JavaWeb | 预编译SQL及PreparedStatement讲解

已于 2023-01-27 00:10:23 修改
阅读量1.6k 收藏 4
点赞数 5
分类专栏: JavaWeb # JDBC 数据库 文章标签: sql java 数据库
于 2023-01-26 23:53:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/alita233_/article/details/128768472
版权
JavaWeb 同时被 3 个专栏收录
22 篇文章 6 订阅
订阅专栏
数据库
22 篇文章 2 订阅
订阅专栏
JDBC
5 篇文章 0 订阅
订阅专栏

本专栏主要是记录学习完JavaSE后学习JavaWeb部分的一些知识点总结以及遇到的一些问题等,如果刚开始学习Java的小伙伴可以点击下方连接查看专栏
本专栏地址:🔥JDBC
Java入门篇: 🔥Java基础学习篇
Java进阶学习篇(持续更新中):🔑Java进阶学习篇

在这里插入图片描述

文章目录

一、前言

在上文中提到了SQL注入问题,这篇文章主要是讲解处理SQL注入问题的解决方案:预编译SQL语句,而这都归功于PreparedStatement方法,所以本文也会讲解该方法及其原理

二、PreparedStatement

1.概述

表示预编译的 SQL 语句的对象。

SQL 语句被预编译并存储在 PreparedStatement 对象中。然后可以使用此对象多次高效地执行该语句。

PreparedStatement作用: 预编译SQL语句并执行:预防SQL注入问题

2.获取 PreparedStatement 对象

要注意的是这里的❓是英文问号(半角)如果使用中文中的问好(全角)的话就会报错

// SQL语句中的参数值,使用?占位符替代
String sql = "select * from user where username = ? and password = ?";
// 通过Connection对象获取,并传入对应的sql语句
PreparedStatement pstmt = conn.prepareStatement(sql);

3.格式

 PreparedStatement对象:setXxx(参数1,参数2):给 ? 赋值

4.方法摘要

executeQuery:在此 PreparedStatement 对象中执行 SQL 查询,并返回该查询生成的 ResultSet 对象

executeUpdate:在此 PreparedStatement 对象中执行 SQL 语句,该语句必须是一个 SQL 数据操作语言(Data Manipulation Language,DML)语句,比如 INSERT、UPDATE 或 DELETE 语句;或者是无返回内容的 SQL 语句,比如 DDL 语句。

调用这两个方法时不需要传递SQL语句,因为获取SQL语句执行对象时已经对SQL语句进行预编译了

在这里插入图片描述

5.实例

//2. 获取连接:如果连接的是本机mysql并且端口是默认的 3306 可以简化书写
    String url = "jdbc:mysql:///db1?useSSL=false";
    String username = "root";
    String password = "123456";
    Connection conn = DriverManager.getConnection(url, username, password);

    // 接收用户输入 用户名和密码
    String name = "zhangsan";
    String pwd = "' or '1' = '1";

    // 定义sql
    String sql = "select * from tb_user where username = ? and password = ?";
    // 获取pstmt对象
    PreparedStatement pstmt = conn.prepareStatement(sql);
    // 设置?的值
    pstmt.setString(1,name);
    pstmt.setString(2,pwd);
    // 执行sql
    ResultSet rs = pstmt.executeQuery();
    // 判断登录是否成功
    if(rs.next()){
        System.out.println("登录成功");
    }else{
        System.out.println("登录失败");
    }
    //7. 释放资源
    rs.close();
    pstmt.close();
    conn.close();

