Statements & PreparedStatement & sql注入 & batch批处理

最新推荐文章于 2023-05-30 01:36:12 发布
最新推荐文章于 2023-05-30 01:36:12 发布
阅读量174 收藏
点赞数
分类专栏: Java 文章标签: 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/desert3/article/details/84218061
版权
Statement是PreparedStatement的父接口,不进行预编译操作。
[color=red]PreparedStatement可以实现Statement的所有功能[/color],但是之所以叫它预编译指令,是因为在[color=red]创建它的一个对象时可以给定具有一定格式的SQL字符串[/color],然后用它的setXXX方法给指定的SQL语句以填空的方式赋值,具有这样的特性后,它[color=red]在多次执行一条固定格式的字符串时就很方便,也更效率[/color].不像Statement那样每次执行都要先编译字符串在执行SQL了.

[b]PreparedStatement能防止sql注入、Statements不能的原因:它们实现机制不同[/b]
Statement是程序中的sql和外部传入的数据拼接成一个完整的sql语句,然后发给数据库执行
PreparedStatement是把程序中的sql语句进行预编译,然后在执行过程中,外部传入的值只是作为数据进行处理,不会再对sql语句进行解析,因此避免了sql注入问题.

[b]批处理:[/b]
1,多个sql语句一起执行 

String delSql = "Begin DELETE tbl1 WHERE id=?;DELETE tbl2 WHERE id=?;End;"
pstmt = connection.prepareStatement(sql);
param = 1;
pstmt.setLong(param++, id);
pstmt.setLong(param++, id);

2,同一sql,多条数据同时插入 

String insertSql = "insert into tbl1 (id, name) values (?, ?)";
pstmt = connection.prepareStatement(insertSql );
pstmt.setLong(1, id);
pstmt.setLong(2, name);
pstmt.addBatch();

pstmt.setLong(1, id1);
pstmt.setLong(2, name1);
pstmt.addBatch();

pstmt.setLong(1, id2);
pstmt.setLong(2, name2);
pstmt.addBatch();

