JDBC的PreparedStatement接口

已于 2022-08-20 20:29:54 修改
阅读量1.1k 收藏 2
点赞数 1
文章标签: java sql 数据库 mysql 开发语言
于 2022-08-19 23:07:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cccccccmmm/article/details/126432800
版权

声明此篇文章部分图片引用了百战尚学堂的

首先先给大家看一下JDBC的编写步骤,便于后边的讲解

什么是PreparedStatement对象:

继承自 Statement 接口,由 preparedStatement方法创建。PreparedStatement具有预编译SQL语句能力,所以PreparedStatement 对象比 Statement 对象的效率更高,由于实现了动态的参数绑定,所以可以防止 SQL 注入,所以我们一般都使用 PreparedStatement。

PreparedStatement执行sql语句的编写顺序:

1、获取Connection对象

2、编写sql语句

3、通过Connection对象的prepareStatement(sql)方法传递sql语句获取PreparedStatement对象

4、sql语句中的参数绑定,需要传递?的位置(?的位置从1开始)

5、PreparedStatement对象调用execute()方法执行sql语句

如何获取Connection对象:

可以通过该链接查看Connection对象的创建:

JDBC的Statement对象的使用https://blog.csdn.net/cccccccmmm/article/details/126415156

PreparedStatement对象的使用:

为了方便使用我们先写一个JdbcUtils工具类,通过该类可以实现数据库驱动的加载,Connection对象的创建,Connection对象、PreparedStatement对象、ResultSet对象的关闭

/**
 * Jdbc工具类
 */
public class JdbcUtils {
    private static String url;
    private static String name;
    private static String pwd;
    static{
        try(//通过字节输入流读取properties文件
            FileInputStream fis = new FileInputStream("src/jdbc.properties")){
            //实例化Properties对象
            Properties prop = new Properties();
            //解析读取到的properties文件
            prop.load(fis);
            //读取连接数据库的url
            url = prop.getProperty("url");
            //获取用户名
            name = prop.getProperty("username");
            //获取密码
            pwd = prop.getProperty("pwd");
            //获取数据库驱动全名
            String driver = prop.getProperty("driver");
            //通过反射机制加载数据库驱动
            Class.forName(driver);
        }catch (Exception e){
            e.printStackTrace();
        }
    }

    //获取数据库连接对象
    public static Connection getConnection(){
        Connection connection = null;
        try {
            connection = DriverManager.getConnection(url,name,pwd);
        } catch (SQLException e) {
            e.printStackTrace();
        }
        return connection;
    }

    //关闭连接对象
    public static void closeConnection(Connection connection){
        try {
            connection.close();
        } catch (SQLException e) {
            e.printStackTrace();
        }
    }

    //提交事务
    public static void commit(Connection connection){
        try {
            connection.commit();
        } catch (SQLException e) {
            e.printStackTrace();
        }
    }

    //事务回滚
    public static void rollback(Connection connection){
        try {
            connection.rollback();
        } catch (SQLException e) {
            e.printStackTrace();
        }
    }

    //关闭Statement对象
    public static void closeStatement(Statement statement){
        try {
            statement.close();
        } catch (SQLException e) {
            e.printStackTrace();
        }
    }

    //关闭ResultSet
    public static void closeResultSet(ResultSet resultSet){
        try {
            resultSet.close();
        } catch (SQLException e) {
            e.printStackTrace();
        }
    }

    //DML操作时关闭资源
    public static void closeResource(Statement statement,Connection connection){
        //先关闭Statement对象
        closeStatement(statement);
        //再关闭Connection对象
        closeConnection(connection);
    }

    //DQL操作时关闭资源
    public static void closeResource(ResultSet resultSet,Statement statement,Connection connection){
        //先关闭ResultSet
        closeResultSet(resultSet);
        //再关闭Statement
        closeStatement(statement);
        //最后关闭Connection
        closeConnection(connection);
    }
}

我们通过PreparedStatement对象实现一下添加数据到数据库表中的方法,那添加数据首先得有表把,所以我们这里创建一个表叫users,userid为主键列,之后的代码都是对这个users表进行操作

