(Map<String, String> userLoginInfo) {
		// TODO Auto-generated method stub
		boolean loginSuccess = false;
		String loginName = userLoginInfo.get("loginName");
		String loginPwd = userLoginInfo.get("loginPwd");
		Connection conn = null;
		//Statement sm = null; 改为PreparedStatement
		PreparedStatement ps = null;
		ResultSet rs = null;
		try {
			Class.forName("com.mysql.cj.jdbc.Driver");
			conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/user","root","123456");
			//sm = conn.createStatement();
			//String sql = "select * from user where loginName = '"+loginName+"'and loginPwd = '"+loginPwd+"'";
			//获取预编译的数据库操作对象  ?表示一个占位符,将来接受一个值
			String sql = "select * from user where loginName = ? and loginPwd = ?";//SQL语句框架
			ps = conn.prepareStatement(sql);
			//程序执行到此处,会发送sql语句框架给DBMS,然后DBMS进行sql语句的预先编译。
			//给占位符?传值(第一个问号下标是1,第二个是2)
			ps.setString(1, loginName);
			ps.setString(2, loginPwd);
			rs = ps.executeQuery();//此处就不用传入sql语句了
			if(rs.next()) {
				loginSuccess = true;
			}
		} catch (ClassNotFoundException e) {
			// TODO Auto-generated catch block
			e.printStackTrace();
		} catch (SQLException e) {
			// TODO Auto-generated catch block
			e.printStackTrace();
		}finally {
			try {
				if(rs != null) {
					rs.close();
				}
			}catch(SQLException e) {
				e.printStackTrace();
			}
			try {
				if(ps != null) {
					ps.close();
				}
			}catch(SQLException e) {
				e.printStackTrace();
			}
			try {
				if(conn != null) {
					conn.close();
				}
			}catch(SQLException e) {
				e.printStackTrace();
			}
		}
		return loginSuccess;
	}
	/**
	 * 初始化用户界面
	 * @return 用户输入的用户名和密码等登录信息
	 */
	private static Map<String, String> initUI() {
		// TODO Auto-generated method stub
		Scanner tf = new Scanner(System.in);
		System.out.println("用户名:");
		String loginName = tf.nextLine();
		System.out.println("密码:");
		String loginPwd = tf.nextLine();
		Map<String,String> userLoginInfo = new HashMap<String,String>();
		userLoginInfo.put("loginName", loginName);
		userLoginInfo.put("loginPwd", loginPwd);
		return userLoginInfo;
	}
}
Tisnum
关注
专栏目录
SQL语句预编译
yushui的笔记本
04-22 1万+
SQL语句预编译一、预编译SQL语句处理预编译语句PreparedStatement 是java.sql中的一个接口,它是Statement的子接口。通过Statement对象执行SQL语句时,需要将SQL语句发送给DBMS,由DBMS首先进行编译后再执行。预编译语句和Statement不同,在创建PreparedStatement 对象时就指定了SQL语句,该语句立即发送给DBMS进行编译。当该
预编译的优点(Statement和PrepareStatement 的区别)
u011921842的专栏
12-04 6638
在执行SQL命令时,有二种选择:可以使用PreparedStatement对象,也可以使用Statement对象。 而熟悉JDBC编程的大侠们都会选择使用PreparedStatement对象,主要因为使用预编译对象PreparedStatement时,有以下几个优点: 1、效率高  PreparedStatement可以尽可能的提高访问数据库的性能,我们都知道数据库在处理SQL
Oracle预编译SQL语句处理
Magister_Feng的专栏
07-13 5754
一、预编译SQL语句处理 预编译语句PreparedStatement 是java.sql中的一个接口,它是Statement的子接口。通过Statement对象执行SQL语句时,需要将SQL语句发送给DBMS,由DBMS首先进行编译后再执行。预编译语句和Statement
JDBC预编译
S34497841的博客
05-06 3346
什么是预编译语句 预编译语句PreparedStatement 是java.sql中的一个接口,它是Statement的子接口。通过Statement对象执行SQL语句时,需要将SQL语句发送给DBMS,由DBMS首先进行编译后再执行。预编译语句和Statement不同,在创建PreparedStatement 对象时就指定了SQL语句,该语句立即发送给DBMS进行编译。当该编译语句被执行时
SQL预编译
LuM523的博客
04-23 1043
1.数据库预编译起源 (1)数据库SQL语句编译特性: 数据库接受到sql语句之后,需要词法和语义解析,优化sql语句,制定执行计划。这需要花费一些时间。但是很多情况,我们的一条sql语句可能会反复执行,或者每次执行的时候只有个别的值不同(比如query的where子句值不同,update的set子句值不同,insert的values值不同)。 (2)减少编译的方法 如果每次都需要经过上面的词法语...
