JDBC中PreparedStatement用法代码示例

最新推荐文章于 2023-03-20 12:55:33 发布
最新推荐文章于 2023-03-20 12:55:33 发布
阅读量2.4k 收藏 10
点赞数 1
分类专栏: JDBC 文章标签: PreparedStatement JDBC sql语句注入攻击数据库 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chen13579867831/article/details/79083207
版权
为了防止用户使用sql语句注入攻击数据库,可以使用Statement接口的子接口
java.sql.PreparedStatement extends Statement
该接口表示预编译的 SQL 语句的对象,SQL 语句被预编译并存储在 PreparedStatement 对象中。然后可以使用此对象多次高效地执行该语句。 

如何获取PreparedStatement的实现类对象呢?

使用Connection接口中的方法PreparedStatement prepareStatement(String sql) 创建一个 PreparedStatement 对象将SQL 语句发送到数据库。

prepareStatement方法返回的是 PreparedStatement接口的实现类对象,由mysql驱动提供

代码实现一个用户登录案例:

import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.util.Scanner;

public class Login {
	public static void main(String[] args) {
		/**
		 * 创建键盘录入
		 */
		Scanner sc = new Scanner(System.in);
		System.out.print("请输入用户名:");
		String username = sc.nextLine();
		System.out.print("请输入密码:");
		String password = sc.nextLine();
		/**
		 * 使用工具类JDBCUtils中的方法getConnection获取数据库连接对象
		 */
		Connection conn = JDBCUtils.getConnection();
		/**
		 * 获取预编译的执行者对象,需要传递的sql语句中可以使用?占位符代替实际参数
		 */
		String sql = "SELECT * FROM users WHERE username=? AND PASSWORD = ?";
		/**
		 * 使用PreparedStatement接口中的方法,设置?占位符的实际参数
		 *  void setObject(int parameterIndex,Object x) 
		 *  参数: 
		 *  	int parameterIndex:要设置的第几个?占位符;1,2,3..... 
		 *  	Object x:给?占位符设置的实际参数
		 *  注意: 
		 *  	必须保证给所有的?占位符都设置实际参数,有几个?占位符就调用几次setObject方法
		 */
		PreparedStatement pst = null;
		ResultSet rs = null;
		try {
			pst = conn.prepareStatement(sql);
			pst.setObject(1, username);
			pst.setObject(2, password);
			rs = pst.executeQuery();
			/**
			 * 处理查询结果
			 */
			if (rs.next()) {
				System.out.println("登录成功!");
				System.out.println(rs.getString("username") + "\t" + rs.getString("password"));
			} else {
				System.out.println("您输入的用户名或者密码有误!");
			}
		} catch (SQLException e) {
			e.printStackTrace();
		} finally {
			JDBCUtils.close(rs, pst, conn);
			sc.close();
		}

	}
}
使用PreparedStatement预编译的执行者对象对数据库进行增删改查 

import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.util.ArrayList;


public class Demo03 {
	public static void main(String[] args) throws Exception {
		/**
		 * 获取数据库连接对象
		 */
		Connection conn = JDBCUtils.getConnection();
		/**
		 * 方法调用实现相应功能
		 */
		insert(conn);
		update(conn);
		delete(conn);
		/**
		 * 开发中常用方式
		 */
		select(conn);
	}

	/**
	 * 把数据库中查询出来的每一行记录,存储到一个javabean对象中
	 * 把多个javabean对象存储到一个集合中
	 */
	private static void select(Connection conn) throws SQLException {
		/**
		 * 使用?占位符拼接select语句
		 */
		String sql = "SELECT * FROM users WHERE username IN(?,?,?)";
		/**
		 * 获取预编译的执行者对象
		 */
		PreparedStatement pst = conn.prepareStatement(sql);
		/**
		 * 设置?占位符的实际参数
		 */
		pst.setObject(1, "java");
		pst.setObject(2, "python");
		pst.setObject(3, "golang");
		/**
		 * 执行sql语句,获取查询结果集
		 */
		ResultSet rs = pst.executeQuery();
		/**
		 * 定义一个存储Users对象的集合
		 */
		ArrayList<Users> list = new ArrayList<Users>();

		while (rs.next()) {
			/**
			 * 取出结果
			 */
			int uid = rs.getInt("uid");
			String username = rs.getString("username");
			String password = rs.getString("password");

			/**
			 * 把数据库中查询出来的每一行记录,存储到一个javabean对象中
			 */
			Users u = new Users(uid, username, password);
			/**
			 * 把对象存储到集合中
			 */
			list.add(u);
		}

		/**
		 * 可以把这个集合传递到前台的页面上,给用户遍历显示
		 */
		for (Users u : list) {
			System.out.println(u);
		}

		/**
		 * 释放资源
		 */
		JDBCUtils.close(rs, pst, conn);