根据我上面给的编写顺序一步步写出来,这里主要注意的是sql语句中占位符由问号(?)占位,sql语句预编译过后,sql语句需要绑定参数,而绑定参数我们通过PreparedStatement对象的set参数类型(问号的位置(从1开始),参数)

例如:setString(1,username)

/**
     * 添加用户
     */
    public void insertUser(String username,int userage){
        Connection connection = null;
        PreparedStatement ps = null;
        try{
            //获取数据库连接对象
            connection = JdbcUtils.getConnection();
            //定义sql语句,?是PreparedStatement对象中绑定参数的占位符
            //?的位置是从1开始计数的
            String sql = "insert into users values(default,?,?)";
            //创建PreparedStatement
            ps = connection.prepareStatement(sql);
            //完成参数绑定
            ps.setString(1,username);
            ps.setInt(2,userage);
            //执行sql语句
            int ret = ps.executeUpdate();
            System.out.println(ret);
        }catch (Exception e){
            e.printStackTrace();
        }finally{
            JdbcUtils.closeResource(ps,connection);
        }
    }

此时我们再写一个测试类:

 运行过后就可以到数据库中查看表中是否有添加数据了

什么是SQL注入?

可以用它来从数据库获取敏感信息、利用数据库的特性执行添加用户、导出文件等一系列恶意操作,甚至有可能获取数据库乃至系统用户最高权限。

造成SQL注入的原因

程序没有有效过滤用户的输入,使攻击者成功的向服务器提交恶意的 SQL 脚本,程序在接收后错误的将攻击者的输入作为 SQL 语句的一部分执行,导致原始的查询逻辑被改变,执行了攻击者精心构造的恶意 SQL 语句。

为什么PreparedStatement对象可以防止SQL注入?

为什么说PreparedStatement对象可以避免SQL注入呢?这就是因为PreparedStatement有sql语句预编译的操作,我们刚刚上面对PreparedStatement对象进行了使用,我们会发现sql语句和需要传递的参数是分离的,这就不会导致改变我们查询代码的逻辑

我们使用Statement对象给大家看看SQL注入是怎么样的: 

现在我们表中有这么些数据

我们对users表进行简单的查询操作,条件是username为我们给定的参数并且userage为我们给定的参数

我们给定的参数如果这么写,那么就改变了我们查询语句的逻辑,我们想要的是查询对应的用户信息和年龄,我们这么写直接就可以查询到所有的用户信息

 我们把这个sql语句打印出来看看:

此时我们会发现我们查询了条件为username = 'oldlu' 或者 1=1的用户信息,1=1永远是正确的所以这就改变了我们的查询逻辑,直接查出了所有用户的信息,后面的--代表注释

因为Statement对象是通过字符串拼接的方式执行sql语句得,所以如果有人别有用心的话,就可以通过sql注入的方式改变我们的查询逻辑,查询出所有人的信息

但是PreparedStatement对象不会有这个问题,为什么呢?刚刚说过了,因为该对象将sql语句和传递的参数分离了,实现动态绑定参数的方式

我们再实现一个无法sql注入的方法,该方法就是使用PreparedStatement对象实现的

此时该方法执行的顺序是:

先传递sql语句:"select * from users where username = ? and userage = ?"

然后绑定参数,问号会自动识别参数类型,如果为字符串类型会自动加上单引号

此时我们就会发现我们不管怎样写都不会再有sql注入的问题,mysql会将他视为就是一个参数,不会再改变查询的逻辑

public void noSqlInject(String username,int userage){
        Connection connection = null;
        PreparedStatement ps = null;
        ResultSet rs = null;
        try{
            //获取连接器对象
            connection = JdbcUtils.getConnection();
            //编写sql语句
            String sql = "select * from users where username = ? and userage = ?";
            //获取PreparedStatement对象,并且预编译sql语句
            ps = connection.prepareStatement(sql);
            //动态绑定sql语句
            ps.setString(1,username);
            ps.setInt(2,userage);
            //执行sql语句
            rs = ps.executeQuery();
            while(rs.next()){
                int userid = rs.getInt("userid");
                String name = rs.getString("username");
                int age = rs.getInt("userage");
                System.out.println(userid  +" "+ username +" "+ userage);
            }
        }catch(Exception e){
            e.printStackTrace();
        }finally{
            JdbcUtils.closeResource(rs,ps,connection);
        }
    }

