Jdbc预处理

已于 2022-11-27 22:29:01 修改
阅读量3.3k 收藏 2
点赞数
分类专栏: 杂记 文章标签: 数据库 java sql
于 2017-07-13 00:09:20 首次发布
原文链接:https://blog.csdn.net/chenleixing/article/details/44024095
版权
       大家都知道, Java中JDBC中,有个预处理功能,这个功能一大优势就是能提高执行速度尤其是多次操作 数据库的情况,再一个优势就是预防SQL注入,严格的说,应该是预防绝大多数的SQL注入。
       用法就是如下边所示:
[java] view plaincopy
  1. String sql="update cz_zj_directpayment dp"+  
  2. "set dp.projectid = ? where dp.payid= ?";  
  3. try {  
  4.     PreparedStatement pset_f = conn.prepareStatement(sql);  
  5.     pset_f.setString(1,inds[j]);  
  6.     pset_f.setString(2,id);  
  7.     pset_f.executeUpdate(sql_update);  
  8. }catch(Exception e){  
  9. //e.printStackTrace();
  10.     logger.error(e.message());  
  11. }  
       那为什么它这样处理就能预防SQL注入提高安全性呢?其实是 因为SQL语句在程序运行前已经进行了预编译在程序运行时第一次操作数据库之前,SQL语句已经被数据库分析,编译和优化,对应的执行计划也会缓存下来并允许数据库已 参数化的形式 进行查询,当运行时动态地把参数传给 PreprareStatement时,即使参数里有敏感字符如 or '1=1'也数据库会作为一个参数一个字段的属性值来处理而不会作为一个SQL指令,如此,就起到了SQL注入的作用了!( 预编译指的是数据库预处理,包括分析、编译和优化
仓爸爸java成长之路
关注
专栏目录
Jmeter JDBC request查询配置及参数化调用
a200822146085的博客
05-21 730
1、配置数据库连接信息 线程组->添加JDBC Connection Configuration 2、添加jdbc request请求 注意: 1、Variable Name of …JDBC Connecttion Confuuration为步骤一配置的Variable Name for created pool,否则引用不到jdbc配置报错 2、SQL语句不能带;号,否则报错 3、上面的dbc请求配置好后,我们可以把查询的结果放在变量中进行参数化引用, jmeter提供了两种变量应用方式:
Java学习日志(三十三): JDBC预处理对象,连接池C3P0
12-14
JavaEE学习日志持续更新—-> 必看!JavaEE学习路线(文章总汇) Java学习日志(三十三)JDBC预处理对象登陆注册案例模拟:用户注入攻击数据库解决用户注入式攻击PreparedStatement对象对数据库表进行增删改查连接池连接池的原理连接池的规范接口DataSource创建并测试C3P0连接池的工具类带XML配置文件的C3P0连接池工具类 JDBC预处理对象 登陆注册案例模拟:用户注入攻击数据库 首先创建一张用户表 -- 创建数据库day04 CREATE DATABASE day04; -- 使用数据库day04 USE day04; -- 创建用户表users 字段:
程序员必备技能 | Jmeter 实战 JDBC配置
最新发布
不惑
09-09 1880
在使用JMeter进行接口压力测试时,有时需要批量生成测试数据,这时可以使用JMeter连接数据库以创建相应的测试数据。测试结束后,还需要对测试数据进行还原或删除,以清理不必要的数据。这些操作都涉及到连接数据库并执行SQL语句。
jdbc预处理
Susir001的博客
11-09 97
JDBCJavaDatabaseConnectivity) Java 连接数据库的规范(标准),可以使用 Java 语言连接数据库完成 CRUD 操作。目前使用JDBC完成了CRUD,但是现在是进行CRUD,增删改方法要设计很多参数,查询的方法需要设计集合才能返回.在实际开发中,我们需要将零散的数据封装到对象处理.ORM (Object Relational Mapping) 对象关系映射是指数据库表与Java的实体类有关系,可以进行映射数据库表 --> Java的类。
需要预处理JDBC
tao0801的博客
02-23 304
public static void main(String[] args) {     Connection conn = null;// 特定的数据库链接对象     try {       // 通过DriverManager与Connection的连接       conn = DriverManager.getConnection(       "jdbc:oracle:thin:@lo...
jdbc连接操作mysql,直接操作和预处理方式
weixin_30558305的博客
09-10 104
步骤: 1. 加载sql数据库驱动 Class.forName(“com.mysql.jdbc.Driver”); 2. 连接数据库 con = DriverManager.getConnection(url, username, pwd); 3.获得Statement stmt = con.createStatemen...
