42.PreparedStatement对象

最新推荐文章于 2024-06-01 19:36:39 发布
最新推荐文章于 2024-06-01 19:36:39 发布
阅读量160 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/angel56789/article/details/116162766
版权

PreparedStatement SQL注入 预编译 数据库操作 Java
关键词由CSDN通过智能技术生成

PreparedStatement对象

PreparedStatement可以防止SQL注入。效率更好

  1. 新增

    package com.faq.lesson3;

import com.faq.lesson2.utils.JdbcUtils;

import javax.xml.crypto.Data;
import java.sql.*;

public class TestInsert {
    public static void main(String[] args) {
        Connection conn = null;
        PreparedStatement st = null;
        ResultSet rs = null;

        try {
            conn = JdbcUtils.getConnection();

            //区别()
            //使用?占位符代替参数
            String sql = "insert into users(id,`NAME`,`PASSWORD`,`email`,`birthday`) values (?,?,?,?,?)";

            st = conn.prepareStatement(sql);//预编译SQL,先写sql,然后不执行

            //手动给参数赋值
            st.setInt(1,4);//id
            st.setString(2,"tomato");
            st.setString(3,"123456");
            st.setString(4,"3276938@qq.com");
            //注意点:sql.Date 数据库   java.sql.Date()
            //      util.Date  Java   new Date().getTime()获得时间戳
            st.setDate(5,new java.sql.Date(new Date().getTime()));

            //执行
            int i = st.executeUpdate();
            if(i>0){
                System.out.println("插入成功");
            }
        } catch (SQLException throwables) {
            throwables.printStackTrace();
        }finally {
            JdbcUtils.release(conn,st,rs);
        }
    }
}

  2. 删除

    package com.faq.lesson3;

import com.faq.lesson2.utils.JdbcUtils;


import com.faq.lesson2.utils.JdbcUtils;

import javax.xml.crypto.Data;
import java.sql.*;
import java.sql.*;

public class TestDelete {


        public static void main(String[] args) {
            Connection conn = null;
            PreparedStatement st = null;
            ResultSet rs = null;

            try {
                conn = JdbcUtils.getConnection();

                //区别()
                //使用?占位符代替参数
                String sql = "delete from users where id =?";

                st = conn.prepareStatement(sql);//预编译SQL,先写sql,然后不执行

                //手动给参数赋值
                st.setInt(1,1);//id



                //执行
                int i = st.executeUpdate();
                if(i>0){
                    System.out.println("删除成功");
                }
            } catch (SQLException throwables) {
                throwables.printStackTrace();
            }finally {
                JdbcUtils.release(conn,st,rs);
            }
        }
    }

  3. 更新

package com.faq.lesson3;

import com.faq.lesson2.utils.JdbcUtils;

import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;

public class TestUpdate {

        public static void main(String[] args) {
            Connection conn = null;
            PreparedStatement st = null;
            ResultSet rs = null;

            try {
                conn = JdbcUtils.getConnection();

                //区别()
                //使用?占位符代替参数
                String sql = "update users set `NAME`=? where id=?;";

                st = conn.prepareStatement(sql);//预编译SQL,先写sql,然后不执行

                //手动给参数赋值
                st.setString(1,"ushsua");
                st.setInt(2,3);//id



                //执行
                int i = st.executeUpdate();
                if(i>0){
                    System.out.println("更新成功");
                }
            } catch (SQLException throwables) {
                throwables.printStackTrace();
            }finally {
                JdbcUtils.release(conn,st,rs);
            }
        }
    }
  1. 查询
package com.faq.lesson3;

import com.faq.lesson2.utils.JdbcUtils;

import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;

public class TestSelect {
    public static void main(String[] args) {
        Connection conn=null;
        ResultSet rs = null;
        PreparedStatement st = null;

        try {
             conn = JdbcUtils.getConnection();
             String sql = "select * from users where id = ?";
             st = conn.prepareStatement(sql);

             st.setInt(1,3);

             rs = st.executeQuery();
             while(rs.next()){
                 System.out.println(rs.getString("NAME"));
             }

        } catch (SQLException throwables) {
            throwables.printStackTrace();
        } finally {
            JdbcUtils.release(conn,st,rs);
        }
    }
}