6.原理

  • 将sql语句发送到MySQL服务器端
  • MySQL服务端会对sql语句进行如下操作

    • 检查SQL语句

    • 检查SQL语句的语法是否正确

    • 编译SQL语句。将SQL语句编译成可执行的函数

    • 检查SQL和编译SQL花费的时间比执行SQL的时间还要长。如果我们只是重新设置参数,那么检查SQL语句和编译SQL语句将不需要重复执行。这样就提高了性能。

  • 执行SQL语句
    在这里插入图片描述

三、结语

对于预编译的过程,大家可以查看一下日志文件,但是只需要掌握其原理即可,有任何问题都可以评论留言,如果想要了解详细过程的话,以后也会再写一篇文章来讲述的

Alita11101_
关注
  • 5
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
JDBC核心技术精讲
09-14
本课程《JDBC核心技术精讲》为JavaWeb必学课程。课程内容丰富全面,全程手写代码,可以带你一步一步学会JDBC!课程内容涵盖如下:1、JDBC概述及核心类介绍 2、JDBC入门案例 3、Statement对象介绍和使用4、JDBC使用格式的代码规范化5、ResultSet结果集的使用和讲解 6、结果集元数据对象讲解 7、sql攻击的讲解 8、预处理PreparedStatement对象的讲解9、mysql的预处理功能开启 10、JDBC中日期时间类型讨论11、通过JDBC存储和取出音频和视频数据 12、批处理概述13、事务概述及事务的四大特性 14、mysql中使用事务 15、jdbc中使用事务 16、数据库连接池的介绍和使用(DBCP/C3P0/Druid)17、DBUtils工具的使用18、详细讲述结果集处理器的使用
java 预编译sql_JDBC编程之预编译SQL与防注入
weixin_26875109的博客
02-21 1370
在JDBC编程中,常用Statement、PreparedStatement和CallableStatement三种方式来执行查询语句,其中Statement用于通用查询,PreparedStatement用于执行参数化查询,而CallableStatement则是用于存储过程。1、Statement该对象用于执行静态的 SQL 语句,并且返回执行结果。 此处的SQL语句必须是完整的...
jdbc mysql预编译测试类_JDBC之PreparedStatement类中预编译的综合应用解析
weixin_42356958的博客
02-04 213
预编译的优点1、PreparedStatement预编译的,对于批量处理可以大大提高效率. 也叫JDBC存储过程。2、使用 Statement 对象。在对数据库只执行一次性存取的时侯,用 Statement 对象进行处理。PreparedStatement 对象的开销比Statement大,对于一次性操作并不会带来额外的好处。3、statement每次执行sql语句,相关数据库都要执行sql语句...
PreparedStatement 预编译
MoveFlower的博客
04-18 1148
什么是预编译语句? 预编译语句PreparedStatementjava.sql中的一个接口,它是Statement的子接口。通过Statement对象执行sql语句时,需要将sql语句发送给DBMS,由DBMS首先进行编译再执行(在创建通道的时候并不进行sql的编译工作,事实上也无法进行编译)。而通过PreparedStatement不同,在创建PreparedStatement对象时就指定...
Java数据库连接 - 预编译SQL语句
skiof007的专栏
12-11 6420
3. 预编译SQL语句 将上述的Statement替换成PreparedStatement(表示预编译的 SQL 语句的对象),使用此对象可以高效地多次执行SQL语句。   一般步骤: 3.1 通过java.sql.Connection实例,调用prepareStatement(String sql)方法,以参数化的SQL语句作为参数,创建PreparedStatement对象. 3.2
综合供求信息网(javaweb,sqlserver)
10-04
综合供求信息网还需要考虑安全性问题,例如防止SQL注入攻击,可以通过预编译的PreparedStatement或使用ORM框架如Hibernate来避免。另外,XSS跨站脚本攻击防护也是必要的,可以通过对用户输入进行转义或使用Content ...
基于Javaweb开发的科研成果申报管理系统源码
02-23
使用预编译的PreparedStatement防止SQL注入,并通过事务管理保证数据的一致性。 7. **安全性**:系统应包含安全机制,如使用HTTPS协议保障通信安全,对敏感信息加密存储,以及权限控制,确保不同角色用户只能访问其...
bookstore(sql.mysql).zip
07-23
- **预编译与执行SQL**:使用PreparedStatement预编译SQL语句,提高安全性,防止SQL注入。 4. **操作数据库** - **查询操作**:演示如何使用Statement或PreparedStatement执行SELECT语句,获取ResultSet结果集并...
JavaWeb品牌增删改查, 及前端页面展示
10-28
可以使用预编译的PreparedStatement来防止SQL注入,对输入进行过滤或转义以防止XSS攻击。 9. **测试与部署**: 完成功能后,需要进行单元测试、集成测试确保功能正确无误。部署时,将项目打包成WAR文件,上传到Web...
JavaWeb技术整合应用与项目实战》sql文件
