PreparedStatement对象

最新推荐文章于 2023-03-20 12:55:33 发布
最新推荐文章于 2023-03-20 12:55:33 发布
阅读量322 收藏
点赞数
分类专栏: MySQL学习笔记 文章标签: java mysql 数据库 sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lemmon_tree/article/details/118034920
版权

PreparedStatement对象

PreparedStatement对象可以防止SQL注入,并且效率更高,是预编译的意思。

插入数据的代码

package lesson03;

import lesson02.JdbcUtils;

import java.sql.Connection;
import java.util.Date;
import java.sql.PreparedStatement;
import java.sql.SQLException;

public class TestInsert {
    public static void main(String[] args) throws SQLException {
        Connection conn = null;
        PreparedStatement st = null;
        //创建连接
        conn = JdbcUtils.getConnection();

        //预编译SQL,先写SQL,不执行
        //使用问好占位符
        //预编译
        String sql = "insert into users(id,`name`,password,email,birthday) values(?,?,?,?,?)";
        st = conn.prepareStatement(sql);

        //手动给参数赋值
        st.setInt(1,6);
        st.setString(2,"zhouhao333");
        st.setString(3,"123456");
        st.setString(4,"6@qq.com");
        //注意点: sql.Date 是SQL包下面的Date
        //          util.Date 是java包下面的Date  new Date().getTime()获得时间戳
        st.setDate(5,new java.sql.Date(new Date().getTime()));

        //执行
        //返回的I值是受影响的行数
        int i = st.executeUpdate();
        if (i>0){
            System.out.println("插入数据成功");
        }
        JdbcUtils.release(conn,st,null);
    }
}

删除数据的代码

package lesson03;

import lesson02.JdbcUtils;

import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.SQLException;

public class TestDelete {
    public static void main(String[] args) throws SQLException {
        Connection conn = null;
        PreparedStatement st = null;

        //创建连接
        conn = JdbcUtils.getConnection();
        String sql ="delete from users where id=?";
        //SQL的执行对象
        //预编译
        st = conn.prepareStatement(sql);
        //手动给问号复制
        st.setInt(1,1);
        //执行
        //返回值是受影响的行数
        int i = st.executeUpdate();
        if (i>0){
            System.out.println("删除数据成功");
        }
        //释放连接
        JdbcUtils.release(conn,st,null);
    }
}

修改数据的代码

package lesson03;

import lesson02.JdbcUtils;

import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.SQLException;

public class TestUpdate {
    public static void main(String[] args) throws SQLException {

        Connection conn = null;
        PreparedStatement st = null;

        conn = JdbcUtils.getConnection();
        //SQL语句
        String sql = "update users set `name`=? where id=?";
        //执行SQL语句的对象
        st = conn.prepareStatement(sql);
        st.setString(1,"lll");
        st.setInt(2,2);

        int i = st.executeUpdate();
        if (i>0){
            System.out.println("修改数据成功");
        }
        //释放连接
        JdbcUtils.release(conn,st,null);
    }
}

查询数据的代码

package lesson03;

import lesson02.JdbcUtils;

import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;

public class TestSelect {
    public static void main(String[] args) throws SQLException {

        Connection conn = null;
        PreparedStatement st = null;
        ResultSet rs = null;
        //创建连接
        conn = JdbcUtils.getConnection();
        //SQL语句
        String sql = "select * from users where id = ?";
        //预编译SQL
        st = conn.prepareStatement(sql);
        //手动给SQL语句赋值
        st.setInt(1,3);
        //手动执行SQL语句
        rs = st.executeQuery();
        //输出查询到的信息
        while (rs.next()){
            System.out.println(rs.getString("id"));
            System.out.println("名字:"+rs.getString("name"));
        }
        //关闭连接
        JdbcUtils.release(conn,st,rs);

    }
}

防止SQL注入的代码
使用PreparedStatement对象防止

package lesson03;

import lesson02.JdbcUtils;

import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;

public class SQL {
    public static void main(String[] args) throws SQLException {
        //正常执行查询操作
//        login("wangwu","123456");


