初学JDBC__第四节(SQL注入,PreparedStatement和Statement )

最新推荐文章于 2024-07-18 15:45:25 发布
最新推荐文章于 2024-07-18 15:45:25 发布
阅读量763 收藏
点赞数
文章标签: sql SQL Sql 注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ZXFC88/article/details/8374039
版权

        SQL注入,PreparedStatement和Statement

1、在SQL中包含特殊字符或SQL的关键字(如:' or 1 or ')时Statement将出现不可预料的结果(出现异常或查询的结果不正确),可用PreparedStatement来解决。
2、PreperedStatement(从Statement扩展而来)相对Statement的优点:
             1.没有SQL注入的问题。
             2.Statement会使数据库频繁编译SQL,可能造成数据库缓冲区溢出。
             3.数据库和驱动可以对PreperedStatement进行优化(只有在相关联的数据库连接没有关闭的情况下有效)。
 
 
本节以增删查改中查询为例测试SQL注入 
import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;

public class sqlInject {

	/**
	 * @param args
	 * @throws SQLException 
	 */
	public static void main(String[] args) throws SQLException {
		// TODO Auto-generated method stub
		read("rrrttt");
	}
	static void read(String name) throws SQLException{
		Connection conn=null;
		PreparedStatement ps=null;
		ResultSet rs=null;
		try{
			conn=jdbcUtils.getConnection();
			String sql="select id ,name,birthday,money from T_Users where name=?";
			ps=conn.prepareStatement(sql);
			ps.setString(1, name);
			rs=ps.executeQuery();
			while(rs.next()){
				System.out.println(rs.getObject("name")+"   "+rs.getObject("money"));
			}
			
