预处理对象

最新推荐文章于 2022-08-19 19:00:05 发布
最新推荐文章于 2022-08-19 19:00:05 发布
阅读量202 收藏
点赞数
分类专栏: 数据库技术 文章标签: java 数据库 mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/enterpc/article/details/114676283
版权

预处理对象

1. PreparedStatement 接口介绍

PreparedStatement Statement 接口的子接口,继承于父接口中所有的方法。它是一个预编译的 SQL 句对象.

预编译: 是指SQL 语句被预编译,并存储在 PreparedStatement 对象中。然后可以使用此对象多次高效地执行该语句。

2. PreparedStatement 特 点

因为有预先编译的功能,提高 SQL 的执行效率。可以有效的防止 SQL 注入的问题,安全性更高

3. 获取PreparedStatement对象

通过Connection创建PreparedStatement对象

Connection 接口中的方法

说明

PreparedStatement prepareStatement(String sql)

指定预编译的 SQL 语句,

SQL 语句中使用占位符 ? 创建一个语句对象

4. PreparedStatement接口常用方法

常用方法

说明

int executeUpdate();

执行insert update delete语句.

ResultSet executeQuery();

执行select语句. 返回结果集对象 Resulet

5. 使用PreparedStatement的步骤

    1. 编写 SQL 语句,未知内容使用?占位:​​​​​​​

"SELECT * FROM jdbc_user WHERE username=? AND password=?";

​​​​​​​    2. 获得 PreparedStatement 对象

    3. 设置实际参数:setXxx( 占位符的位置, 真实的值)

    4. 执行参数化 SQL 语句

    5. 关闭资源

setXxx重载方法

说明

void setDouble(int parameterIndex, double x)

将指定参数设置为给定 Java double 值。

void setInt(int parameterIndex, int x)

将指定参数设置为给定 Java int 值。

void setString(int parameterIndex, String x)

将指定参数设置为给定 Java String 值。

void setObject(int parameterIndex, Object x)

使用给定对象设置指定参数的值。

使用PreparedStatement完成登录案例

package com.lagou.jdbc03;

import com.lagou.utils.JDBCUtils;

import java.sql.*;
import java.util.Scanner;

public class TestLogin02 {

    /*
    * SQL注入
    *   用户输入的用户名和密码 与我们编写的SQL进行了拼接,用户输入的内容成为了SQL语法的一部分,
    *   用户会利用这里漏洞 输入一些其他的字符串,改变SQL原有的意思
    *
    * 如果解决
    *   要解决SQL注入 就不能让用户输入的数据和我们的SQL进行直接的拼接
    *
    * 预处理对象 PrepareStatement 他是 Statement接口的子接口
    *   使用预处理对象 他有预编译的功能,提高SQL的执行效率
    *   使用预处理对象 通过占位符的方式 设置参数 可以有效的防止SQL注入
    *
    *
    * */
    public static void main(String[] args) throws SQLException {

        //1.获取连接
        Connection con = JDBCUtils.getConnection();

        //2.获取PrepareStatement 预处理对象
        //使用 ? 占位符的方式来设置参数
        String sql = "select * from jdbc_user where username = ? and password = ?";
        PreparedStatement ps = con.prepareStatement(sql);

        //3.获取用户输入的用户名和密码
        Scanner sc = new Scanner(System.in);
        System.out.println("请输入用户名: ");
        String name = sc.nextLine();

        System.out.println("请输入密码: ");
        String pass = sc.nextLine();

        //4.设置参数 使用setXXX(占位符的位置(整数),要设置的值)的方法设置占位符的参数
        ps.setString(1,name); // 设置第一个问号值 为 name
        ps.setString(2,pass);

        //5.执行查询
        ResultSet resultSet = ps.executeQuery();