        //sql注入的代码
        login("' ' or 1=1","123456");
    }
    //登录业务
    public static void login(String username,String password) throws SQLException {
        Connection conn = null;
        PreparedStatement st = null;
        ResultSet rs = null;
        //创建连接对象
        conn = JdbcUtils.getConnection();
        //SQL语句
        String sql = "select * from users where `name`=? and `password`=?";
        //创建SQL语句的执行对象
        //prepareStatement可以防止SQL注入,它的本质是,把传进来的参数当作字符。
        //如果存在转义字符,比如',会被直接转义
        st = conn.prepareStatement(sql);
        //手动给SQL语句赋值
        st.setString(1,username);
        st.setString(2,password);
        //执行查询操作
        rs = st.executeQuery();
        //输出查询结果
        while (rs.next()){
            System.out.println(rs.getString("name"));
            System.out.println(rs.getString("password"));
        }
        //关闭连接
        JdbcUtils.release(conn,st,rs);
    }
}

prepareStatement可以防止SQL注入,它的本质是,把传进来的参数当作字符。如果存在转义字符,比如’,会被直接转义。

lemmon_tree
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
详解Java的JDBC中Statement与PreparedStatement对象
09-03
创建PreparedStatement对象的例子如下: ```java PreparedStatement pstmt = null; try { String SQL = "Update Employees SET age = ? WHERE id = ?"; pstmt = conn.prepareStatement(SQL); // ... }catch ...
JSP中的PreparedStatement对象操作数据库的使用教程
01-08
PreparedStatement接口继承Statement,并与之在两方面有所不同: PreparedStatement 实例包含已编译...由于 PreparedStatement 对象已预编译过,所以其执行速度要快于 Statement 对象。因此,多次执行的 SQL 语句经常创
关于PreparedStatement你知道多少
LeBlock的博客
07-21 853
序言  对应PreparedStatement相信大家都很熟悉,那么为什么要用PreparedStatement呢?也许你回答PreparedStatement为预处理语句,可以提高数据库执行效率。也许还回答用PreparedStatement可以防止SQL注入。那么再问下,你觉得你对PreparedStatement有足够的了解吗,你在项目中PreparedStatement用对了
抽象类和接口区别
热门推荐
suncat的博客
05-07 4万+
抽象类和接口的定义: 抽象类(abstract class): 使用abstract修饰符修饰的类。(如果一个类没有包含足够多的信息来描述一个具体的对象,这样的类就是抽象类。) 实际点来说,一个抽象类不能实例化,因为“没有包含足够多的信息来描述一个具体的对象”。但仍然拥有普通类一样的定义。依然可以在类的实体(直白点就是能在{}里面)定义成员变量,成员方法,构造方法等。 抽象方法:只声明,不...
JDBC中PreparedStatement详解及应用场景介绍
最新发布
weixin_62079735的博客
03-20 5918
Java中,当需要向数据库中执行SQL语句并传递参数时,我们通常使用PreparedStatement接口。PreparedStatement继承自Statement接口,用于预编译SQL语句并执行参数化查询,这样可以提高执行效率并防止SQL注入攻击。
JDBC之PreparedStatement对象使用
weixin_44594041的博客
09-02 1429
文章目录前言一、为什么选择PreparedStatement?二、创建PreparedStatement对象三、带参数的SQL语句2.读入数据总结 前言 这里大概整理一下对于PreparedStatement的理解 一、为什么选择PreparedStatementStatement对象在每次执行SQL语句时都将该语句传给数据库。这样,多次执行同一个语句时效率较低。为了提高语句的执行效率,可以使用PreparedStatement接口对象。 二、创建PreparedStatement对象 使用Prepa
java PreparedStatement需要关闭,不然内存溢出
急速虫子
03-28 9378
“第三方的数据库连接池,使用的时候,获取到Connection之后,使用完成,调用的关闭方法(close()) ,并没有将Connection关闭,只是放回到连接池中,如果调用的这个方法,而没有手动关闭PreparedStatement等,则这个PreparedStatement并没有关闭,这样使得开发的程序内存急速增长,java的内存回收机制可能跟不上速度,最终造成Out of memory