Java学习:JDBC预处理对象与C3P0连接池实战
"Java学习日志(三十三)聚焦于JDBC预处理对象和C3P0连接池的使用,探讨了如何防范SQL注入攻击。文章通过创建用户表的示例,展示了数据库操作的基础,同时引入了用户登录注册场景,以此来说明SQL注入的潜在威胁。文中...
JDBC 预处理程序
08-31
JDBCJava Database Connectivity)预处理程序是一种在Java中执行SQL查询的技术,它通过将SQL语句和参数分开处理来提高性能并防止SQL注入攻击。以下是预处理程序的工作原理: 1. **创建Statement或...
JDBC预处理语句:了解和使用PreparedStatement
JDBC预处理语句简介 ## 1.1 JDBC概述 在Java中,JDBCJava Database Connectivity)是一种用于执行SQL语句的Java API,它提供了与多种数据库进行连接、查询和更新的方法。通过JDBC,开发人员可以使用统一的接口...
JDBC预处理语句详解与数据库连接
JDBC中,预处理语句的创建通常涉及以下步骤: ```java Connection con = ... // 获取数据库连接 PreparedStatement pre = con.prepareStatement("SELECT * FROM product WHERE price ); ``` 在这个例子中,`pre`...
MySQLJDBC预处理(防止sql语句的注入问题)
不会飞的王
03-17 683
首先来看一下未经预处理的小程序,这个小程序是注册和登录功能,静态的sql 语句,语法不确定性,通过 stmt 执行【Statement stmt 创建】,但这样的话可能会给懂的一些语言的人轻松破解你账户的机会,所以MySQL为了防止这种方式的发生,提供了一种预处理的机制PreparedStatement pstmt package 未预处理的结果; import java.sql.Conne...
JDBCJDBC如何实现预处理SQL
后端研发工程师Marion的博客
03-20 943
2. 在PreparedStatement对象上调用setXXX()方法,为SQL语句中的参数设置值。其中XXX表示Java数据类型,例如setString()用于设置字符串类型参数,setInt()用于设置整型参数等等。首先创建了一个预处理语句对象pstmt,然后使用setInt()方法设置第一个参数为1,最后执行executeQuery()方法获取查询结果。3. 在PreparedStatement对象上调用executeQuery()或executeUpdate()方法来执行SQL语句。
JDBC 预处理PreparedStatement
m0_71917549的博客
09-27 170
【代码】JDBC 预处理PreparedStatement。
jdbc预处理 查询 预处理DML jdbc常用API汇总
LuckyJerry66的博客
08-21 637
1 jdbc 预处理 PreparedStatement 预处理 1 PreparedStatement 执行的SQL语句中的参数用问号(?)来表示,调用PreparedStatement 对象的setXxx()方法来设置这些参数 . setXxx()方法有两个参数,第一个参数是要设置的SQL语句中的参数的索引(从1开始) ,第二个是设置的SQL语句中的参数的值 2 调用 excuteQuery() ,返回ResultSet 对象 3 调用 excuteUpdate() : 执行更新 ,包括增,删,修改.
JDBC使用预处理的方法链接MySQL数据库的主要步骤
BGnv5
09-17 314
JDBC使用字符串拼接的方式链接MySQL数据库 public void login(String username,String password) throws ClassNotFoundException, SQLException { //1.注册驱动 Class.forName("com.mysql.jdbc.Driver"); //2.获取连接 Connection...
JDBC预处理执行技术
程麒阁的博客
07-24 1077
JDBC预处理执行 预处理执行就是我先不执行它,在我需要的时候再执行它 我们先准备一个数据库 这个数据库是下面JDBC代码运行基础 只需要复制到你的mysql上执行下,刷新下就好 /* SQLyog Ultimate v11.24 (32 bit) MySQL - 5.6.39 : Database - af_school ********************************************************************* */ /*!40101 SET NAMES
Java使用JDBC开发 之 PreparedStatement接口预处理对象
m0_64384202的博客
12-12 688
通过预处理对象的executeUpdate方法,完成记录的insert\update\delete语句的执行。操作格式统一如下: 注册驱动 获取连接 获取预处理对象 SQL语句占位符设置实际参数 执行SQL语句 释放资源 1、插入记录(insert) 实现向学生表中插入新的记录 public static void main(String[] args) throws SQLException, ClassNotFoundException { //1.注册驱动 反射技术,将驱
JDBC接口———PreparedStatement预处理
weixin_42472048的博客
09-24 922
PreparedStatement * 它是Statement接口的子接口; * 强大之处: - 防SQL攻击; - 提高代码的可读性、可维护性; - 提高效率! * 学习PreparedStatement的用法: - 给出SQL模板! - 调用Connection的PreparedState...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值