PreparedStatement对象执行sql的步骤

最新推荐文章于 2022-08-01 10:08:45 发布
最新推荐文章于 2022-08-01 10:08:45 发布
阅读量908 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Tsundere_Sea/article/details/97970930
版权

PreparedStatement:执行sql的对象
        1. SQL注入问题:在使用Statement拼接sql时,有一些sql的特殊关键字参与字符串的拼接。会造成安全性问题
            1. 输入用户随便,输入密码:a' or 'a' = 'a
            2. sql:select * from user where username = 'fhdsjkf' and password = 'a' or 'a' = 'a' 

        2. 解决sql注入问题:使用PreparedStatement对象来解决
        3. 预编译的SQL:参数使用?作为占位符
        4. 步骤:
            1. 导入驱动jar包 mysql-connector-java-5.1.37-bin.jar
            2. 注册驱动
            3. 获取数据库连接对象 Connection
            4. 定义sql
                * 注意:sql的参数使用?作为占位符。 如:select * from user where username = ? and password = ?;
            5. 获取执行sql语句的对象 PreparedStatement  Connection.prepareStatement(String sql) 
            6. 给?赋值:
                * 方法: setXxx(参数1,参数2)
                    * 参数1:?的位置编号 从1 开始
                    * 参数2:?的值
            7. 执行sql,接受返回结果,不需要传递sql语句
            8. 处理结果
            9. 释放资源

