第八章 PreparedStatement的应用

最新推荐文章于 2021-09-09 16:29:56 发布
最新推荐文章于 2021-09-09 16:29:56 发布
阅读量470 收藏
点赞数
分类专栏: JDBC 文章标签: sql 数据库 string class 优化 扩展

在SQL包含特殊字符或SQL关键字 如 'or 1 or'时,Statement将出现不可预料

结果,可用PreparedStatement解决

PreperedStatement从Statement扩展而来,相对Statement的优点:

1.没有SQL注入问题

2.Statement会使数据库频繁编译SQL,可能造成数据库缓冲区溢出

3.数据库和驱动可以对PreperedStatement进行优化(只有在相关联的数据库

连接没有关闭的情况下有效)


SQLInject.java:

package cn.itcast.jdbc;

import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;

public class SQLInject {

	/**
	 * @param args
	 * @throws SQLException
	 */
	public static void main(String[] args) throws SQLException {
		read("name1");
	}

	static void read(String name) throws SQLException {
		Connection conn = null;
		PreparedStatement ps = null; //预处理,在构造时就处理完成
		ResultSet rs = null;
		try {
			// 2.建立连接
			conn = JdbcUtils.getConnection();

			// conn = JdbcUtilsSing.getInstance().getConnection();
			// 3.创建语句
			String sql = "select id, name, money, birthday  from user where name=?";  //?用setString来确定是什么
			ps = conn.prepareStatement(sql);
			ps.setString(1, name);
			// 4.执行语句
			rs = ps.executeQuery();  //构造时就已经给了sql语句,所以这里是空

			// 5.处理结果
			while (rs.next()) {
				System.out.println(rs.getInt("id") + "\t"
						+ rs.getString("name") + "\t" + rs.getDate("birthday")
						+ "\t" + rs.getFloat("money"));
			}