	}

	
	/**
	 * 使用java程序对数据库表的数据进行删除
	 */
	private static void delete(Connection conn) throws SQLException {
		//使用?占位符拼接delete语句
		String sql = "DELETE FROM users WHERE uid IN (?,?)";
		//获取预编译的执行者对象
		PreparedStatement pst = conn.prepareStatement(sql);
		//设置?占位符的实际参数
		pst.setObject(1, 1);
		pst.setObject(2, 2);
		//使用预编译的执行者对象,执行sql语句
		int row = pst.executeUpdate();
		//处理结果集
		if(row>0){
			System.out.println(row+"行数据,删除成功!");
		}else{
			System.out.println("数据删除失败!");
		}
		//释放资源
		JDBCUtils.close(null, pst, conn);
	}

	/**
	 * 使用java程序对数据库表的数据进行修改
	 */
	private static void update(Connection conn) throws SQLException {
		//使用?占位符拼接update语句
		String sql = "UPDATE users SET PASSWORD=? WHERE username=?";
		//获取预编译的执行者对象
		PreparedStatement pst = conn.prepareStatement(sql);
		//设置?占位符的实际参数
		pst.setObject(1, "马云");
		pst.setObject(2, "马化腾");
		//使用预编译的执行者对象,执行sql语句
		int row = pst.executeUpdate();
		//处理结果集
		System.out.println(row);
		//7.释放资源
		JDBCUtils.close(null, pst, conn);
	}

	/*
	 * 使用java程序对数据库表进行添加数据
	 */
	private static void insert(Connection conn) throws SQLException {
		//使用?占位符拼接insert语句
		String sql = "INSERT INTO users(username,PASSWORD) VALUES(?,?)";
		//获取预编译的执行者对象
		PreparedStatement pst = conn.prepareStatement(sql);
		//设置?占位符的实际参数
		pst.setObject(1, "乔布斯");
		pst.setObject(2, "比尔盖茨");
		//使用预编译的执行者对象,执行sql语句
		int row = pst.executeUpdate();
		//处理结果集
		System.out.println(row);
		//释放资源
		JDBCUtils.close(null, pst, conn);
	}
}

Users类 

import java.io.Serializable;

/**
 * javabean:数据库中表与java中类对应
 * 	users表-->Users类
 * 	表中的列(cid,username,password)-->类中的成员变量
 * 	表中的行-->Users对象(多行数存储在一个集合中)
 * 
 * 包含:
 * 	1.私有的成员变量
 * 	2.公共的get/set方法
 * 	3.空参数构造方法
 * 	4.toString方法
 * 	5.实现序列化接口
 * 
 */
public class Users implements Serializable {

	private static final long serialVersionUID = 5169686823386234072L;
	private int uid;
	private String username;
	private String password;

	public Users() {
		super();
	}

	public Users(int uid, String username, String password) {
		super();
		this.uid = uid;
		this.username = username;
		this.password = password;
	}

	@Override
	public String toString() {
		return "Users [uid=" + uid + ", username=" + username + ", password=" + password + "]";
	}

