使用PreparedStatement

最新推荐文章于 2023-08-01 17:15:21 发布
最新推荐文章于 2023-08-01 17:15:21 发布
阅读量1.8k 收藏 1
点赞数
分类专栏: 重学Java 文章标签: PreparedStatement sql注入 jdbc
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chenloveit/article/details/13280789
版权

很多读者学习SQL编程时都会发现书写“拼接”的字符串时有点麻烦,很容易写错引号,这时就需要占位符的出现。而JDBC里的Statement在执行SQL语句是不允许占位符的,但是PreparedStatement可以满足这个需求。熟悉Java的朋友可能知道,String有个format方法也可以完成类似的工作,但从下面的分析可以看出,PreparedStatement的作用不只是方便“拼接”SQL语句而已。

1. 方便

 PreparedStatement pstmt = con.prepareStatement("UPDATE EMPLOYEES
                                     SET SALARY = ? WHERE ID = ?");
   pstmt.setBigDecimal(1, 153833.00)
   pstmt.setInt(2, 110592)
我们使用?作为占位符,使用setXxx设置参数。(从1开始数)

2.效率高

PreparedStatement的执行效率是比Statement快的(因为它是预编译的),这里指的是执行的那些语句可以用上面的含占位符的SQL语句表示。

3.防止注入

下面是个常见的SQL注入例子,

String sql = "select * from table1"
                +"where name='"+username
                +"'and pwd='"+userpass+"'";
如果用户输入 'or true or'

就被解析为:

select * from table
      where name='' or true or '' and pwd=''

这样,SQL把true当作常量,就能登录了。但是,使用PreparedStatement可以防止这个问题。


Mr普
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
java preparestatement 未找到_关于java:您能告诉我为什么会出现“无法使用在PreparedStatement使用带有查询字符串的查询方法”的问题吗?...
weixin_42503415的博客
03-02 1542
本问题已经有最佳答案,请猛点这里访问。我一直遇到错误"无法使用在PreparedStatement使用查询字符串的查询方法"。尝试调试以下代码和SQL Select查询时。 (Postgres 9.4,jdk 1.8)也许我是盲人,它是一个简单的类型,但是我可以使用一些帮助。我的控制台输出:SELECT rowid, firstname, lastname, prefname, email1, ...
preparedStatement的用法总结
毒王的博客
03-23 495
1.在有多条更改的update语句时,要用到for循环,挨个对每个list中的对象进行更改。然而预编译sql语句得到ps对象这一步,只需加载一次就可以了。不能放在for循环里面,否则会出现只对最后一条数据的更改操作有效果,而其他数据都不动的bug。2.用ps对象时,进行增、删、改操作,都需要保存sql语句到命令号,即写:ps.addBatch();只有在查询时候,因为用了executeQuery,
在 PreparedStatement 上不能使用获取查询字符的查询方法
pjb103的博客
05-09 9076
Exception in thread "main" org.postgresql.util.PSQLException: 在 PreparedStatement 上不能使用获取查询字符的查询方法。 at org.postgresql.jdbc2.AbstractJdbc2Statement.executeQuery(AbstractJdbc2Statement.java:262) at co
使用PreparedStatement对数据库表中通用的查询方法
blacky_rain的博客
03-29 1041
//泛型方法,因为参数Class<T>返回值类型为T public static <T> T getInstance(Class<T> clazz,String sql,Object...args){ //1.首先获取数据库的连接 //使用字节型输入流获取类加载器 InputStream is = ClassLoader.getSystemClassLoader().getResourceAsStream("jdbc.properti.
org.postgresql.util.PSQLException: 错误: 语法错误 在 “PROCEDURE” 或附近的
Explore
07-07 3018
解决thingsboard安装bug
参数化查询比拼接字符串慢的原因
06-08 262
我们都知道,参数化查询可以处理SQL注入,以及提高查询的效率,因为参数化查询会使MSSQL缓存查询的计划. 但是现在我发现一个奇怪的问题,就是参数化查询比字符串拼接要慢,而且速度相差10倍之多. SQL语句是: select * from T_Message where T_Message.BelongTo=@BelongTo 开始在ADO.NET中用SqlPara...
postgresql 一些查询方法
非衣鲲化的博客
05-16 691
1、postgresql时间戳转字符串SELECT to_char(to_timestamp(bigInt_time / 1000), 'YYYY-MM-DD HH24:MI:SS')2、将long类型ip转化文string 类型select   ip2str(ip_address) from test;3、postgresql 多行拼接成一行关键字:string_agg(字段名,',')----...
Java中PreparedStatementStatement的用法区别
gaochangqing的专栏
10-22 625
1、 PreparedStatement接口继承Statement, PreparedStatement 实例包含已编译的 SQL 语句,所以其执行速度要快于 Statement 对象。 2、作为 Statement 的子类,PreparedStatement 继承了 Statement 的所有功能。三种方法       execute、 executeQuery 和 exec
PreparedStatement的用法以及与Statement的区别,很重要的知识点!!!
sinat_42698442的博客
08-12 717
PreparedStatementStatement的子接口,相比Statement,PreparedStatement具备更高的效率以安全性,使用Statement时,其原理为先创建对象,然后将sql语句发送到数据库执行,这个过程中可将用户输入的数据拼接到sql语句中,存在sql注入风险;因此使用PreparedStatement替代Statement成为了一个选择,PreparedState...
PostgreSQL PREPARE语句与JDBC中PreparedStatement语句关系
zhu4674548的专栏
10-02 2816
1. PostgreSQL(PG) PREPARE 语句 qingping=&gt; \h prepare Command: PREPARE Description: prepare a statement for execution Syntax: PREPARE name [ ( data_type [, ...] ) ] AS statement qingping=&gt; pre...
PreparedStatement的用法
凯尔探索
12-09 1805
jdbc(java database connectivity,java数据库连接)的api中的主要的四个类之一的java.sql.statement要求开发者付出大量的时间和精力。在使用statement获取jdbc访问时所具有的一个共通的问题是输入适当格式的日期和时间戳:2002-02-05 20:56 或者 02/05/02 8:56 pm。 通过使用java.sql.prepare
解决 MyBatis-Plus + PostgreSQL 中的 org.postgresql.util.PSQLException 异常
最新发布
猫头虎:授渔优于赠鱼,兴趣引领智慧,探索之乐尤显珍贵。商务合作:Libin9iOak,共赴知识与乐趣的探索之旅!
08-01 9090
使用 MyBatis-Plus 连接 PostgreSQL 数据库时,遇到 “conversion to class java.time.OffsetDateTime from int4 not supported” 异常,通常是因为实体类字段的数据类型与数据库字段的数据类型不匹配所致。为了解决这个问题,我们可以在实体类中使用 @TableField 注解,并通过 jdbcType 参数明确指定数据库字段的数据类型。本文提供的解决方案可以帮助您顺利解决这个异常,让您的项目顺利运行。希望本文对您有所帮助。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值