JDBC笔记-PreparedStatement

最新推荐文章于 2022-06-26 12:01:16 发布
最新推荐文章于 2022-06-26 12:01:16 发布
阅读量343 收藏
点赞数
分类专栏: java笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/deargua/article/details/51287746
版权
1.Statement语句执行sql
String sql = "insert into customers (name, email) values("
+ parameterName + "," + parameterEmail
+ ")";
Statement statement = connection.createStatement(sql);
int rslt = statement.executeUpdate();
2.PreparedStatement语句执行sql
上述方法构造sql语句时比较麻烦,所需要的参数都需要自己拼凑。
PreparedStatement使用起来更加方便。

//用?留下占位符,通过SetXxx的形式来设置占位符的内容。
String sql = "insert into customers (name, email) values(?, ?)";

//获取PreparedStatement
PreparedStatement statement = connection.prepareStatement(sql);

//注意index从1开始
statement.setString(1, parameterName); 

//尽量设置类型,编译器可以帮助检测错误,通用的也可以用setObject
statement.setObject(2, parameterEmail);

int rslt = statement.executeUpdate();
3.PreparedStatement优点
1)代码可读性好
2)PreparedStatement是经过编译过的,执行效率高。
3)SQL注入防止
最重要的问题是这个拼凑过程如果检查不足,可能会导致SQL注入。
比如下面的语句:
"select * from customers where password = " + password;
如果password传值为 " OR '1' = '1'" 则条件恒成立。