		}
		finally{
			jdbcUtils.free(conn, ps, rs);
		}
	}
}

ZXFC88
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JDBC (三) --- PreparedStatement对象介绍
但行好事 莫问前程
07-20 1108
1:PreperedStatementStatement的子类,它的实例对象可以通过Connection.preparedStatement()方法获得,相对于Statement对象而言:PreperedStatement可以避免SQL注入的问题。 2:Statement会使数据库频繁编译SQL,可能造成数据库缓冲区溢出。PreparedStatement可对SQL进行预编译,从而提高数据库的执...
jdbc使用PreperedStatement避免SQL注入
paocai_2019的博客
11-08 1230
PreperedStatement可以避免SQL注入的问题。 如:String sql=“select * from admin where loginname=’”+loginName+"’ and loginpwd=’"+loginPwd+"’"; 在应用中: -》请输入账号: 333 -》请输入密码: ...
PreparedStatement使用
wangyanming123的博客
09-08 475
PreparedStatement使用: 1.能用PreparedStatement的地方不用Statement。 2.可以避免SQL注入的问题。 3.Statement会使数据库频繁编译SQL,可能造成数据库缓冲区溢出。PreparedStatement 可对SQL进行预编译,从而提高数据库的执行效率。 4.并且PreperedStatement对于sql中的参数,允许使用占位符的形式进
JDBC学习(三)---SQL注入问题/PreparedStatement对象
DOGIOOH的博客
07-12 369
JDBC学习(三)—SQL注入问题/PreparedStatement对象 01 SQL注入问题 所谓SQL注入,就是通过把SQL命令插入到Web表单提交,最终达到欺骗服务器执行恶意的SQL命令。 程序示例:以SQL语句:select * from users where name = ‘不存在的用户名’ or 1=1;为例 public class TestDemo1 { public...
数据库技术-JDBC中的PreparedStatement和Transaction
移动智能
01-09 1862
数据库技术-JDBC中的PreparedStatement和Transaction PreparedStatement     首先介绍PreparedStatement: 1、PreparedStatement是一种Statement 2、比父接口提供了更多可以让我们用的方式. prepstmt = conn.prepareStatement("INSERT INTO anim
JDBC_MYSQL.rar_JDBC-MYSQL_java jdbc mysql_java sql 简单
09-21
- 使用PreparedStatement可以防止SQL注入攻击,并提高查询效率。 7. **事务管理**: - JDBC提供对数据库事务的支持,通过`Connection`对象的`setAutoCommit(false)`来禁用自动提交,然后手动调用`commit()`或`...
JDBC.zip_jdbc_oracle_初学
09-21
4. **创建Statement/PreparedStatement**:`Statement`用于执行SQL语句,而`PreparedStatement`预编译SQL,适用于多次执行相同语句,提高效率和安全性。例如: ```java Statement stmt = conn.createStatement(); ...
(java)JDBC_example.rar_JDBC例子_jdbc_jdbc Java
09-19
- 使用PreparedStatement代替Statement,可以防止SQL注入,提高性能。 - 使用连接池管理数据库连接,如C3P0、HikariCP等,以提高系统效率。 - 使用批处理操作批量执行SQL,减少网络交互次数。 5. **JDBC的挑战与...
JSP+JDBC.rar_jdbc jsp_jdbc jsp文档_jsp 初学_jsp 文档_jsp 源码
09-23
本资源提供了一个基于JSP+JDBC的实用留言管理系统,包含文档说明和源码,非常适合初学者学习和实践。 **JSP基础** JSP是一种动态网页技术,允许开发者在HTML页面中嵌入Java代码,从而实现动态内容的生成。JSP文件...
JDBC.rar_ado ODBC jdbc_jdbc
09-23
总结,"JDBC.rar_ado ODBC jdbc_jdbc"这个压缩包内容主要围绕JDBC的基础知识和使用,适合初学者学习JDBC编程,了解如何在Java程序中连接和操作数据库。通过对JDBC的理解和实践,开发者可以编写出高效、可靠的数据库...
Java中JDBC连接数据库步骤 以及 Statement和preparseStatement
yansong_8686的专栏
05-10 2510
1.prepareStatement可以替换变量 在SQL语句中可以包含?,可以用     ps=conn.prepareStatement("select * from Cust where ID=?");     int sid=1001;     ps.setInt(1, sid);     rs = ps.executeQuery(); 可以把?替换成变量。
为什么用Prestatement代替Statement
qq_33730348的博客
02-01 933
为什么要始终使用PreparedStatement代替Statement? 在JDBC应用中,如果你已经是稍有水平开发者,你就应该始终以PreparedStatement代替Statement.也就是说,在任何时候都不要使用Statement. 基于以下的原因: 一.代码的可读性和可维护性. 虽然用PreparedStatement来代替Statement会使代码多出几行,但这样的代码无论
使用PreperedStatement预编译对象防止sql注入简单代码
sillydog
12-22 2879
package com.fwd.login; import java.sql.Connection; import java.sql.PreparedStatement;//注意导包是sql下的包 import java.sql.ResultSet; import com.fwd.utils.MyJDBCUtils; public class Login { /** * @author
JDBC连接(Statement和PrepareStatement
一路向阳,春暖花开
04-06 2202
1.JDBC连接的连接步骤(Statement和PrepareStatement) (1)注册驱动 (只做一次) (2)建立连接(Connection)  (3)创建执行SQL的语句(Statement) (4)执行语句 (5)处理执行结果(ResultSet) (6)释放资源 1.1注册驱动 (1)Class.forName(“com.mysql.jdbc.Drive
JDBC那些事(三)——PreparedStatement预编译对象
JUSTIN的博客
01-19 1563
“PreparedStatement 接口继承了Statement,并与之在两方面有所不同:有人主张,在JDBC应用中,如果你已经是稍有水平开发者,你就应该始终以PreparedStatement代替Statement.也就是说,在任何时候都不要使用Statement。”这是百度百科对PreparedStatement接口阐述的一句话。那么PreparedStatement具体又有什么好处呢。这些
Java之JDBC-(看这篇就够了)
蓝星花
04-10 878
JDBC (Java DB Connection)---Java数据库连接一、ODBC到JDBC的发展历程(看一眼就可以)自从Java语言于1995年5月正式公布以来,Java风靡全球。出现大量的用java语言编写的程序,其中也包括数据库应用程序。由于没有一个Java语言的API,编程人员不得不在Java程序中加入C语言的ODBC函数调用。这就使很多Java的优秀特性无法充分发挥,比如平台无关性、...
JDBC 中preparedStatementStatement区别
热门推荐
发呆的程序猿
05-16 4万+
一、概念PreparedStatement是用来执行SQL查询语句的API之一,Java提供了 Statement、PreparedStatement 和 CallableStatement三种方式来执行查询语句,其中 Statement 用于通用查询, PreparedStatement 用于执行参数化查询,而 CallableStatement则是用于存储过程。同时PreparedStateme
PostgreSQL的Json数据类型如何使用
最新发布
招风的黑耳CSDN
07-18 283
PostgreSQL中的JSON数据类型提供了一种灵活的方式来存储JSON(JavaScript Object Notation)数据。JSON是一种轻量级的数据交换格式,易于人阅读和编写,同时也易于机器解析和生成。在PostgreSQL中,你可以使用JSON和JSONB(JSON的二进制格式,支持索引和更快的查询)数据类型来存储JSON数据。
Java初学JDBC教程:单例模式与数据库连接
JDBC的核心在于提供了一套API,这些API由一系列的类和接口组成,包括`DriverManager`、`Connection`、`Statement`、`PreparedStatement`、`ResultSet`等,使得开发者可以通过编写Java代码来执行SQL语句并处理数据库...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值