java中PreparedStatementStatement详细讲解
08-25
PreparedStatement 对象可以防止 SQL 注入,而 Statement 对象则不能防止 SQL 注入。那么,为什么 PreparedStatement 对象可以防止 SQL 注入呢? 首先,让我们来看一个示例代码,使用 MySQL 数据库,admin 表为例子...
Java数据库连接PreparedStatement的使用详解
08-29
3. 创建 PreparedStatement:使用 Connection 对象创建 PreparedStatement 对象,并指定 SQL 语句。 4. 设置参数:使用 set 方法设置 PreparedStatement 的参数。 5. 执行查询:使用 executeQuery 方法执行查询,并...
Statement和PreparedStatement的区别
liuhuan1534的专栏
05-08 485
1.PreparedStatement是预编译的,对于批量处理可以大大提高效率. 也叫JDBC存储过程2.使用 Statement 对象。在对数据库只执行一次性存取的时侯,用 Statement 对象进行处理。PreparedStatement 对象的开销比Statement大,对于一次性操作并不带来额外的好处。3.statement每次执行sql语句,相关数据库都要执行sql语句的编译,pre...
Performance Tips for JDBC
波波熊的专栏
12-11 297
翻译:陈先波(turbochen@163.com) 阅读原文:http://www.theserverside.com/articles/article.tss?l=JDBCPerformance_PartIII 一、使用Statement而不是PreparedStatement对象 JDBC驱动的最佳化是基于使用的是什么功能. 选择PreparedStatement还是Statement取决于...
建立Statement对象的作用
weixin_45130905的博客
07-02 3032
建立Statement 对象的作用 执行SQL 语句 1. Statement对象用于执行不带参数的简单SQL语句 2. Prepared Statement对象用于执行预编译的SQL语句 3.Callable Statement 对象用于执行对存储过程的调用 ...
Java数据库连接(JDBC)之二:Statement对象和PreparedStatement对象的使用
tuke_tuke的博客
07-18 2259
1,Statement对象Java 执行数据库操作的一个重要方法,用于在已经建立数据库连接的基础上,向数据库发送要执行的SQL语句。Statement对象,用于执行不带参数的简单SQL语句。 Statement 对象用于将 SQL 语句发送到数据库中。实际上有三种 Statement 对象,它们都作为在给定连接上执行SQL语句的包容器: Statement 对象用于执行不带参数的简单S
JDBC之PreparedStatement的理解
gao_zhennan的博客
06-11 8139
前言:怀着疑惑和痛苦的心情写下这篇文章,其中疑惑之一是预编译对象把编译之后的整个语句保存在对象中,如果保存保存在哪里呢? 注:本文以mysql数据库为基础展开 一、基础知识 1、SQL语句在数据库中的执行过程 一条SQL语句从客户端(如: java 程序、navicat工具、cmd命令行)发送到数据库管理系统后,要经历以下过程: 词法和语义的解析 优化SQL语句,制定执行计划 执行并返回结果...
JavaWeb JDBC—PreparedStatement对象
来自师范的学渣
10-21 883
PreparedStatement对象可以对SQL语句进行预编译,预编译的信息存储在PraparedStatement对象中。当相同的sql语句再次执行时,程序就使用preparedstatement对象中的语句, 在web-chapter09项目中cn.itheima.jdbc包中创建一个名为Example02的的类,在该类中使用PreparedStatement对象数据库进行插入数据的...
创建PreparedStatement 对象的时候,sql语句中占位符?的问题
weixin_42509123的博客
05-05 2082
1.根据测试占位符?不能用于表名 String strSql="SELECT * FROM ?"; try(PreparedStatement ps=conn.prepareStatement(strSql)) { ps.setObject(1,"person"); 提示语法错误 Exception in thread "main" java.lang.RuntimeExcepti...
java createstatement,java – 无法使用preparedStatement创建
weixin_36481714的博客
03-19 316
我无法在数据库(mySQL)中创建表,使用preparedStatement并尝试使用preparedStatement.setInteger()输入future表的名称:static String queryCreateTable = "CREATE TABLE ?" +"(ID INTEGER not NULL ," +"BRAND VARCHAR(40)," +"MODEL VARCHAR(...
preparedstatement对象
03-16
PreparedStatement对象Java编程语言中的一个接口,它是一种预编译的SQL语句对象。它可以在执行SQL语句之前进行编译,并且可以使用占位符来代替参数,从而提高了SQL语句的执行效率和安全性。PreparedStatement对象可以用于执行任何类型的SQL语句,包括查询、插入、更新和删除等操作。它还可以防止SQL注入攻击,因为它自动转义特殊字符。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值