        //6.处理结果集
        //6.处理结果集
        if(resultSet.next()){

            System.out.println("登录成功! 欢迎您: " + name);
        }else{

            System.out.println("登录失败! ");
        }

        //7.关闭流
        JDBCUtils.close(con,ps,resultSet);
    }
}

节选自拉钩教育JAVA培训系列教程

enterpc
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
数据库技术四:JDBC,预处理对象,JDBC事务控制
bier_zm的博客
08-24 615
JDBC概述 什么是JDBC JDBC (Java Data Base Connectivity) 是 Java 访问数据库的标准规范。是一种用于执行 SQL 语句的 Java API,可以为多种关系数据库提供统一访问,它由一组用 Java 语言编写的类和接口组成。是 Java 访问数据库的标准规范。 JDBC原理 JDBC 是接口,驱动是接口的实现,没有驱动将无法完成数据库连接,从而不能操作数据库。每个数据库厂商都需要提供自己的驱动,用来连接自己公司的数据库,也就是说驱动一般都由数据库
机器学习之旅:数据预处理对象-数据
jelly074100209的专栏
09-28 707
数据挖掘中的数据类型  数据挖掘中有一个很重要的步骤,就是数据预处理,只有拿到符合要求的数据,我们才能很好地用算法得到想要的结果。那么,在海量数据中,我们怎么知道哪些数据才是我们需要的呢?所以,我们首先要知道一个很重要的知识,就是数据类型。1. 总是从概念开始 数据集:通常指的是数据库,数据集是由数据对象组成。 数据对象:通常指的是数据表中一行数据,一个数据对象代表一个实体,例如会员,
java预处理对象_预处理对象,增删改查
weixin_42160645的博客
02-27 136
package com.orcal.demo001;import java.sql.Connection;import java.sql.DriverManager;import java.sql.PreparedStatement;import java.sql.ResultSet;import java.sql.SQLException;import java.util.Scanner;pub...
java预处理对象_Java使用JDBC开发 之 PreparedStatement接口预处理对象
weixin_39722759的博客
02-27 281
目录一、概述二、预处理对象executeUpdate方法1、插入记录(insert)2、删除记录(delete)3、更新记录(update)三、预处理对象executeQuery方法1、查询记录一、概述使用 PreparedStatement 预处理对象时,建议每条sql语句所有的实际参数,都使用逗号分隔String sql = "insert into users(username,passwo...
mysql 预处理创建事务_预处理和事务处理
weixin_29124971的博客
01-19 207
一:Pdo(重点)PDO(php data object)就是操作数据库的方法,pdo就是把操作数据库的函数封装成一个pdo类这样,无论你使用什么数据库,都可以通过一致的函数执行查询和获取数据,并能够屏蔽不同数据库之间的差异,使用pdo可以很方便地进行跨数据库程序的开发,以及不同数据库间的移植,是将来php在数据库处理方面的主要发展方向,它可以支持mysql,oracle,mssqlsqlite ...
jdbc预处理对象 - PreparedStatement
XiaoJian的博客
09-19 1869
SQL注入问题: 用户 输入的内容作为了SQL语句语法的一部分,改变了原有SQL真正的意义。 当用户输入密码为: or 1=1 时 , 用户名和密码是什么已经不重要了 , 因为1=1相当于是true , OR关系有一个条件满足 , 用户就会永远登录成功了 . 例: SELECT * FROM users WHERE username=‘a’ AND PASSWORD=‘2’ OR 1=1;...
预处理语句对象PreparedStatement
Java-Bobby的专栏
04-11 5813
PreparedStatement接口继承了Statement接口,所以它能够实现Statement的所有功能,但是其比Statement更加灵活。PreparedStatement中的SQL语句可以接收一个或多个参数,这些参数值都可以使用“?”来代替。在执行SQL语句前,必须通过PreparedStatement对象的set***()方法为参数赋值。SQL 语句被预编译并存储在 PreparedStatement 对象中。然后可以使用此对象多次高效地执行该语句。 注:用于设置 IN 参数值的设置方法(se
JSP | 使用预处理语句对象操作数据库
ZY-JIMMY
05-09 2573
·核心知识             可以使用Connection的对象con调用prepareStatement(String sql)方法对参数sql指定的SQL语句进行预先编译,生成数据库的底层命令,并将该命令封装在PreparedStatement对象中。对于SQL语句中变动的部分,可以使用通配符“?”代替。例如:PreparedStatement ps = con.prepareState...
预处理语句的使用-代码典型缺陷分析(一)
iteye_6274的博客
03-08 157
BAD: 尽管这块代码能够正确执行,能够完成都应的业务逻辑的处理,但这个预处理语句使用是有问题的。因为这个SQL语句是动态拼接而来的,这样处理和Statement直接处理几乎一点区别也没有,一点也没体现出运用PrearedStatement的优势。 正确使用是以参数化的形式给preparedStatement传参数,而不是动态拼接SQL语句,如下: GOOD: ...
