预编译PrepareStatement

最新推荐文章于 2023-12-01 10:10:33 发布
最新推荐文章于 2023-12-01 10:10:33 发布
阅读量864 收藏 1
点赞数
分类专栏: 基础学习 文章标签: mysql java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/feimeng4s/article/details/107558548
版权
本文探讨了PreparedStatement在JDBC中的使用,它能有效防止SQL注入问题。通过预编译SQL语句,PreparedStatement提高了安全性并提升了执行效率。示例展示了如何设置参数并执行预编译的SQL语句。同时,还简要介绍了JDBC事务管理,包括开启、提交和回滚事务的操作。
摘要由CSDN通过智能技术生成

2020.7.24、(1)PreparedStatement的学习JDBC的标准使用、(2)JDBC事务管理

(1)PreparedStatement的学习JDBC的标准使用

昨天学习的登录程序竟然出问题了,输入别的密码竟然能登录

请输入用户名:
dfgdf
请输入密码:
a’ or ‘a’ ='a
登录成功

就是上面这个
原来这是因为查询语句的问题
原来的查询语句是这样的:String sql="select *from user where username='"+username+"' and password = '"+password+"'";
现在如果输入进这个
dfgdf和a’ or ‘a’ ='a
那么查询语句变成这样的:

select *from user where username='dfgdf'and password='a'or'a'='a';
//后面变成了or 意味着一直都是查询正确了 这就出错了 这个问题就大了

所以说这个问题怎么改?
1、涉及到sql语句的注入问题:在拼接sql时,有一些sql的特殊关键字参与字符串的拼接。会造成安全性的问题,就像上边说的那样!
2、这个问题的解决方法:专门有一个对象PrepareStatement来解决这个问题,这是一个Statement子接口(这里查了一下接口和接口之间只能有继承关系,涉及到接口就要想到多态的问题)。顾名思义这个是个预编译!!
为什么需要预编译呢,这个和Statement有什么不同呢,因为这个Statement执行的都是静态的sql,所有的参数在生成sql的时候都是拼接好的!像上边那样!!
而预编译的sql语句!SQL语句已预编译并存储在PreparedStatement对象中。 然后可以使用该对象多次有效地执行此语句。

注意:setter方法( setShort , setString用于设置IN参数值必须指定与所定义的SQL类型的输入参数的兼容的类型,等等)。 例如,如果IN参数具有SQL类型INTEGER ,则应使用方法setInt 。
如果需要任意参数类型转换,方法setObject应与目标SQL类型一起使用。
在设定的参数的以下示例中, con表示一个活动连接:
PreparedStatement pstmt = con.prepareStatement(“UPDATE EMPLOYEES
SET SALARY = ? WHERE ID = ?”);
pstmt.setBigDecimal(1, 153833.00)
pstmt.setInt(2, 110592)

里面使用了问号占位符替代,?作为参数占位符
然后执行的时候给问号赋值就行!

使用步骤:
1、导入驱动
2、注册驱动
3、获取连接相对应的数据库
4、定义sql:注意了,问号作为占位符
如:select *from user where username=? and password=?;
这里创建之后sql字符串之后怎么办呢!对于以前定义好的完整的sql来说直接下面即可!

//3 获取执行的对象
            stmt = conn.createStatement();
            //4执行查询
            rs = stmt.executeQuery(sql);//结果集

现在呢!因为里面还有问号站位符呢,所以肯定不能直接执行的!
所以得先把这个sql传进去再说,利用的是Connection接口中的一个方法:
PreparedStatement preparedStatement(String sql)
创建一个 PreparedStatement对象,用于将参数化的SQL语句发送到数据库。
好了现在把语句传到预编译对象里面了,下面得先修改赋值语句然后才能发送到数据库!