编译代码之后没有查询结果

 记住PreparedStatement对象执行sql语句的编写顺序:

1、获取Connection对象

2、编写sql语句

3、通过Connection对象的prepareStatement(sql)方法传递sql语句获取PreparedStatement对象

4、sql语句中的参数绑定,需要传递?的位置(?的位置从1开始)

5、PreparedStatement对象调用execute()方法执行sql语句

c_mmmmmmm
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JDBC_PreparedStatement 接口
duwenyanxiaolaji的博客
01-21 316
参考:传智播客&黑马程序员 PreparedStatement 接口 继承结构与作用 PreparedStatementStatement 接口的子接口,继承于父接口中所有的方法,它是一个预编译的 SQL 语句。 PreparedSatement 的执行原理 1.因为有预先编译的功能,提高 SQL 的执行效率。 2.可以有效的防止 SQL 注入的问题,安全性更高。 Connect...
JDBC之PreparedStatement接口
a3060858469的博客
09-26 654
PreparedStatement接口继承自Statement接口,用于执行含有或不含有参数的预编译的SQL语句,相对于Statement接口,用于执行静态SQL语句,PreparedStatement接口中的SQL语句是预编译的,重复执行的效率会比较高。 创建执行SQL的语句(Statement) Statement与PreparedStatement区别 方式一:Statement...
JDBC数据库编程:PreparedStatement接口
weixin_34021089的博客
04-09 130
使用PreparedStatement进行数据库的更新及查询操作。 PreparedStatement PreparedStatementstatement接口。属于预处理。 使用statement操作时候肯定要执行一条完整的sql语句。执行之前是使用connection直接创建的。 好比占座,证明此坐已经有人,但是等待人的到来。 常用方法: connection接口: Prepared...
JDBC(3):PreparedStatement接口
weixin_39855497的博客
04-22 190
参考资料http://study.163.com/course/courseLearn.htm?courseId=1455026#/learn/video?lessonId=1821070&courseId=1455026 一、Statement接口问题 虽然在JDBC里面提供有Statement接口,但实际来讲,Statement接口存在严重操作缺陷,是不会在工作中使用的 范例:观...
PreparedStatement 中的setString
ElectronStorm的专栏
09-25 3328
如果使用了setString(),则会自动为你的变量添加单引号 比如: String str="nowdate"; ...setString(1,str); 这样在生成的SQL中,str会变为:' nowdate ',而不是 nowdate。 如果是模乎查询的话,比如: String str="haha"; 在SQL中: ........ like '%?%'..... s
JDBC中一个重要的接口PreparedStatement
颜枫
10-28 569
它是Statement接口的子接口;   特点优势:       防SQL攻击;      提高代码的可读性、可维护性;      提高效率!    学习PreparedStatement的用法:       如何得到PreparedStatement对象: ¨      给出SQL模板! ¨      调用Connection的PreparedStatement prepareS
JDBC常用接口总结
09-09
JDBCJava Database Connectivity)是Java编程语言与各种数据库交互的标准接口,允许Java开发者执行SQL语句并处理结果。在JDBC中,有几个关键的接口开发者必须了解和掌握的,这些接口构成了JDBC的核心功能。 1. ...
JDBC中PreparedStatement接口提供的execute、executeQuery和executeUpdate之间的区别及用法
10-28
JDBC 中 PreparedStatement 接口提供的 execute、executeQuery 和 executeUpdate 之间的区别及用法 JDBC 中的 PreparedStatement 接口提供了三种执行 SQL 语句的方法:executeQuery、executeUpdate 和 execute。...
详解JDBC中的PreparedStatement
qf2019的博客
08-25 3686
PreparedStatement是用来执行SQL查询语句的API之一,Java提供了 Statement、PreparedStatement 和 CallableStatement三种方式来执行查询语句,其中 Statement 用于通用查询,PreparedStatement 用于执行参数化查询,而 CallableStatement则是用于存储过程。同时PreparedStatement还经常会在Java面试被提及,本文我们就来详细聊一聊JDBC中的PreparedStatement。 那么Prepa
