PreparedStatement 和Statement用法区别,加和不加转义字符

最新推荐文章于 2024-06-01 19:36:39 发布
最新推荐文章于 2024-06-01 19:36:39 发布
阅读量1.1k 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hlxstc_xly/article/details/39211675
版权

PreparedStatement 和Statement用法区别:

String hidden = request.getParameter("action");

if(hidden != null && hidden.trim().equals("post")) {
String userId = request.getParameter("userId") ;
String userName = request.getParameter("userName") ;
String password = request.getParameter("password");
String contactTel = request.getParameter("contactTel") ;
String email = request.getParameter("email");
Connection conn = DB.getConnect();
String sql = "update t_user set user_name = ?, password = ?, contact_tel = ?, email = ? where user_id = ? ";
PreparedStatement preStat = DB.getPreStat(conn, sql);
preStat.setString(1, userName);
preStat.setString(2, password);
preStat.setString(3, contactTel);
preStat.setString(4, email);
preStat.setString(5, userId);
preStat.close();
conn.close();

}


以上是PreparedStatement的用法,如果是Statement的话

String userId = "\"" + request.getParameter("userId") + "\"" ;   //需要转义字符,使得变量传递给sql语句的值带有双引号
String userName ="\"" +  request.getParameter("userName")  + "\"";

String sql = "update t_user set user_name = " + userName + " where user_id =  " + userId ;


后会无期_hlx
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PreparedStatement
06-09
jdbc2.0版 PreparedStatement接口的用法
插入数据库之前将特殊字符转义
05-29
这是因为不转义的特殊字符可能导致SQL注入等安全问题,从而造成数据破坏、信息泄露甚至整个系统的瘫痪。这篇博客“插入数据库之前将特殊字符转义”深入探讨了这个关键话题。 SQL注入是一种常见的网络攻击方式,攻击...
JDBC中PreparedStatement对象详解(认真看完包学会)
最新发布
2301_79858914的博客
06-01 921
一种SQL语句的预编译版本。与Statement预编译:SQL语句在创建对象时被预编译,随后可以多次执行该语句,而无需重新编译。防止SQL注入:通过将参数传递给SQL语句,可以有效防止SQL注入攻击。性能提升:由于SQL语句只需编译一次,执行时的性能会有所提升,特别是在需要多次执行相同语句的情况下。在JDBC中提供了一个强大而灵活的工具,用于执行SQL语句,具有预编译、参数化查询、批处理sql语句、性能提升和防止SQL注入等优势。通过了解并正确使用,可以编写更安全和高效的数据库访问代码。
preparedStatement
遨游奋飞
04-16 280
问题1: 在用JDBC的PreparedStatement类时,使用insert插入数据到数据表中,sql语句在执行preparedStatement.executeUpdate()方法后,成功返回了操作行数,表明程序没有问题,但就是在数据库中看不到插入的数据。 这个问题的原因在于,设置了 connection.setAutoCommit(false),使得preparedStatement的...
详解JSP中的语句对象Statement操作MySQL的使用实例
10-22
在实际开发中,推荐使用PreparedStatement或CallableStatement,它们可以自动转义特殊字符,防止注入攻击。 最后,别忘了在操作完成后关闭资源,以避免内存泄漏。通常,我们使用`finally`块确保数据库连接和`...
Pr_St_insert.rar_statement
09-22
- **不安全**: 如果SQL语句包含用户输入,直接使用Statement可能导致SQL注入攻击,因为Statement对象不会自动转义特殊字符。 - **效率低**: 每次执行Statement对象的SQL语句时,数据库都需要解析并编译该语句,这在...
sql的封装,不需要使用StringBuffer进行字符串拼接
04-15
早期的开发实践中,开发者经常使用`StringBuffer`或`StringBuilder`来拼接这些条件,但这并不是一个高效且安全的方法。本话题将深入探讨如何避免使用`StringBuffer`进行SQL字符串拼接,以及更推荐的SQL封装技术。 ...
servlet登陆和注册例子
08-08
2. **防止SQL注入**:使用PreparedStatement可以防止恶意SQL代码注入,因为它会自动转义特殊字符。 3. **错误处理**:捕获和处理可能的异常,如数据库连接失败、查询错误等,提供友好的错误信息给用户。 总结,...
PreparedStatementStatement
03-22
NULL 博文链接:https://stevenjohn.iteye.com/blog/968877
JDBC中PreparedStatement
一个很懒的人
01-28 241
1.SQL注入问题 1.什么是SQL注入问题? 用户输入的数据中有SQL关键字或语法并且参与了SQL语句的编译,导致SQL语句编译后的条件含义为true,一直得到正确的结果。这种现象称为SQL注入。 2.如何避免SQL注入 由于编写的SQL语句是在用户输入数据,整后再进行编译。所以为了避免SQL注入的问题,我们要使SQL语句在用户输入数据前就已进行编译成完整的SQL语句,再进行填充数据。 2.PreparedStatement PreparedStatement继承了Statement接口,执行SQ.
知识点——PreparedStatement
weixin_43527766的博客
03-24 277
PreparedStatement是java.sql下的api,相比Statement(通用查询),CallableStatement(存储过程查询),PreparedStatement适用于参数化查询。 不过绝大部分的时候,PreparedStatement可以代替Statement,有以下好处: 1.处理参数(日期转换之类)更方便 2.执行更快捷,如名字所言,它是预编译的 3.更加安全,能防止...
JDBC中Statement和PreparedStatement的择弃
分享,卓越
07-20 1425
PreparedStatement是用来执行SQL查询语句的API之一,Java提供了 Statement、PreparedStatement 和 CallableStatement三种方式来执行查询语句,其中 Statement 用于通用查询, PreparedStatement 用于执行参数化查询,而 CallableStatement则是用于存储过程。同时PreparedStatement
PreparedStatement(防止SQL注入)
abc98526的博客
03-09 292
PreparedStatement PreparedStatement是防止Sql注入的类 本质:把传递进来的参数当作字符进行转义! package com.text; import java.sql.*; public class test72 { public static void main(String[] args) throws ClassNotFoundException, SQLException { //1.加载驱动 Class.fo
statement 和preparedstatement区别是什么
07-08
Statement和PreparedStatement是Java中用于执行SQL语句的两个接口,它们有以下区别: 1. 编译过程:Statement对象在执行SQL语句之前不进行预编译,每次执行SQL语句都要进行编译。而PreparedStatement对象在创建时就进行了预编译,可以多次执行不同的参数而无需重新编译。 2. 参数设置:使用Statement对象执行带有参数的SQL语句时,需要手动拼接参数值到SQL字符串中。而PreparedStatement对象可以使用占位符(?)来表示参数,然后通过提供的方法设置参数值,这样更安全且方便。 3. SQL注入:由于Statement对象需要将参数值直接拼接到SQL字符串中,存在SQL注入的风险。而PreparedStatement对象使用占位符传递参数值,预编译时已经对输入进行了转义和验证,可以有效地防止SQL注入攻击。 4. 性能:由于PreparedStatement对象在创建时已经进行了预编译,多次执行相同的SQL语句可以减少数据库的解析和优化时间,提高执行性能。 综上所述,PreparedStatementStatement更安全、更高效,尤其适用于需要频繁执行相同SQL语句但参数值不同的场景。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值