PreparedStatement防止SQL注入的本质:把传递进来的参数当作字符

假设其中存在转义字符,比如’,会被直接转义

是小小番茄呀
关注
PreparedStatement对象详解(优于Statement
weixin_45746783的博客
10-09 398
PreparedStatement可以防止SQL注入,比Statement效率更好! PreparedStatement防止SQL注入的本质,把传递进来的参数当作字符,假设其中存在转义字符,比如说' '会被直接转义。 SQL注入的概念可百度查询,注入关键语句:" ' ' or 1=1"(值为空或者1=1为true); preparedStatementStatement的区别: Statement先写好sql语句,然后执行;preparedStatement预编译SQL,先写sql,然后不执...
Java JDBC技术:(六)SQL 注入与PreparedStatement 对象的使用-5000字匠心出品
地球村
05-15 533
SQL 注入与PreparedStatement 对象的使用1.什么是 SQL 注入2.SQL 注入案例3.PreparedStatement 对象的使用1.PreparedStatement 特点2.通过 PreparedStatement 对象向表中插入数据4.PreparedStatement 的预编译能力1.什么是预编译1.SQL 语句的执行步骤2.解析过程2.预编译方式1.依赖数据库驱动完成预编译2.依赖数据库服务器完成预编译5.通过 PreparedStatement 对象完成数据的更新6.通过
PreparedStatement对象
2301_79221593的博客
03-30 152
PreparedStatement可以防止sql注入,效率更好。
无法调用“java.sql.PreparedStatement.close()”
06-11
2. PreparedStatement 对象已经被关闭:如果您已经关闭了 PreparedStatement 对象,那么在尝试使用它之前需要重新创建一个新的 PreparedStatement 对象。 3. 数据库连接已关闭:如果数据库连接已经被关闭,那么在...
java.sql.PreparedStatement;
06-09
java.sql.PreparedStatement 是 Java JDBC API 的一个接口,它是 Statement 的子接口,用于执行参数化的 SQL 语句。...PreparedStatement 对象的创建需要通过 Connection 的 prepareStatement() 方法获取。
java.sql.PreparedStatement
05-24
通过使用PreparedStatement,开发人员可以将SQL查询或更新语句预先编译到一个对象中,然后在需要执行该语句时,只需要提供参数值即可。这种方式可以提高SQL语句的执行效率,并且可以有效地防止SQL注入攻击。此外,...
详解Java的JDBC中Statement与PreparedStatement对象
09-03
创建PreparedStatement对象的例子如下: ```java PreparedStatement pstmt = null; try { String SQL = "Update Employees SET age = ? WHERE id = ?"; pstmt = conn.prepareStatement(SQL); // ... }catch ...
PreparedStatement 对象
m0_47087039的博客
07-01 227
SQL注入的相关问题: SQL 注入:用户输入的内容作为了 SQL 语句语法的一部分,改变了原有 SQL 的语义。 假 设有登录案例 SQL 语句如下: SELECT * FROM 用户表 WHERE NAME = 用户输入的用户名 AND PASSWORD = 用户输 的密码 此时,当用户输入正确的账号与密码后,查询到了信息则让用户登录。但是当用户输入的账号 为 xxx密码为:'xxx’ OR ‘1’=1时,则真正执行的代码变为: SELECT * FROM 用户表 WHER...
JDBC中PreparedStatement对象详解(认真看完包学会)
最新发布
2301_79858914的博客
06-01 1019
一种SQL语句的预编译版本。与Statement预编译:SQL语句在创建对象时被预编译,随后可以多次执行该语句,而无需重新编译。防止SQL注入:通过将参数传递给SQL语句,可以有效防止SQL注入攻击。性能提升:由于SQL语句只需编译一次,执行时的性能会有所提升,特别是在需要多次执行相同语句的情况下。在JDBC中提供了一个强大而灵活的工具,用于执行SQL语句,具有预编译、参数化查询、批处理sql语句、性能提升和防止SQL注入等优势。通过了解并正确使用,可以编写更安全和高效的数据库访问代码。
JDBC之PreparedStatement对象
weixin_43529573的博客
06-09 468
一,PreparedStatement PreparedStatement作用:执行预编译的sql语句对象。 1,SQL注入:在拼接sql时,有一些SQL的特殊性关键字参与字符串拼接,会造成安全性问题。 若输入用户名随意,密码:a’ or ‘a’ = 'a,则有以下sql语句:select * from user where username = 'dfss"and password = “a” or “a” = “a”;查询结果一定存在。 2,解决SQL注入问题: 采用预编译的SQL语句,参数使用?作为
JDBC(一)——statement对象、PreparedStatement对象
吃饭了吗
01-29 760
1. 数据库驱动 2. JDBC 3. 第一个JDBC程序 4. statement对象 5. PreparedStatement对象 6. 使用IDEA连接数据库 7. 事务 8. 数据库连接池
JDBC中Statement对象与PreParedStatement
数据库
10-19 226
jdbc中statement对象用于向数据库中发送sql语句,想完成对数据库的增删改查,只需要想
JDBC (三) --- PreparedStatement对象介绍
但行好事 莫问前程
07-20 1126
1:PreperedStatementStatement的子类,它的实例对象可以通过Connection.preparedStatement()方法获得,相对于Statement对象而言:PreperedStatement可以避免SQL注入的问题。 2:Statement会使数据库频繁编译SQL,可能造成数据库缓冲区溢出。PreparedStatement可对SQL进行预编译,从而提高数据库的执...
PreparedStatement的基本介绍与使用
薯条和番茄酱的博客
10-25 3536
1.PreparedStatement执行的SQL语句中的参数用?表示,调用PreparedStatement对象的setXxx()方法设置这些参数。setXxx()有两个参数,第一个参数是要设置SQL语句中的参数的索引从1开始,第二个是设置的SQL语句中的参数的值例如:2.调用,返回ResultSet对象3.调用,执行更新,包括增删改查。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值