// 最后使用executeBatch一把提交id,name ; id1,name1; id2,name2的数据
pstmt.executeBatch();
desert3
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SQL-statements-Collection.rar_Grant_sql statements
09-21
下列语句部分是MsSql语句,不可以在access...SQL分类: DDL—数据定义语言(CREATE,ALTER,DROP,DECLARE) DML—数据操纵语言(SELECT,DELETE,UPDATE,INSERT) DCL—数据控制语言(GRANT,REVOKE,COMMIT,ROLLBACK)
如何使用Statement实现批处理
Blue92120的博客
11-22 655
当向数据库发送多条不同的SQL语句时,可以使用Statement实现批处理Statement通过addBatch()方法添加一条SQL语句,通过executeBatch()方法批量执行SQL语句。程序运行过程中,Statement会将4条SQL语句提交给数据库一起执行。为了验证上述中的SQL语句是否执行成功,进入MySQL,使用SELECT语句查看school表,SQL语句的执行结果如下所示。从上述结果可以看出,school表存在,并且向表中添加了一条数据,该数据的id被成功修改成了1。
Statement和PrepareStatement的理解批量插入
tiantiantbtb的博客
05-30 768
的方式适用于需要分别处理每条SQL语句结果的场景,并且每条语句都是一个独立的事务。而批处理适用于一次性执行多个SQL语句,并进行批量操作和事务处理的场景,以提高执行效率。的方式,每条语句都会被视为一个独立的事务,即每次执行都是自动提交的(autocommit)。1. void addBatch(String sql):将给定的SQL语句添加到此Statement对象的当前命令列表中(但并不执行),可以提高执行效率。的方式时,如果某个语句执行失败,会立即抛出异常,并终止执行后续的语句。
SQL注入详解
行者AI
09-16 1万+
现在大多数系统都使用B/S架构,出于安全考虑需要过滤从页面传递过来的字符。通常,用户可以通过以下接口调用数据库的内容:URL地址栏、登陆界面、留言板、搜索框等。这往往会出现安全隐患,为了更好的保护数据泄露或服务器安全,为了方便的安全测试,便编写此文。 1. SQL注入简介 SQL注入就是指Web应用程序对用户输入数据的合理性没有进行判断,前端传入后端的参数是攻击者可控制的,并且根据参数带入数据库查询,攻击者可以通过构造不同的SQL语句来对数据库进行任意查询。下面以PHP语句为例作为展示: query="SE
批处理 操作mysql_超简单使用批处理batch)操作数据库
weixin_39746229的博客
01-19 1051
超简单使用批处理(batch)操作数据库批处理(batch)是什么批处理的执行就好比快递员的工作:未使用批处理的时候,快递员一次从分发点将一件快递发给客户;使用批处理,则是快递员将所有要派送的快递都用车带到发放处派给客户。批处理(batch)操作数据库批处理指的是一次操作中执行多条SQL语句,批处理相比于一次一次执行效率会提高很多。批处理操作数据库的过程主要是分两步:1.将要执行的SQL语句保存2...
java学习笔记:JDBC批处理
黄道婆的专栏
07-29 119
java学习笔记:JDBC批处理 JDBC批处理 ---- JDBC提供了批处理机制,即同时执行多条sql语句。 Statement和PreparedStatement对象都实现了批处理。 1.Statement批处理 Statement对象addBatch(sql)方法添加一条sql语句,通过executeBatch()方法批量执行sql语句。 (1)重要方法 Statem...
Python实现自动sql注入
最新发布
07-26
使用参数化查询(Prepared Statements):使用预编译的SQL语句和参数绑定,而不是直接将用户输入拼接到SQL查询中。这样可以防止恶意代码通过用户输入来修改SQL查询的结构。 输入验证和过滤:对用户输入进行验证和...
8.2 Optimizing SQL Statements
07-15
mysql5.6官方文档:8.2 Optimizing SQL Statements
AT&T Assembly Language
03-17
if statements 147 for loops 150 Optimizing Branch Instructions 153 Branch prediction 153 Optimizing tips 155 Summary 158 Chapter 7: Using Numbers 161 Numeric Data Types 161 Integers 162 Standard ...
SQLStatements.zip
07-19
HANA script for Admin
JDBC要点总结、SQL注入示例(Statement和PreparedStatement
厚积而薄发,谋定而后动
03-23 8040
一、三个重要对象:    a.Connection   代表着Java程序与数据库建立的连接。    b.Statement   代表SQL发送器,用于发送和执行SQL语句。    c.ResultSet   代表封装的数据库返回的结果集,用于获取查询结果。 二、编程步骤:          1、加载驱动(需要事先将驱动程序对应的jar文件放到classpath对应的
JDBC——批处理和防止SQL注入问题
weixin_45541906的博客
10-24 437
1.批处理 (1)批处理的概念 所谓的批处理指的是一次性向数据库之中发出多条操作命令一起执行。 需要向数据库发送多条sql语句时, 为了提升执行效率, 可以采用JDBC的批处理机制. (2)批处理的方法 addBatch(String sql) :Statement类的方法, 调用该方法可以将sql语句添加到Statement对象的命令列表中。执行批处理时将一次性的把这些sql语句发送给数据库进行处理。 addBatch(): PreparedStatement类的方法, 调用该方法可以将预编译的sql
SQL注入教程
热门推荐
weixin_51047454的博客
03-17 1万+
sql注入教程
批处理batch,执行多个SQL语句
Joe_owl的专栏
11-21 5847
批处理batch,执行多个SQL语句。[sql] view plaincopy try{      stmt=conn.createStatement();      conn.setAutoCommit(false);//取消自动提交      stmt.addBatch(”insert into person (name,password,age)values(‘A’,’AAA’,20)”);
Statement批量执行sql语句,批量操作数据库,提高数据库效率
永不言弃!
03-14 4275
例如有一个ArrayList  al = new ArrayList(); al中存放了若干个user对象: 在执行前面的得到数据库连接之后,执行如下操作: Statement st = ct.createStatement(); for(int i=0;i User u=(User)al.get(i); sm.addBatch("insert into user values('"+
批量插入数据batchUpdate
weixin_43996633的博客
04-10 1754
前段时间写了一个小功能,一个port对应多个userId 当插入和删除这个表里的数据时就需要用到批量更新 直接粘代码吧: public void saveSmsPortAuth(final SmsPortAuthVo smsPortAuthVo) throws Exception { try { StringBuilder sqlBuilder = new StringBuilder(); sql...
SQL注入攻击
weixin_45756765的博客
10-24 340
sql注入攻击 1、原理 由于sql语句参数部分是由前台发送到后台的,后台的SQL语句是拼接而来的,如果拼接的过程中出现数据库的关键字 就有可能使拼接出的SQL语句语义发生改变,从而执行一些其他操作,这种现象称为sql注入攻击。 2、例子 //查询数据库name=‘lili’——idea向数据库中传值只认’values’ rs = stat.executeQuery(“select * from user where name=’” + name + “‘and password=’” + password
sql注入是什么以及如何防止sql注入
05-12
1. 使用参数化查询或预编译语句(prepared statements): 这是最有效的防止SQL注入的方法之一,它可以将用户输入和SQL语句分开,从而避免了恶意SQL语句的注入。 2. 对用户输入进行过滤和验证: 在接受用户输入之前,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值