什么是预处理
lee576的专栏
02-13 4821
所谓预处理是指,在对源程序进行编译之前,先对源程序中的预处理命令(主要指宏定义命令、文件包含命令和条件编译命令)进行处理;然后再将处理的结果,和源程序一起进行编译,以得到目标代码。
预处理对象executeQuery方法,对数据库进行有条件和无条件的查询
一叶知秋
11-16 3816
(1)通过预处理对象的executeQuery方法,完成记录的select语句的执行;   (2)操作格式统一如下:     ①注册驱动;     ②获取连接;     ③获取预处理对象;     ④SQL语句占位符设置实际参数;     ⑤执行SQL语句;     ⑥处理结果集(遍历结果集合);     ⑦释放资源。 (3) 无条件查询: import java.sql....
JDBC预编译语句
热门推荐
苍月
02-28 1万+
什么是预编译语句 预编译语句PreparedStatement 是java.sql中的一个接口,它是Statement的子接口。通过Statement对象执行SQL语句时,需要将SQL语句发送给DBMS,由DBMS首先进行编译后再执行。预编译语句和Statement不同,在创建PreparedStatement 对象时就指定了SQL语句,该语句立即发送给DBMS进行编译。当该编译语句被执行时
SQL语句(statement)预处理(preparedStatement)
oneSeekers的博客
10-19 2991
javaweb中sql语句的预处理 预处理也叫预编译。本来sql每执行一条sql语句,就需要对这条sql语句进行编译,然后执行。预编译采用sql模版。只需要在第一次使用时编译一次。后面传参数调用就可以了。 预处理代码如下: try{ Connection con = DriverManager.getConnection(props.getProperty("url"),pro
java预编译啥意思_java预编译 java jdbc 预编译语句和普通语句的区别
weixin_39601794的博客
03-02 1832
java中什么是预编译precompile?总有一天你恍然大悟,父母是你花心思,花时间最少,却最爱你的人。什么是预编译?起什么作用的? 。在java中如何实现预编译?祝你幸福!这句话真俗。小编会祝你幸福,但小编不会祝福你们。就是启动tomcat服务器后,进入页面时,不用编译了,也不用在连接数据 库/* * ProCompile.java *预处理要编译的文件,删除多余的空白,注释,换行,回车等 *...
JDBC
zhaohaifan的专栏
12-20 529
package com.lovo.jdbc; import java.sql.Connection; import java.sql.DriverManager; import java.sql.PreparedStatement; import java.sql.ResultSet; import java.sql.SQLException; import java.sql.Statemen
Statement接口和PreparedStatement接口的区别
qq_43059863的博客
03-06 1420
Statement接口在创建语句对象时,不带参数,进行查询更新操作时,再传入完整的SQL 语句。而PreparedStatement接口创建预处理语句对象时,传入带?的SQL语句,进行查询更新操作时,不带参数。 PreparedStatement接口代码可读性高,无需拼接SQL语句,语句和代码分离。 PreparedStatement接口执行效率高,它预编译和缓存了结构相同的SQL语句,想Str...
预处理解析
zhengyawen666的博客
04-10 224
一 预定义符号 语言内置的符号,可以用来查看被编辑文件的状态 有以下几种: __FILE__ 被编辑的源文件 __LINE__被编辑文件所在行 __DATE__被被编辑文件的日期 __TIME__被编辑文件的时间 __STDC__编译器是否遵循ABSI C,若遵循为1,否则未定义(vs中未定义) 对上述预定义符号的示例: 二 #define 1 #define定义的标识符 #define name stuff stuff的种类多样,可以是常量表达式,可以是关键字名字,可以是函数,
JDBC编程之预编译SQL与防注入式攻击以及PreparedStatement的使用教程
a631278993的博客
09-16 317
转载请注明原文地址: http://www.cnblogs.com/ygj0930/p/5876951.html 在JDBC编程中,常用Statement、PreparedStatement和CallableStatement三种方式来执行查询语句,其中Statement用于通用查询,PreparedStatement用于执行参数化查询,而Callabl...
2022-08-19 Mysql--preparedStatement(预编译)
最新发布
weixin_49627122的博客
08-19 580
我们之前用的Statement对象数据库发送要执行的语句,但是Statement有很多的不足:1.大量的字符串拼接,代码可读性降低。2.sql注入:SQL注入有一个BUG:就是通过字符串的拼接,可以得到一个恒等的sql语句,可以跳过某些判断:( "b' or '1' = '1" )--------这个语句返回值一定是true,所以可以通过任何的验证例如:这样无论用户名是什么都可以登陆成功。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

enterpc

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值