Tsundere_Sea
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
在java调用sql数据库_java调用SQL Server数据库 Statement和PreparedStatement
weixin_35977449的博客
02-24 777
我们知道,数据的存储使用数据库是最方便的,一来不随程序的关闭而关闭,永久性存储。二来处理方便,以对象的思想来说,数据库中的表格就是一个类,表中每一行都是一个对象,表的属性就是类的属性。数据库的存在使得每一个对象都能轻易保存,删除和修改,只需要调用一个sql语句即可。同时,表与表的之间的关系在java中该如何表示,存在一对一与一对多。一对一的比较方便,一对多则需要采用特殊的数据结构。下面先描述一下,...
使用PreparedStatement访问数据库
12-14
 PrepatredStatement实例包含已编译的SQL语句,由于PreparedStatement对象已预编译过哦哦,所以执行速度快于Statement对象。  包含于PreparedStatement对象中的SQL语句具有一个或多个IN参数。IN参数的值在SQL...
使用PreparedStatement执行sql语句
QQ1012421396的博客
03-18 6953
使用PreparedStatement执行sql语句 package com.cn.preparedStatement;import java.sql.Connection;import java.sql.PreparedStatement;import java.sql.ResultSet;import org.junit.Test;import com.cn.Util.JdbcUtil;
用 PreparedStatementSqlServer 中一次性插入多条记录
一叶不知秋
12-12 2546
标准 SQL 都提供了下面这种方式一条 INSERT INTO 语句插入多条记录 INSERT INTO Customers(Id, Name, Age) VALUES (1, 'Name1', 21.5), (2, 'Name2', 32.3) VALUES 之后用括号列出每一条记录。但是在 Java 中想把上面的语句转换成 PreparedStatement  来插
如何用PreparedStatement执行sql语句【通过事务】
FANGJIANQIN的博客
07-17 569
关于如何用PreparedStatement执行sql语句【通过事务】?其实非常简单 1、准备好一个Connection 2、准备好一个你需要保存的对象【举例:Customer客户对象】 下面就可以开始正式工作: [code="java"] public void addCustomerByCommit(Connection conn , Customer customer) {...
JDBC访问数据库的步骤
06-06
获取Statement对象,通过Statement对象执行SQL语句: Statement stmt=con.createStatement(); 执行SQL查询,返回给结果集对象: ResultSet rs=stmt. executeQuery(“select * from 表名”); 或 表名”+条件); ...
nodejs基于mssql模块连接sqlserver数据库的简单封装操作示例.docx
01-21
需要注意的是,在连接 SQL Server 数据库之前,需要开启 SQL Server 服务器允许远程连接的步骤,并关闭防火墙的入站规则,或者允许入站。 本文中,我们只是简单地封装了连接 SQL Server 数据库的操作示例, readers...
JDBC连接所有数据库步骤
11-21
4 建立Statement对象或PreparedStatement对象。 5 执行SQL语句。 6 访问结果记录集ResultSet对象。 7 依次将ResultSet、Statement、PreparedStatement、Connection对象关闭,释放所占用的资源。
java学习笔记使用JDBC对数据库进行增删改查方案一.pdf
07-14
获取连接后,可以执行 SQL 语句,例如使用 PreparedStatement 对象执行 SQL 语句。 知识点二:执行 SQL 语句 在 JDBC 中,可以使用 Statement、PreparedStatement 或 CallableStatement 对象执行 SQL 语句。...
preparedstatement mysql 数据_mysql数据库__Jdbc直接操作__PreparedStatement__新增数据表
weixin_29146477的博客
02-03 67
一、代码如下private void cTable() {// TODO Auto-generated method stubjava.sql.PreparedStatement ps = null;java.sql.Connection cn = null;ResultSet rs = null;try {// Class.forName("com.microsoft.jdbc.sqlserve...
如何使用PreparedStatement
weixin_33910434的博客
09-24 158
为什么80%的码农都做不了架构师?>>> ...
SQLStatement和PreparedStatement两种操作数据库比较,随记,2019.10.30
lingle1的博客
10-30 628
补充下 常见数据库驱动记录 驱动jar 具体驱动类 连接字符串 Oracle ojdbc-x.jar oracle.jdbc.OracleDriver jdbc:oracle:thin:@localhost:1521:数据库实例名 – – – – MySQL mysql-connector-java-x.jar com.mysql.jdbc.Driver jdbc:m...
PreparedStatement防止sql注入原理
程宇寒
12-18 6742
PreparedStatement类是java的一个类,准确说是jdbc规范中的一个接口,各个数据库产商的实现不同(即实现类不同),今天我们就以mysql数据库来说,我已经下载了mysql数据库的驱动jar包和驱动程序的源代码. sql注入的时候,比如,有些用户就会在界面上输入anything' OR 'x'='x这种东西,最后sql语句就是如下: SELECT * FROM users WH...
PreparedStatement
肉man
07-29 2179
SQL注入问题 SQL注入:用户输入的内容作为了SQL语句语法的一部分,改变了原有SQL真正的意义。 假设有登录案例SQL语句如下: SELECT * FROM 用户表 WHERE NAME = 用户输入的用户名 AND PASSWORD = 用户输的密码; SELECT * FROM 用户表 WHERE NAME = ‘XXX’ AND PASSWORD =’ XXX’ OR ’a’=...
利用 JdbcTemplate 自动返回 MS SQL SERVER 2005 自增主键值
Change is Constant
06-20 6220
JDBC3 中可以直接获取当前插入记录的 ID 值,具体的调用方式如下:Statement stmt = conn.createStatement();stmt.executeUpdate("INSERT INTO authors (first_name, last_name) values (′George′, ′Orwell′)", Statement.RETURN_GENERATED
使用PreparedStatement执行批量插入sql的三种方式以及效率
weixin_45861045的博客
08-01 4821
jdbc学习
sqlserver2000的jdbc驱动和PreparedStatement的性能问题。
林巅峰的专栏
11-09 1284
人们都说用PreparedStatement会提高程序的性能。我在sqlserver下面试了一下,结果令我大吃一惊 。connection.setAutoCommit(false);pstmt = connection.prepareStatement(sql);pstmt.setFetchSize(100);pstmt.setString(1,"026011009004");ResultSet
java通过PreparedStatement执行sql
最新发布
06-13
在设置完参数值后,可以使用 PreparedStatement 对象执行 SQL 查询语句,例如: ```java ResultSet rs = pstmt.executeQuery(); while (rs.next()) { int id = rs.getInt("id"); String name = rs.getString(...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值