SQL语句工具类对象PreparStament的实例

最新推荐文章于 2023-07-12 18:24:38 发布
最新推荐文章于 2023-07-12 18:24:38 发布
阅读量507 收藏
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fighting_xuan/article/details/106193691
版权

PreparStament

  • 简介

    通过上面的例子发现,statement存在以下问题

    • sql注入的问题
    • 动态sql拼接太过麻烦

    为了解决上述问题,那么我们可以采用一个新的执行SQL语句工具类对象PreparStament,有以下好处:

    • 提供了预编译功能,避免了SQL注入问题
    • 能够使用动态sql,不需要用户手动拼接动态sql

  • 创建PreparStatement,并执行DML语句

    @Test
	public void preInsertData() throws Exception {
		Connection connection = ConnectionUtil.getConnection();

		// 创建sql语句,如果不确定sql中具体的值,可以用 ?代替
		// 简单的说 :?就是一个占位符
		String sql = "insert into jdbc_test values(?,?,?,?)";
		// 创建对象时需要传入sql语句
		PreparedStatement prepareStatement = connection.prepareStatement(sql);
		/*
		 * 给sql语句注入值,说白了就是替换? 给替换?时需要根据数据类型不同而调用不同的方法
		 */
		// id数据为int类型,第一个参数为?的索引,从1开始,第二个参数为具体的值
		prepareStatement.setInt(1,2);
  	    prepareStatement.setString(2, "套马的汉子");
  	    prepareStatement.setDouble(3, 1000);
  	    prepareStatement.setDate(4, new Date(System.currentTimeMillis()));
  	
  	
		// 返回影响条数,执行时不需要传入SQL
		int result = prepareStatement.executeUpdate();
		System.out.println(result);
		connection.commit();
		prepareStatement.close();
		connection.close();
	}

    这是新插入的数据

  • 执行查询

    @Test
	public void selectData() throws Exception {
		// 获取连接
		Connection connection = ConnectionUtil.getConnection();

		String sql = "select * from jdbc_test where id = ?";
		
		// 创建对象
		PreparedStatement preparedStatement = connection.prepareStatement(sql);

		// 用户手动输入数据
		Scanner scanner = new Scanner(System.in);
		String id = scanner.next();

		preparedStatement.setInt(1, Integer.parseInt(id));
		
		ResultSet resultSet = preparedStatement.executeQuery();

		while (resultSet.next()) {
			int ids = resultSet.getInt(1);
			String name = resultSet.getString("name");
			double salary = resultSet.getDouble("salary");
			System.out.println(ids + ":" + name + ":" + salary);
		}
		
		
		preparedStatement.close();
		connection.close();
	}

  • PreparStatement与Statement对比

    Statement:

    • 创建时不需要传递sql语句,但是执行时需要传递sql语句。

    • 如果涉及到动态参数的传递,必须使用字符串拼接-

    PreparedStatement:

    • 创建时就需要传递sql语句,执行的时候不需要传递sql语句-

    • 如果涉及到动态参数的传递,可以使用字符串拼接,也可以使用?占-
      位的形式要求在执行sql语句之前,给?号传值。

    • 提供预编译的功能,某种程度上可以避免sql注入的问题

Xuan少
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Day8_9 Java学习之PreparedStatement类与JDBCUtil工具类
weixin_43717536的博客
09-08 695
解析:驱动类、url、用户名,以及密码。2.也为了代码的复用性高,我们将上述注册驱动及获取数据库连接、关闭资源等等代码抽取出来,统一的放到JDBCUtil工具类中。3.上述的四大参数都与特定数据库关联,如果将来想更改数据库,那么就要去修改这四大参数,那么为了不去修改代码,我们也必须写一个JdbcUtils类,让它从配置文件中读取配置参数,然后创建连接对象,这样做是为了方便程序的维护。
JDBC 用PreparedStatement语句动态操作SQL语句
ZJE
01-11 7575
1.Statement 和 PreparedStatementStatement接口只能操作静态SQL语句(即SQL语句中操作的数据表,变量等等都是固定的,不能变化的)。而PreparedStatement接口则可以动态操作SQL语句(即SQL语句中的变量的值是可以变化的)。 2.问号“?” 问好的作用:在一个SQL语句中,把需要变化的部分用“?”代替。 如:String sq
JDBC之PreparedStateMent类、工具类、Dao层、事务
weixin_54194900的博客
09-10 587
PreparedStatemen是预编译声明的意思。预编译功能:客户端发送sql语句给数据库服务器的时候,服务器有三步,编译sql-----语法分析------执行语句。预编译的意思就是当前面执行过相似的sql语句,会把前面两步保存起来,后面执行类似的语句 可以跳过前面两步。该子接口可以让数据库开启预编译功能(前提是数据库有这个功能)。同时,PreparedStatementStatement的子接口,我们在以后的学习中我们可以使用PrearedStatement来代替Statement
掌握数据库操作的关键技巧:深入解析prepareStatement方法
最新发布
2301_77478553的博客
07-12 3531
prepareStatement是表示预编译的 SQL 语句的对象。prepareStatement方法是Java中用于准备执行SQL语句的方法。它可以避免SQL注入攻击,提高执行效率,且支持占位符,可以方便地设置参数。2.为什么要使用prepareStatementStatement与preparedStatement的区别:1. preparedStatement可以写动态参数化的查询。
Preparedstatement的使用
Garson的博客
11-01 735
如何使用PreparedStament以及PreparedStatment和Statement的区别
sqlgenerator:使用JavaSQL语句生成器
07-09
使用JavaSQL语句生成器 以下示例生成 SQL 语句。 实体类 - 这表示数据库中的一个表。 字段类 - 这表示表中的一个字段。 每个字段都属于一个实体。 联接类 - 这表示任意两个表之间的联接。 EntityLookup 类 - 该...
经典SQL语句大全
12-20
10、说明:几个简单的基本的sql语句 选择:select * from table1 where 范围 插入:insert into table1(field1,field2) values(value1,value2) 删除:delete from table1 where 范围 更新:update table1 set field1...
在Oracle实例间移动SQL调整工具
03-03
每个调整工具集都包含一个或几个SQL语句,以及正确解释它们所需的上下文信息。SQL Tuning Advisor用一个调整工具集作为输入,检查其中的语句并为它们提出优化建议。Oracle 10g第二版(release 2)中增加了移动SQL ...
sql经典语句一部分
07-31
经典SQL语句大全 一、基础 1、说明:创建数据库 CREATE DATABASE database-name 2、说明:删除数据库 drop database dbname 3、说明:备份sql server --- 创建 备份数据的 device USE master EXEC sp_addumpdevice ...
数据分层汇总交叉报表SQL语句实现方法
09-02
在管理系统中,管理人员往往需要对业务数据进行不同需求的...为了实现此类报表,程序员需要构造层次结构非常复杂的SQL语句,甚至使用前台编程工具或其它报表工具来完成。 以下通过二个实例,介绍此类报表的实现方法。
PreparedStatement对象执行sql的步骤
Tsundere_Sea的博客
07-31 903
PreparedStatement:执行sql的对象 1. SQL注入问题:在使用Statement拼接sql时,有一些sql的特殊关键字参与字符串的拼接。会造成安全性问题 1. 输入用户随便,输入密码:a' or 'a' = 'a 2. sql:select * from user where username = 'fhdsjkf...
JDBC学习笔记(4)——PreparedStatement的使用
weixin_34232363的博客
05-04 818
PreparedStatement public interface PreparedStatement extends Statement;可以看到PreparedStatementStatement的子接口,我们在执行查询或者更新数据表数据的时候,拼写SQL语句是一个很费力并且容易出错的事情,PreparedStatement可以简化这样的一个过程. PreParedStatement1...
使用PrepareStatement预编译对象执行sql语句
m0_70503831的博客
05-22 1071
使用PrepareStatement预编译对象执行sql语句 prepareStatementStatement的对比
jdbc使用PreparedStatement调用SQL语句
weixin_53387031的博客
01-10 978
使用PreparedStatement调用SQL语句,实现对数据库的增删改查 最基本的更新数据库的一条操作:(jdbc.properties为配置文件,包含4个参数,移植性好) package preparedstatement.curd; import java.io.InputStream; import java.sql.Connection; import java.sql.DriverManager; import java.sql.PreparedStatement;
JDBC查看Preparedstatement执行的sql语句
qq_42352406的博客
07-26 9299
通过JDBC4查看 String sql = "select * from user where uname = ?"; //执行sql语句 ps=conn.prepareStatement(sql); ps.setString(1, uname); res = ps.executeQuery(); String rsq = ((JDBC4PreparedStatement)ps).asSql()...
preparestatment获取sql_如何从Oracle, MySql, PostgreSQL的PreparedStatement获得所执行的sql语句?...
weixin_39630771的博客
12-19 1667
一、问题提出从且只从一个PreparedStatement中获取执行的sql语句(包括运行时绑定的参数值),是实际工作中经常遇到的一个问题。网上很多文章提到用自定义的增强类或中间件(p6spy, log4jdbc)来实现,但这需要对现有代码进行修改,工作量很大,能不能有更直接的办法?由于java.sql.PreparedStatement并没有提供相应接口,此功能是否实现及如何实现,不同数据库的J...
用java PreparedStatement就不用担心sql注入了吗?
weixin_33757911的博客
09-15 1204
     先感慨下,好久没写博客了,一是工作太忙,二是身体不太给力,好在终于查清病因了,趁着今天闲下来,迫不及待与读者交流,最后忠告一句:身体是活着的本钱!      言归正传,对java有了解的同学基本上都体验过JDBC,基本都了解PreparedStatement,PreparedStatement相比Statement基本解决了SQL注入问题,而且效率也有一定提升。      关于Pre...
preparestatment获取sql_java sql: PrepareStatement详解
weixin_42355744的博客
01-28 518
public classDbUtil {public static final String URL = "jdbc:mysql://localhost:3306/imooc";public static final String USER = "liulx";public static final String PASSWORD = "123456";private static Connect...
PrepareStatement对象(新增、删除、更新、查询、防止SQL注入)
...
08-02 814
MySQL三十三:PrepareStatement对象 PrepareStatement 可以防止SQL注入,并且效率高! 1、新增 package lesson03; import lesson02.utils.JdbcUtils; import java.sql.*; public class TestInsert { public static void main(String[] args) { Connection conn =null; Prepar
使用mybatisplus 自定义sql语句做一个查询实例
04-22
该示例使用了 MyBatis Plus 提供的 `QueryWrapper` 和 `BaseMapper` 工具类,借助 Lambda 表达式来构建 SQL 查询语句。同时,也给出了使用自定义 SQL 查询的例子,只需要在 `@Select` 注解中定义查询语句即可。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值