  • 给?赋值,怎么搞呢,这么搞?
  • 方法 setXxx(参数1,参数2),在PreparedStatement找这个方法,注意这个参数别误会啊,这个参数1的意思是第几个?占位符,从1开始编号,参数2才是这个传递的值。
  • 最后执行无参的方法即可
    下面代码实现一下
    /*
    * 登录方法
    *
    * */
    public boolean login(String username,String password){
   
        if(username==null||password==null){
   
            return false;
        }
        PreparedStatement ps=null;//之所以可以这么干应该还是因为是接口的原因
        Connection conn=null;
        ResultSet rs=null;
        //连接数据库判断是否登陆成功语句
        //1 获取连接
        try {
   
            conn= JDBCUtils.
最低0.47元/天 解锁文章
Java---PrepareStatement预编译的使用场景
huyishero的博客
03-20 2969
java中,执行数据库查询的过程是 1.建立连接 connection 2.建立statement 3.定义sql语句 sql="select * from link" 4.执行查询 statement.executeQuery(sql) 4.结果处理 每一次访问的时候,数据库都会对传输过来的sql语句,进行编译,编译成机器可理解执行的语句再执行。 预编译的原理就是,如果用
20220606_JDBC_API预编译PrepareStatement作用详细测试
ClarkGable的博客
06-07 198
JDBC的PrepareStatement详细演示
你不知道的PreparedStatement预编译
布道
11-28 7455
大家都知道,Mybatis内置参数,形如#{xxx}的,均采用了sql预编译的形式,大致知道mybatis底层使用PreparedStatement,过程是先将带有占位符(即”?”)的sql模板发送至mysql服务器,由服务器对此无参数的sql进行编译后,将编译结果缓存,然后直接执行带有真实参数的sql。如果你的基本结论也是如此,那你就大错特错了。 目录 1. mysql是否默认开启了预编译功...
PreparedStatement预编译原理及基础使用
最新发布
qq_71443736的博客
12-01 1404
是 JDBC 中的一个接口,用于执行预编译的 SQL 语句。与普通的Statement不同,的 SQL 语句在执行之前已经经过编译,因此更高效且安全,同时可以防止 SQL 注入攻击。通常用于执行多次相似的 SQL 查询或更新,只需编译一次,多次执行。对象所代表的 SQL 语句中的参数用问号来表示,调用对象的setXxx()方法来设置这些参数.setXxx()方法有两个参数,第一个参数是要设置的 SQL 语句中的参数的索引(从 1 开始),第二个是设置的 SQL 语句中的参数的值。
PreparedStatement 预编译
Ldbiy的专栏
08-01 3960
什么是预编译语句?  预编译语句PreparedStatementjava.sql中的一个接口,它是Statement的子接口。通过Statement对象执行sql语句时,需要将sql语句发送给DBMS,由DBMS首先进行编译再执行(在创建通道的时候并不进行sql的编译工作,事实上也无法进行编译)。而通过PreparedStatement不同,在创建PreparedStatement对象时就指
对PreparedStatement预编译功能的详解
m0_74570541的博客
05-10 1068
对PreparedStatement预编译功能的详解
JAVA预编译类_Java学习笔记——JDBC之PreparedStatement类中“预编译”的综合应用
weixin_30225755的博客
02-24 581
预编译SQL 语句被预编译并存储在 PreparedStatement 对象中。然后可以使用此对象多次高效地执行该语句。预编译的优点1、PreparedStatement预编译的,对于批量处理可以大大提高效率. 也叫JDBC存储过程。2、使用 Statement 对象。在对数据库只执行一次性存取的时侯,用 Statement 对象进行处理。PreparedStatement 对象的开销比Stat...
关于SQL语句prepareStatement预编译"?"占位符问题
weixin_41342104的博客
11-03 2709
关于SQL语句prepareStatement预编译"?"占位符问题Connection中的createStatement和 prepareStatement区别为什么会有占位符"?"(重点到了)请看下方结语 Connection中的createStatement和 prepareStatement区别 首先说下为什么常用的是PreparedStatement,因为Prepared...
利用JDBC的PrepareStatement打印真实SQL的方法详解
08-29
Java的JDBC编程中,`PreparedStatement`是一个非常重要的接口,它提供了预编译的SQL语句功能,能够显著提高执行效率,尤其是在批量处理大量数据时。`PreparedStatement`也被称为JDBC存储过程,因为它允许开发者...