		} finally {
			JdbcUtils.free(rs, ps, conn);
		}
	}

}


dreamsnow127
关注
专栏目录
JSP应用与开发技术第三版第八章课后编程题答案
04-30
"JSP应用与开发技术第三版第八章课后编程题答案"这一主题,暗示我们将深入学习如何在JSP中执行CRUD(创建、读取、更新和删除)操作,这是任何Web开发人员的基本技能之一。 首先,我们需要了解JSP的基础。JSP是一种...
Accp8.0\S2\使用Java实现数据库编程 第八章
03-03
在“Accp8.0\S2\使用Java实现数据库编程 第八章”这一主题中,我们聚焦于如何利用Java这门强大的开发语言进行数据库交互。Java数据库编程是后端开发中的核心技能,它使得应用程序能够有效地存储、检索和管理数据。本...
PreparedStatement应用
weixin_30662539的博客
08-07 85
1 package it.cast.jdbc; 2 3 import java.sql.Connection; 4 import java.sql.PreparedStatement; 5 import java.sql.ResultSet; 6 import java.sql.SQLException; 7 8 public class SQLInjec...
JDBC_PreparedStatement应用
qq_41359684的博客
08-21 412
PreparedStatement:执行sql的对象 1. SQL注入问题:在拼接sql时,有一些sql的特殊关键字参与字符串的拼接。 会造成安全性问题 * 输入用户随便,输入密码:a' or 'a' = 'a * sql:select * from user where username = 'fhdsjkf' and password = 'a' or 'a' = 'a' 2. 解...
JDBC PreparedStatement接口的应用
heart_1014的博客
08-10 337
为何要引入JDBC PreparedStatement接口;PreparedStatement的基础用法;使用PreparedStatement数据库连接、增删改查的公共方法封装
PreparedStatement的理解和通用的增删改查操作使用
weixin_45943192的博客
06-01 1352
1.PreparedStatement的理解: ① PreparedStatementStatement的子接口 ② An object that represents a precompiled SQL statement. ③ 可以解决Statementsql注入问题,拼串问题 2.使用PreparedStatement实现通用的增、删、改的方法:version 1.0 ...
使用预编译语句设置null值(preparedStatement.setObject)
看看我都干了些啥!
10-22 1698
使用预编译语句设置null值(preparedStatement.setObject)     setObject(1, null, java.sql.Types.VARCHAR)
Java应用程序-习题-第13章.doc
04-14
Java 应用程序习题第 13 章 本章习题涵盖了 Java 应用程序中 JDBC(Java Database Connectivity)相关知识点,包括使用 Connection 对象建立 PreparedStatement 接口、CallableStatement 接口、Statement 接口的...
第一行代码Java源代码第14章课程代码Java数据库
10-31
在本课程中,我们将深入探讨Java数据库编程,这是"第一行代码Java"的第14章内容。这一章主要关注如何使用Java与各种数据库进行交互,包括但不限于建立连接、执行SQL查询、处理结果集以及事务管理。以下是本章中涵盖...
Java高级程序设计实战教程第八章-Java数据库编程.pptx
最新发布
05-30
Java高级程序设计实战教程的第八章重点讲解了Java数据库编程,包括了多个关键知识点: 1. **应用场景**:大部分软件系统需要处理大量数据,而这些数据通常存储在数据库中。数据库系统由数据库、DBMS(数据库管理...
PreparedStatement的用法
Dracocc的博客
02-18 7871
一个PreparedStatement是从java.sql.connection对象和所提供的sql字符串得到的,sql字符串中包含问号(?),这些问号标明变量的位置,然后提供变量的值,最后执行语句,例如: String sql = "select id,name from student where id=? andname=?"; PreparedStatement ps =conn.
数据库连接池
weixin_52308754的博客
03-18 106
数据库连接池 概念:存放数据库连接的容器 当系统初始化好后,容器被创建,容器中会申请一些连接对象,当用户来访问数据库时,从容器中获取连接对象,用户访问完之后,会将连接对象归还给容器 c3p0 C3P0是一个开源的JDBC连接池,它实现了数据源和JNDI绑定,支持JDBC3规范和JDBC2的标准扩展。目前使用它的开源项目有Hibernate,Spring等。 拷贝jar文件 c3p0-0.9.1.2.jar 不使用配置文件方式 Connection conn = null; PreparedStateme
Statement和PreparedStatement的区别
liuhuan1534的专栏
05-08 515
1.PreparedStatement是预编译的,对于批量处理可以大大提高效率. 也叫JDBC存储过程2.使用 Statement 对象。在对数据库只执行一次性存取的时侯,用 Statement 对象进行处理。PreparedStatement 对象的开销比Statement大,对于一次性操作并不会带来额外的好处。3.statement每次执行sql语句,相关数据库都要执行sql语句的编译,pre...
setstring mysql_ps.setString(1, name);
weixin_31265041的博客
02-22 2487
我只想问下下面这段代码里面的ps.setString(1,name);语句是什么意思最好能给我讲讲ps.setString(,)方法了谢谢!!!packagecom.DB;importjava.sql.Connection;importjava.sql.Driver...我只想问下下面这段代码里面的ps.setString(1, name);语句是什么意思最好能给我讲讲ps.setString(,...
Connection类的简单使用
新阿巴阿巴
09-09 7517
一、Connection类的简介 是java API中提供的一个接口 它的实现类由其他厂商完成,用来与数据库的连接 这个接口可以调用方法,来获得SQL语句的对象(Statement、PreparedStatement) 其中Statement接口本身使用较少,而它的子接口PreparedStatement 却经常使用 PreparedStatementStatement 更安全,没有SQL注入的问题 它的实例对象表示一条预编译过的 SQL 语句 可以发送SQL语句到数据库 二、常用方法
PreparedStatement的使用
mofeigege的博客
11-03 1万+
PreparedStatement介绍 可以通过调用 Connection 对象的 prepareStatement(String sql) 方法获取 PreparedStatement 对象 PreparedStatement 接口是 Statement 的子接口,它表示一条预编译过的 SQL 语句 PreparedStatement 对象所代表的 SQL 语句中的参数用问号(?)来表示(?在SQL中表示占位符),调用 PreparedStatement 对象的 setXxx() 方法来设置这些参数.
statement 、prepareStatement的用法和解释
热门推荐
bit-cafe
09-06 2万+
一、prepareStatement 的用法和解释 1.PreparedStatement是预编译的,对于批量处理可以大大提高效率. 也叫JDBC存储过程 2.使用 Statement 对象。在对数据库只执行一次性存取的时侯,用 Statement 对象进行处理。PreparedStatement 对象的开销比Statement大,对于一次性操作并不会带来额外的好处。 3.stateme
JavaEE课程:字段操作与PreparedStatement数据库编程中的应用
本篇JavaEE课程的第八章主要讲解了数据库编程中的字段操作,特别是在NetBeans环境下使用Statement进行交互。章节内容主要包括Statement类的关键成员方法,如`update`和`get`方法,用于更新和检索数据库中的数据。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值