Statement 和 PreparedStatement 详解
yjp1240201821的博客
07-27 536
本节主要讲解Statement和preparedStatement,从其相关的定义,优缺点和区别等等帮助理解。
Statement 和 PreparedStatement之间的关系和区别
haqiu8833的博客
10-24 735
Statement 和 PreparedStatement之间的关系和区别: 关系:PreparedStatement继承自Statement,都是接口 区别:PreparedStatement可以使用占位符,是预编译的,动态sql操作, 批处理PreparedStatementStatement效率高,Statement适用于执行多条不同的sql...
Statement和PreparedStatement的区别
热门推荐
一只大鹏鹏的博客
07-21 1万+
区别: 1、PreparedStatement可以使用占位符,是预编译的,批处理比Statement效率高 2、使用 Statement 对象。在对数据库只执行一次性存取的时侯,用 Statement 对象进行处理。PreparedStatement 对象的开销比Statement大,对于一次性操作并不会带来额外的好处。 3、statement每次执行sql语句,相关数据库都要执行sql语句的编译,preparedstatement预编译得, preparedstatement支持...
Statement 和 PreparedStatement用法比较
北冥的博客
10-19 409
在使用jdbc进行两节数据库时,会用到 Statement 和 PreparedStatement两个不同的对象进行执行sql语句的步骤,不过两个对象之间有着相同和不同点,一起来看看吧 相同点 1、首先要说的是 他们两个都是接口,PerparedStatement 接口继承于 Statement 接口,显而易见,PreparedStatement会比Statement 相对来说功能更完备。 2、他...
Statement和PreparedStatement的区别/PreparedStatementStatement比较的优点
a_zhang8888的博客
06-18 806
Statement 和 PreparedStatement之间的关系和区别. 关系:PreparedStatement继承自Statement,都是接口 区别:PreparedStatement可以使用占位符,是预编译的,批处理比Statement效率高
Statement和PreparedStatement之间的区别
01-14
Statement和PreparedStatement之间的区别 Statement和PreparedStatement是JDBC中的两种不同的语句对象,用于执行数据库操作。虽然它们都可以执行SQL语句,但是它们之间存在着很大的区别。 首先, Statement对象...
statement和preparedstatement
03-17
statement和preparedstatement都是用来执行SQL语句的接口,但是它们之间有一些重要的区别。 statement是用来执行静态SQL语句的接口,它每次执行都会将SQL语句发送到数据库服务器进行解析和执行。 ...
Java JDBC中的Statement和PreparedStatement
伏虎游侠的博客
05-04 3660
以Oracle为例吧 Statement为一条Sql语句生成执行计划, 如果要执行两条sql语句 select colume from table where colume=1; select colume from table where colume=2; 会生成两个执行计划 一千个查询就生成一千个执行计划! PreparedStatement用于使用绑定变量重用执行计划
掌握嵌套子查询:复杂 SQL 中 * 列的准确表列关系
最新发布
学习之余随便记记
10-05 611
本文重点讨论在具有 * 列的嵌套子查询中建立表和列之间正确关系的挑战。使用 Teradata SQL 代码示例来说明该过程。本文聚焦于一个别名为 SUBSCRIBER_ 的子查询及其派生的列,这些列在外层查询中被使用。有些列在子查询的选择列表中被明确列出,而其他一些列则来自一个列(SUBSCR.),这个*列引用了 PRD2_ODW.SUBSCRIBER_ 表。接着,分析检查了外层查询的选择列表,特别是来自 SUBSCRIBER_ 子查询的列。
实用SQL小总结
UntifA的博客
09-29 1373
SQL记录
PostgreSQL的表碎片
文牧之的博客
09-29 557
表碎片化是指表数据在文件系统中的不连续存储,导致读取和写入操作的效率降低。频繁的插入和删除:导致数据块中出现“空洞”。更新操作:由于 PostgreSQL 的 MVCC(多版本并发控制)机制,更新操作会生成新的行版本,原来的空间会被标记为可重用但是不立即回收。
PostgreSQL 字段使用pglz压缩测试
文牧之的博客
09-30 567
创建测试表1,并插入1000w行数据–创建测试表2,使用 pglz压缩字段,并插入1000w行数据对比表yewu1.test1和yewu1.test2的大小,没体现出压缩了。
SQL中基本SELECT语句及常见关键字的使用(内连接,左/右连接)
qq_43800449的博客
09-29 1007
DDL(Data Definition Languages)语句:数据定义语言,这些语句定义了不同的数据段、数据库、表、列、索引等数据库对象的定义。常用的语句关键字主要包括 create 、 drop 、 alter 、create等。DML(Data Manipulation Language)语句:数据操纵语句,用于添加、删除、更新和查询数据库记录(增删改查),并检查数据完整性,常用的语句关键字主要包括 insert 、 delete 、 update 等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值