用PreparedStatement进行Set属性的话则没有这些问题。

<完>

deargua
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JDBC-PreparedStatement实现CURD(笔记)
Vodka的博客
07-06 102
1.数据库的作用是向数据库服务器发送命令和SQL语句,并接受数据库服务器返回的结果,数据库连接也是Socket连接。 2.在java.sql包中有3个接口分别定义了对数据库的调用的不同方式,由Driver Manager进行管理: -Statement: 用于执行静态SQL语句,并返回它所生成结果的对象。 -PreparedStatement: SQL语句被预编译,存储在此对象中,可以使用此对象多次高效地执行该语句。 -CallableStatement: 用于执行SQL存储过程 3.使用Statement
JDBC 实战教程-尚硅谷学习笔记 ,2022版
最新发布
03-24
**JDBC实战教程-尚硅谷学习笔记 2022版** Java Database Connectivity(JDBC)是Java语言中用于与数据库交互的一种接口,由Sun Microsystems公司开发并纳入Java标准库,使得Java程序员能够以标准化的方式来访问各种...
java jdbc处理char,JDBC - 如何在预准备语句中设置char
weixin_39855796的博客
02-16 252
I cannot find any method likechar c = 'c';preparedStatement.setChar(1, c);How to set character to a prepared statement?解决方案The JDBC Specification 4.0 in Appendix B (Data Type Conversion Tables) states...
oracle的JDBC使用preparedStatement处理char类型字段的问题
qq_28510593的博客
09-03 4411
对于oracle的JDBC使用preparedStatement处理char类型字段的问题 参考转载:http://blog.chinaunix.net/uid-276853-id-366493.html create table test(name char(7));内有N条为hello的记录 实验: 第一种:不用占位符,  java.sql.PreparedStatemen
Oracle CHAR PreparedStatement
一光年
12-17 693
使用动态SQL(PreparedStatement)在对Oracle的CHAR类型变量上动态设置参数时需要注意,如果不对该字段进行trim,结果可能会同预计的不同。 1. 准备数据 drop table users cascade constraints; create table users  (    userid             NUMBER(4)    
java-编码笔记-PreparedStatement实验
xie__jin__cheng的博客
09-18 173
概要:PreparedStatement实验(就是一个处理sql中参数的对象)。 1.代码 package com.deliver.ms; import java.sql.Connection; import java.sql.DriverManager; import java.sql.PreparedStatement; import java.sql.ResultSet; import java.sql.SQLException; public class PrepareStatemen..
JDBC笔记-李伟杰版
秋叶夏风的博客
11-15 784
JDBC 03 2019/8/1 9:51:41 笔记网站 全球加速: http://zaixianke.com 北京节点: http://itdage.cn JDBC 事务 *** 在dos命令行操作oracle时 , 执行DML , 需要结束事务 (commit提交 或 rollback回退) 在JDBC中, 事务是自动提交的, 每执行一条DML语句, 事务就自动提交一次. ...
java-jdbc笔记-Statement和PreparedStatement
qq_44897733的博客
11-27 74
Statement执行10次,需要10次把SQL语句传输到数据库端 // 数据库要对每一次来的SQL语句进行编译处理 for (int i = 0; i < 10; i++) { String sql0 = "insert into hero values(null," + "'hello'" + "," + 313.0f + "," + 50 + ")"; s.execute(sql0);
JDBC笔记】PreparedStatement操作数据库增加数据
lijibai_的博客
06-26 440
利用 PreparedStatement 可以有效解决 Statement 带来的安全隐患问题本文主要介绍 PreparedStatement 进行数据库增加数据的操作,利用的数据库如下 最后插入成功
JDBC笔记_JDBC学习笔记_
10-03
在本篇JDBC学习笔记中,我们将深入探讨JDBC的基础知识、核心概念以及实际应用。 一、JDBC基础 1. JDBC驱动程序:JDBC驱动是连接Java应用程序和数据库之间的桥梁。根据实现方式,JDBC驱动分为四种类型:类型1(JDBC...
JDBC笔记.docx
06-23
"JDBC 笔记" 本资源摘要信息主要介绍了 Java 数据库连接(JDBC)的相关知识,包括单例模式、JDBC 概述、JDBC 实现原理、JDBC 开发主要类和 JDBC 开发步骤等内容。 单例模式 单例模式是一种常用的软件设计模式,...
JDBC学习笔记(精华版)-1
04-19
本篇JDBC学习笔记将深入探讨JDBC的核心概念、操作步骤以及最佳实践。 **一、JDBC基本概念** 1. **驱动程序**:JDBC驱动程序是Java应用程序与数据库之间的桥梁,分为四种类型:JDBC-ODBC桥接驱动、本地API驱动、...
JDBC中文笔记.zip
03-27
**JDBC中文笔记** JDBC(Java Database Connectivity)是Java编程语言中用于规范应用程序如何访问数据库的标准接口。它由Sun Microsystems公司开发,并被纳入Java Standard Edition(Java SE)的Java Database ...
java学习笔记-jdbc-使用PreparedStatement进行mysql增删改查
qq_40604099的博客
09-18 506
使用preparedstatement增删改查 使用PreparedStatement比普通的statement好的一点就是多条相同类型的sql语句可以不用重复写,可以写好一个sql模板然后传入参数 比如: 这里的?就是你接下来要传入的参数 String sql="insert into user(id,name,sex) values(?,?,?)"; String sql="insert i...
类的构造和析构
Good good study!
03-27 1661
基本类型重载时会自动将小类型提升到int类型,如下的程序 public class Test { public static void main(String args[]) { Test t = new Test(); t.f1(3); //默认提升为int t.f1((char)3);//进行了显示的转换,所以会调用char的函数 } void f1(char x) {
协变和抗变
Good good study!
03-28 1043
在OO中,协变是指按照继承链正向改变,抗变是指逆向改变. class Grain { public String toString() { return "Grain"; } } class Wheat extends Grain { public String toString() { return "Wheat"; } } class Mill { Grain pr
JDBC笔记-基本操作
Good good study!
04-29 942
JDBC缩写:Java Database Connectivity Java中对数据库的操作都是面向接口编程的,使用JDBC时,不管底层是Mysql还是Oracle,所有的操作都是一样的。 数据库连接使用的是Connection接口,这个结构是定义在JavaSE的SDK中的,而不是JavaEE的SDK中的。可以看到Connection是没有子类实现的,具体的实现是每个数据库厂商提供的。各数据库
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值