08-20
预编译的`PreparedStatement`比普通的`Statement`更安全,因为它可以防止SQL注入攻击。通过设置占位符,如`?`,然后调用`setXXX`方法来传入参数,预编译的语句能确保输入的数据被正确地转义,避免了恶意代码的执行。...
class 类名 与inlcude“类名“
爱她就要努力
09-16 242
class 类名只是声明存在这么一个类,但是通过这个声明无法得到任何关于此类的具体信息。这样你可以在其他使用到的地方声明一个该类型的指针。 include头文件则是将整个该头文件与使用到的地方关联起来。使用class 类名一般是为了去除编译依赖,减少编译消耗的时间。#include “xx.h” 在编译的时候把xx.h文件直接展开,所以里面的接口都能用,可以申明对象。但是class xx;这种方式就不会,你只能使用它的指针或者引用,你不能创建申明对象。 include和直接写class加类名的区别 http
对PreparedStatement预编译功能的详解
m0_74570541的博客
05-10 935
对PreparedStatement预编译功能的详解
PreparedStatement预编译原理及基础使用
最新发布
qq_71443736的博客
12-01 857
是 JDBC 中的一个接口,用于执行预编译SQL 语句。与普通的Statement不同,的 SQL 语句在执行之前已经经过编译,因此更高效且安全,同时可以防止 SQL 注入攻击。通常用于执行多次相似的 SQL 查询或更新,只需编译一次,多次执行。对象所代表的 SQL 语句中的参数用问号来表示,调用对象的setXxx()方法来设置这些参数.setXxx()方法有两个参数,第一个参数是要设置的 SQL 语句中的参数的索引(从 1 开始),第二个是设置的 SQL 语句中的参数的值。
JDBC笔记3(基础—预编译语句(PreparedStatement))
wangshiqi666的博客
10-15 1656
使用预编译PreparedStatement语句来执行SQL语句。
解决登录时sql注入的方法:预编译时放入sql(java)
zhan_qian的博客
03-10 1183
1、使用import java.sql.PreparedStatement; 2、先将sql里用户名和密码分别用?占位,先预编译sql放入PreparedStatement的对象中。 然后用调用该对象的set方法将用户名和密码设置,接着执行。 3、这样做的话如果密码被注入为' or '1' = '1,在设置密码时会将'转义为\';即: select * from tb_user where username ='lisi' and password = '\' or \'1\' = \'1'..
JDBC小记——SQL注入及预编译操作对象、批处理
m0_63138660的博客
06-25 808
首先建一个工具包,在里面定义JBDC工具类但是,数据库、用户名和密码总不是固定不变的,当我们需要去改变时,需要打开这个工具类来改变数据,不如我们创建一个配置文件,使用配置文件来读取数据、修改数据来的方便。1.创建配置文件2.配置3.在工具类中使用配置文件。
java安全(二):JDBC|sql注入|预编译
weixin_45694388的博客
11-14 6167
1 JDBC基础 JDBC(Java Database Connectivity)是Java提供对数据库进行连接、操作的标准API。Java自身并不会去实现对数据库的连接、查询、更新等操作而是通过抽象出数据库操作的API接口(JDBC),不同的数据库提供商必须实现JDBC定义的接口从而也就实现了对数据库的一系列操作。 2 JDBCConnection 2.1连接 Java通过java.sql.DriverManager来管理所有数据库的驱动注册,所以如果想要建立数据库连接需要先在java.sql.Drive
PreparedStatement 预编译原理
iteye_7657的博客
12-07 211
Databases have a tough job. They accept SQL queries from many clients concurrently and execute the queries as efficiently as possible against the data. Processing statements can be an expensive operat...
SQL语句预编译
热门推荐
yushui的笔记本
04-22 1万+
SQL语句预编译一、预编译SQL语句处理预编译语句PreparedStatementjava.sql中的一个接口,它是Statement的子接口。通过Statement对象执行SQL语句时,需要将SQL语句发送给DBMS,由DBMS首先进行编译后再执行。预编译语句和Statement不同,在创建PreparedStatement 对象时就指定了SQL语句,该语句立即发送给DBMS进行编译。当该
JavaWeb期末考试复习:JDBC连接与PreparedStatement操作
然后构建一个SQL插入语句,使用`PreparedStatement`(预编译语句)来提高性能和安全性,防止SQL注入攻击。方法设置了三个参数值(班级号、班级名称和部门ID),调用`executeUpdate()`执行插入操作,最后关闭`...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Alita11101_

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值