PerparedStatement的使用,及模糊查询时候的参数注入

最新推荐文章于 2023-07-12 18:24:38 发布
最新推荐文章于 2023-07-12 18:24:38 发布
阅读量1.2k 收藏 1
点赞数
分类专栏: Jsp基础知识
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gfdonx/article/details/48974935
版权 
import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;

public class PreparStatementTest2 {

	public static void main(String[] args) {
		// TODO Auto-generated method stub
		// TODO Auto-generated method stub
		String url = "jdbc:mysql://localhost:3306/mysqletc";
		String user = "root";
		String password = "123456";
		// 加载驱动
		try {
			Class.forName("com.mysql.jdbc.Driver");
			// 得到连接
			Connection conn = DriverManager.getConnection(url, user, password);
			// 创建PerparedStatement
			//String sql = "select * from commodity where name like '%?%'";
			String search = "米";
			String sql = "select * from commodity where name like ?";
			PreparedStatement ps = conn.prepareStatement(sql);
			search = "%"+search+"%";
			ps.setString(1, search);
			ResultSet rs = ps.executeQuery();
			while(rs.next()){
				System.out.println(rs.getInt("id")+rs.getString("name"));
			}
		} catch (ClassNotFoundException e) {
			// TODO Auto-generated catch block
			e.printStackTrace();
		} catch (SQLException e) {
			// TODO Auto-generated catch block
			e.printStackTrace();
		} finally{
			
		}
	}

}

gfdonx
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java PrepareStatement
l2636908832iu的博客
09-01 1495
PrepareStatement Statement 对同一个sql语句charrette不同值 需要重新发送一条sql语句 sql注入 select username,password from emp where username='admin' and password ='123'or 1=1; insert into emp values(?,?,?); 接口 PrepareStatement 表示预编译的 SQL 语句的对象。 SQL 语句被预编译并存储在 Prepare...
Java中JDBC的PreparedStatement用法
午-夜
07-17 6万+
PreparedStatement l  它是Statement接口的子接口; l  强大之处: Ø  防SQL攻击; Ø  提高代码的可读性、可维护性; Ø  提高效率! l  学习PreparedStatement的用法: Ø  如何得到PreparedStatement对象: ¨      给出SQL模板! ¨      调用Connection的PreparedState
PerparedStatement防止SQL注入
weixin_57219176的博客
08-09 198
PerparedStatement防止SQL注入
OpenMLDB:一文了解带参数查询语句(paramterized query statement) 的细节
第四范式开发者社区
09-30 467
背景 In database management systems (DBMS), a prepared statement or parameterized statement is a feature used to execute the same or similar database statements repeatedly with high efficiency. Typically used with SQL statements such as queries or updates, t
java之preparestatement详细介绍
05-09 1万+
传送给数据库的 SQL 语句通过一个包含两个步骤的过程来返回结果。首先准备它们,然后处理它们。借助 Statement 对象,这两个阶段对应用程序而言变成一个阶段。PreparedStatement 允许将这两个步骤分开。准备步骤在创建对象时发生,而处理步骤在对 PreparedStatement 对象调用 executeQuery、executeUpdate 或 execute 方法时发生。
PrepareStatement用法(附源码解析)
Sherlock1020的博客
08-11 5552
PrepareStatement 基本用法 与 SQL注入分析
5Java性能优化五.zip
12-24
使用JDBC进行查询的时候,对于大量拥有相同结构的SQL查询,能够使用PerparedStatement取代Statement。以提高数据库的查询效率。在使用Select语句中,显示指定要查询的列名 ,避免使用* 在对数据库优化时,主要...
java中PreparedStatementStatement详细讲解
热门推荐
程宇寒
03-05 13万+
大家都知道PreparedStatement对象可以防止sql注入,而Statement不能防止sql注入,那么大家知道为什么PreparedStatement对象可以防止sql注入 ...
掌握数据库操作的关键技巧:深入解析prepareStatement方法
最新发布
2301_77478553的博客
07-12 4222
prepareStatement是表示预编译的 SQL 语句的对象。prepareStatement方法是Java中用于准备执行SQL语句的方法。它可以避免SQL注入攻击,提高执行效率,且支持占位符,可以方便地设置参数。2.为什么要使用prepareStatementStatement与preparedStatement的区别:1. preparedStatement可以写动态参数化的查询。
JDBC----Statement安全问题与PrepareStatement
mqingo的博客
11-26 980
1. Statement执行 ,其实是拼接sql语句的。  先拼接sql语句,然后在一起执行。          String sql = "select * from user where username='"+ username  +"' and password='"+ password +"'";         UserDao dao = new UserDaoImpl();  ...
preparedStatementStatement区别及联系
一枚数学专业的小码农的博客
08-31 7168
JDBC中preparedstatementstatement中的区别
JDBC中PreparedStatement详解及应用场景介绍
weixin_62079735的博客
03-20 6148
Java中,当需要向数据库中执行SQL语句并传递参数时,我们通常会使用PreparedStatement接口。PreparedStatement继承自Statement接口,用于预编译SQL语句并执行参数化查询,这样可以提高执行效率并防止SQL注入攻击。
PreparedStatement 简介
u013738122的博客
11-25 1万+
PreparedStatement 使用示例 stringsql = "select * from people p where p.id = ? and p.name = ?"; preparedstatement ps = connection.preparestatement(sql); //setxxx() 方法的第一个参数表示 ? 所在的位置,从1开始计算,第二个参数表示对应的值 ps....
JDBC基础教程之PreparedStatement
盗也有道>>>>
11-12 2904
概述该 PreparedStatement 接口继承 Statement,并与之在两方面有所不同:PreparedStatement 实例包含已编译的 SQL 语句。这就是使语句“准备好”。包含于 PreparedStatement 对象中的 SQL 语句可具有一个或多个 IN 参数。IN参数的值在 SQL 语句创建时未被指定。相反的,该语句为每个 IN 参数保留一个问号(“?”)作为占位符。每个
关于PreparedStatementStatement
迷路剑客个人博客
10-30 955
关于PreparedStatementStatement 0x01 不同 看了一些网上的博客,主要结论有以下三点: Statement PreparedStatement 可读性 差,需要拼接字符串 高,可单独设置每个变量 预编译 普通sql无预编译 可配置开启预编译 安全性 差,可能被sql注入到拼接字段 强,sql提前预编译,传入的参数中的字符串,如果有特殊字符会被...
JDBC连接池,Statement,PerparedStatement区别,ResultSet
不码不成才
04-10 1281
JDBC连接池,Statement,PerparedStatement区别,ResultSet
Statement 和 PreparedStatement之间的关系和区别
suwu150
10-06 6万+
关系:PreparedStatement继承自Statement,都是接口 区别:PreparedStatement可以使用占位符,是预编译的,批处理比Statement效率高表示预编译的 SQL 语句的对象。 接口:public interface PreparedStatement extends Statement之间的继承关系 SQL 语句被预编译并存储在 PreparedStatement 对象中。然后可以使用此对象多次高效地执行该语句。 注:用于设置 IN 参数值的设置方法(setShort
PerparedStatement的优势是什么 ?
05-19
PreparedStatement是预编译SQL语句的一种...PreparedStatement支持参数化查询,可以在SQL语句中使用占位符,然后再将具体的参数值传递给PreparedStatement对象,从而避免了字符串拼接,提高了代码的安全性和可读性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值