JDBC API 4.2(六):PreparedStatement 接口源码分析
码客
11-24 1537
文章目录1、简述2、PreparedStatement 类图3、为什么要使用PreparedStatement?4、PreparedStatement 接口常用方法5、PreparedStatement 性能6、PreparedStatement 接口示例6.1、使用 PreparedStatement6.2、复用PreparedStatement 1、简述 Java JDBC PreparedS...
JDBC简介(PreparedStatement接口
Java软贱攻城狮
06-12 5393
PreparedStatement操作PreparedStatement属于Statement的子接口,实例化对象要使用Connection接口下的的方法:public PrepareStatement preparedStatement(String sql)throws SQLException方法范例1:改进数据增加import java.sql.Connection; import jav...
JDBC知识【JDBC API详解】第三章下篇
日常学习总结
08-23 485
JDBC API:案例,Prepared StatementSQL注入,模拟问题,解决问题
java数据库编程总结
chuozuo7342的博客
09-07 481
JDBC是一种可以执行SQL语句的JAVA API,可通过JDBC API连接到关系数据库,并使用SQL语句对数据库进行查询、修改等操作。使用JDBC开发的应用程序可以跨平台运行也可以跨数据库,根据不同数据库使用不同数据库驱动程序即可。数据库驱动程序是JDBC程序和数据库之间的转换层,数据库驱...
Connection连接和PreparedStatement 操作数据库
渡灬魂的博客
12-21 4665
Connection连接和PreparedStatement 操作数据库链接数据库操作的代码连接数据库的几种方式通过访url建立连接通过访问数据源建立连接通过JDBC直接建立连接开启数据库连接操作数据库查询条件查询(支持多个条件)条件查询(1个条件)条件查询(两个条件)执行sql语句执行sql 注入参数执行sql 多个参数事务处理开始事务处理结束提交处理回滚(还原数据记录)关闭数据库连接关闭PrepareStatementproxool.xml 配置 链接数据库操作的代码 连接数据库的几种方式 //数据库
connection preparedstatement resultset关于多次重复使用查询及connection是否可以创建多个statement数据库连接的基本使用
热门推荐
qq_30021219的博客
05-18 1万+
正确使用数据库连接的正常步骤: Connection con=null; PreparedStatement preStmt=null; try { con = ConnectionUtil.getConnection(); con.setAutoCommit(false); StringBuffer sql = new StringBuffer("insert into lecture_check(lectu...
PreparedStatement中setString用法
weixin_43971862的博客
10-09 8320
源码中:void setString(int parameterIndex, String x) throws SQLException; 实际开发中,conn = DriverManager.getConnection(url, userName, password);//自己链接数据库 PreparedStatement pstmtInsert = conn.prepareStatement(“INSERT INTO student VALUES(?, ?, ?, ?)”); // 创建语句,里面的参数
preparedstatement对象的setstring方法_设计模式 —— 模版方法(Template Method)模式...
weixin_39917211的博客
12-16 623
写在前面设计模式贯穿软件开发整个过程,虽然看了很多相关的文章和书籍,但是理解和使用感觉都差点儿意思。所以借再看设计模式——《漫谈设计模式,从面向对象开始》,梳理其中精髓的设计思想。为什么需要设计模式?变化是永恒的无论你处于多大的团队,团队采用什么样的开发模式,你总是能听到这样的一句话:The Only Thing In The World That Doesn't Change Is C...
Java JDBC PreparedStatement详解与应用
"这篇内容主要介绍了PreparedStatement接口JDBC中的应用和重要性,以及JDBC的基本概念和目标。PreparedStatementJDBC中用于预编译SQL语句的接口,提高了代码的可读性和执行效率,同时也提供了参数化的设置,避免...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值