Java自学-JDBC 预编译PreparedStatement
我的博客
06-28 486
在JDBC中使用预编译Statement 以及它的优点 步骤 1 : 使用PreparedStatementStatement一样,PreparedStatement也是用来执行sql语句的 与创建Statement不同的是,需要根据sql语句创建PreparedStatement 除此之外,还能够通过设置参数,指定相应的值,而不是Statement那样使用字符串拼接 注: 这是JAVA里唯...
使用preparedStatement预编译statement
Ant_in_IT的博客
03-11 300
使用PrepareStatement预编译Statement import java.sql.*; import java.sql.DriverManager; import java.sql.SQLException; /** * 使用preparedStatement预编译statement,可以是sql语句灵活化 * @author 可敢离我近点 * */ public clas...
PreparedStatement 预编译
NYY1996,GO!GO!GO!
05-02 279
问题描述 问题解决问题描述为什么他可以预编译, 预编译的缓存区是在哪里的, 存储了什么东西因为我们是赋值之后才执行语句的, 所以缓存的是不是已经赋值了的 SQL, 如果是这样的话, 那就和 Statement 没什么区别了, 为什么他还可以预编译问题解决
java 使用预编译执行者对象PrepareStatement实现CRUD操作,避免sql注入
dxm809的博客
08-11 278
package cn.itcast.demo1; import java.sql.Connection; import java.sql.DriverManager; import java.sql.PreparedStatement; /* * 使用PrepareStatement接口,实现数据表的更新操作 */ public class JDBCDemo { public static void main(String[] args) throws Exception{ Class.f.
[MYSQL]prepare 预编译SQL:Mysql
HakIu's Blog
03-28 1944
预编译SQL:SQL代码prepare pstmt from select a from table;   上面这句SQL创建了一个预编译的SQL。名为pstmt,这个预编译SQL的存活期就是当前的会话,也就是当前的数据库连接。如果连接一断开 ,那就会消失。from后面跟的就是要进行编译的那个SQL,这个值可以是一个字面的字符串值 ,就像上面,也可以是一个变量。比如:
使用PreparedStatement预编译语句对象
昊帅的博客
09-01 984
首先,要弄明白为什么要用PreparedStatement 代替Statement? 1、用PreparedStatement,代码的可读性和可维护性高 2、PreparedStatement 能尽最大可能提高性能 3、最重要的一点,极大的提高了安全性(防止sql注入) 简单的sql注入:当用Statement时,用’or 1= 1 or’可以作为password进入任何登陆账户。这是因为当
PreparedStatement 预编译原理
zust6314的专栏
08-26 1046
转载自:http://www.iteye.com/problems/32029    这样分析下来,才是算真正做研发的 preparedStatement 有三大优点: 一.代码的可读性和可维护性. 二.PreparedStatement尽最大可能提高性能. 三.最重要的一点是极大地提高了安全性.   其中一和三的确很易理解。 关于性能的提高也是最有价值的这点
使用PrepareStatement预编译对象执行sql语句
m0_70503831的博客
05-22 1199
使用PrepareStatement预编译对象执行sql语句 prepareStatementStatement的对比
PreparedStatement 预编译原理 可防止SQL注入
肖恩的专栏
05-09 4573
原文链接:http://www.iteye.com/problems/32029 相关链接:验证preparedStatement防止SQL注入: http://blog.csdn.net/badyflf/article/details/7926944 preparedStatement 有三大优点: 一.代码的可读性和可维护性. 二.PreparedStatement尽最
PrepareStatement会对绑定的SQL语句进行预编译Statement不会吗
05-11
是的,你说得对。PreparedStatement会对绑定的SQL语句进行预编译,这意味着它将在执行之前将SQL语句编译成可执行的代码,并将参数占位符替换为具体的参数值。这种预编译的过程可以提高SQL语句的执行效率,并且可以防止SQL注入攻击。而Statement则不会进行预编译,每次执行SQL语句时都需要将SQL语句重新编译一次。因此,PreparedStatementStatement更快,更安全。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值