	public int getUid() {
		return uid;
	}

	public void setUid(int uid) {
		this.uid = uid;
	}

	public String getUsername() {
		return username;
	}

	public void setUsername(String username) {
		this.username = username;
	}

	public String getPassword() {
		return password;
	}

	public void setPassword(String password) {
		this.password = password;
	}

}



拉里_佩奇
关注
  • 1
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JavaJDBC的PreparedStatement用法
午-夜
07-17 6万+
PreparedStatement l  它是Statement接口的子接口; l  强大之处: Ø  防SQL攻击; Ø  提高代码的可读性、可维护性; Ø  提高效率! l  学习PreparedStatement用法: Ø  如何得到PreparedStatement对象: ¨      给出SQL模板! ¨      调用Connection的PreparedState
jdbc示例代码
02-28
本篇将围绕“jdbc示例代码”这一主题,深入探讨相关的知识点,包括batch处理、滚动游标、事务管理和DML操作,以及PreparedStatement的使用。 1. **Batch处理**: 在批量处理,我们可以通过JDBC API一次性提交多...
JDBCPreparedStatement详解及应用场景介绍
最新发布
weixin_62079735的博客
03-20 6032
Java,当需要向数据库执行SQL语句并传递参数时,我们通常会使用PreparedStatement接口。PreparedStatement继承自Statement接口,用于预编译SQL语句并执行参数化查询,这样可以提高执行效率并防止SQL注入攻击
使用 PreparedStatementJDBC 程序示例
allway2的博客
07-23 579
在SQLplus工具默认自动提交模式是关闭的,而在JDBC应用程序自动提交模式是打开的。JDBC应用程序挂起,直到我们没有提交或回滚SQLplus工具的数据,然后只有JDBC应用程序做出进一步的决定。为了演示它,在SQLplus工具删除,然后不使用or,执行上面的JDBC应用程序并从JDBC应用程序尝试删除。它显示emp表的empno、ename、job、sal和deptno列,仅针对部门编号为10或20的列,按deptno的顺序显示。让我们在评论知道。...
JDBC使用PreparedStatement实现查询时遇到java.lang.NoSuchFieldException和java.lang.IllegalArgumentException
m0_62283830的博客
06-18 459
JDBC使用PreparedStatement实现select操作时遇到java.lang.NoSuchFieldException和java.lang.IllegalArgumentException
JDBC快速入门(五)--PreparedStatement用法
weixin_44415928的博客
12-27 315
回顾JDBC快速入门(四)写的登录案例 会有一个sql注入的问题,如果我的用户名是随便输入的,密码这么输入a' or 'a' == 'a也会登陆成功: 通过打印出sql我们可以发现username = ‘abcdefg’ and password = 'a’是错误的,但是or 后边的‘a’ = 'a’是正确的,所以后边的逻辑就是永真,这样一来,就会查询所有的数据,然后自然会登录成功 用Prep...
JDBC示例代码
09-04
以上代码示例展示了如何使用JDBC连接MySQL数据库并执行基本的查询操作。实际应用,您需要根据您的数据库类型(如Oracle、PostgreSQL等)以及具体的数据库URL、用户名和密码来调整代码。此外,为了提高性能和安全性...
JSP使用JDBC访问SQL Server 2008数据库示例
01-20
示例将讲解如何在JSP使用JDBC访问SQL Server 2008数据库。 首先,我们需要了解JDBC驱动的使用。JDBC驱动使得Java应用程序能够与各种数据库进行通信,包括SQL Server 2008。为了连接SQL Server,我们需要下载...
JDBC代码手册 文PDF版
12-06
这份手册通过丰富的实例代码,帮助开发者深入理解JDBC的使用方法。 在JavaJDBC提供了一套标准的API,用于执行SQL语句、处理结果集、管理事务等。主要涉及以下几个核心概念: 1. **驱动管理**:JDBC驱动是Java...
JDBC示例代码.zip
08-26
在"JDBC示例代码.zip"压缩包,包含两个文件:Test01.java和SqlHelper.java,它们代表了JDBC操作数据库的基本步骤。 Test01.java可能是主程序,它调用SqlHelper.java的方法来执行数据库操作。在Test01,我们...
JDBC之PreparedStatement用法
qq_29663071的博客
05-06 5593
jdbc(java database connectivity,java数据库连接)的api的主要的四个类之一的java.sql.statement要求开发者付出大量的时间和精力。在使用statement获取jdbc访问时所具有的一个共通的问题是输入适当格式的日期和时间戳:2002-02-05 20:56 或者 02/05/02 8:56 pm。 通过使用java.sql.prepared
JavaWeb JDBC—PreparedStatement对象
来自师范的学渣
10-21 887
PreparedStatement对象可以对SQL语句进行预编译,预编译的信息会存储在PraparedStatement对象。当相同的sql语句再次执行时,程序就会使用preparedstatement对象的语句, 在web-chapter09项目cn.itheima.jdbc创建一个名为Example02的的类,在该类使用PreparedStatement对象对数据库进行插入数据的...
JDBC通过PreparedStatement数据库进行增删改查
tewbie的博客
03-31 1281
通过PreparedStatement数据库进行增删改查
使用PreparedStatement实现查询操作系列一-----用户登录操作
热门推荐
青松之竹_Java博客
10-04 1万+
使用PreparedStatement实现查询操作系列一-----用户登录操作
JAVA-注册登录:利用JDBC-PreparedStatement完成
sunsiny
08-10 344
package com.qf.Utils; import java.sql.Connection; import java.sql.DriverManager; import java.sql.ResultSet; import java.sql.SQLException; import java.sql.Statement; public class Utils { static{ //驱动 t...
Statement和PreparedStatement的区别
liuhuan1534的专栏
05-08 487
1.PreparedStatement是预编译的,对于批量处理可以大大提高效率. 也叫JDBC存储过程2.使用 Statement 对象。在对数据库只执行一次性存取的时侯,用 Statement 对象进行处理。PreparedStatement 对象的开销比Statement大,对于一次性操作并不会带来额外的好处。3.statement每次执行sql语句,相关数据库都要执行sql语句的编译,pre...
Java JDBC PreparedStatement详解与示例
示例展示了如何创建PreparedStatement对象,设置参数并执行更新操作。同时,内容还提到了JDBC的概述,包括其与ODBC的关系,以及JDBC驱动程序的工作原理。" 在Java编程,当我们需要与数据库进行交互时,JDBC...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值