【大数据系列之JDBC】(五):使用PrepareStatement防止SQL注入

已于 2022-12-24 23:19:13 修改
阅读量258 收藏
点赞数
文章标签: sql 大数据 数据库 mysql java
于 2022-12-22 21:40:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_47256162/article/details/128413963
版权

  • 可以通过调用 Connection 对象的 preparedStatement(String sql) 方法获取 PreparedStatement 对象

  • PreparedStatement 接口是 Statement 的子接口,它表示一条预编译过的 SQL 语句

  • PreparedStatement 对象所代表的 SQL 语句中的参数用问号(?)来表示,调用 PreparedStatement 对象的 setXxx() 方法来设置这些参数. setXxx() 方法有两个参数,第一个参数是要设置的 SQL 语句中的参数的索引(从 1 开始),第二个是设置的 SQL 语句中的参数的值

1.插入操作

public void testInsert() throws Exception {
        // 1.获取数据库连接
        Connection conn = JDBCUtils.getConnection();

        // 2.预编译SQL语句
        String sql = "insert into customers(name, email, birth) values(?, ?, ?)";

        // 3.获取PreparedStatement对象
        PreparedStatement ps = conn.prepareStatement(sql);

        // 4.填充占位符
        ps.setString(1, "哪吒");
        ps.setString(2, "nezha@gmail.com");
        SimpleDateFormat sdf = new SimpleDateFormat("yyyy-MM-dd");
        Date date = sdf.parse("2022-12-22");
        ps.setDate(3, new java.sql.Date(date.getTime()));

        // 5.执行SQL语句
        ps.execute();

        // 6.关闭资源
        JDBCUtils.closeResource(conn, ps);
    }

2.更新操作

public void testUpdate() {
        Connection conn = null;
        PreparedStatement ps = null;

        try {
            // 1.获取数据库连接
            conn = JDBCUtils.getConnection();

            // 2.预编译SQL语句
            String sql = "update customers set name = ? where id = ?";

            // 3.获取PreparedStatement对象
            ps = conn.prepareStatement(sql);

            // 4.填充占位符
            ps.setObject(1, "莫扎特");
            ps.setObject(2, 18);

            // 5.执行SQL语句
            ps.execute();
        } catch (Exception e) {
            e.printStackTrace();
        } finally {
            // 6.关闭资源
            JDBCUtils.closeResource(conn, ps);
        }
    }
海洋 之心
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
使用PrepareStatement数据批量操作
qq_41048982的博客
11-19 1190
/* 使用PrepareStatement数据批量操作 * update、delete本身就具有批量操作的效果。 * 此时的批量操作,主要指的是批量插入。使用PreparedStatement如何实现更高效的批量插入? * 题目:向goods表中插入20000条数据 * CREATE TABLE goods( id INT PRIMARY KEY AUTO_INCREMENT, NAME VARCHAR(25) ); */ // 方式一 @Test ..
掌握数据库操作的关键技巧:深入解析prepareStatement方法
2301_77478553的博客
07-12 3554
prepareStatement是表示预编译的 SQL 语句的对象。prepareStatement方法是Java中用于准备执行SQL语句的方法。它可以避免SQL注入攻击,提高执行效率,且支持占位符,可以方便地设置参数。2.为什么要使用prepareStatementStatement与preparedStatement的区别:1. preparedStatement可以写动态参数化的查询。
使用PrepareStatement进行数据库的增删改查
weixin_45639532的博客
06-15 1293
前提:确定导好正确的包之后(我的因为包下载失误,老是连接失败),并确定mysql数据库打开。 使用sql语句查 总共分为六部: 第一步获取驱动 Class.forName(com.mysql.cj.jdbc.Driver); (我的jdk是13,连接的jdbc是8.0的) 第二步获取连接对象 Connection conn = DriverManager.getConnection("jdbc:mysql://localhost:3306:db2?serverTimezone=GTM%2B8","r
用PreparedStatement解决SQL注入问题
平安喜乐
02-27 793
使用PreparedStatement预编译SQL语句并执行,预防SQL注入问题。
prepareStatement使用
weixin_44720982的博客
05-06 4566
使用prepareStatement完成数据库增删改查功能
利用JDBC的PrepareStatement打印真实SQL的方法详解
08-29
PreparedStatement是预编译的,对于批量处理可以大大提高效率. 也叫JDBC存储过程,下面这篇文章主要给大家介绍了关于利用JDBC的PrepareStatement打印真实SQL的方法,需要的朋友可以参考借鉴,下面来一起看看吧。
Hibernate使用防止SQL注入的几种方案
01-20
Hibernate使用防止SQL注入的几种方案 Hibernate是一个开放源代码的对象关系映射框架,它对JDBC进行了非常轻量级的对象封装,使得Java程序员可以随心所欲的使用对象编程思维来操纵数据库。  在获取便利操作的同时...
JDBC如何有效防止SQL注入
12-14
在我们平时的开发中,作为新手写JDBC很有可能忽略了一点,那是根本没有考虑SQL注入的问题,  那么,什么是SQL注入,以及如何防止SQL注入的问题。  一什么是SQL注入  所谓SQL注入,是通过把SQL命令插入到Web...
JDBC PrepareStatement 使用(附各种场景 demo)
最新发布
01-14
该资源中包含 JDBC 连接 MySQL 完整代码、常规 select、update 语句完整代码,以及 JDBC 批量处理数据的几种不同方式完整代码,且附带 使用说明!
sqljdbc4-4.0.jar下载 《无需积分》,自行提取
04-21
sqljdbc4-4.0.jar下载 《无需积分》,自行提取 Maven安装cmd指令 mvn install:install-file -DgroupId=com.microsoft.sqlserver -DartifactId=sqljdbc4 -Dversion=4.0 -Dpackaging=jar -Dfile=G:\迅雷下载\BB-sql...
JDBC----Statement安全问题与PrepareStatement
mqingo的博客
11-26 962
1. Statement执行 ,其实是拼接sql语句的。  先拼接sql语句,然后在一起执行。          String sql = "select * from user where username='"+ username  +"' and password='"+ password +"'";         UserDao dao = new UserDaoImpl();  ...
Connection连接和PreparedStatement 操作数据库
渡灬魂的博客
12-21 4261
Connection连接和PreparedStatement 操作数据库链接数据库操作的代码连接数据库的几种方式通过访url建立连接通过访问数据源建立连接通过JDBC直接建立连接开启数据库连接操作数据库查询条件查询(支持多个条件)条件查询(1个条件)条件查询(两个条件)执行sql语句执行sql 注入参数执行sql 多个参数事务处理开始事务处理结束提交处理回滚(还原数据记录)关闭数据库连接关闭PrepareStatementproxool.xml 配置 链接数据库操作的代码 连接数据库的几种方式 //数据库
JDBC之PreparedStatement的理解
gao_zhennan的博客
06-11 8102
前言:怀着疑惑和痛苦的心情写下这篇文章,其中疑惑之一是预编译对象,会把编译之后的整个语句保存在对象中,如果保存保存在哪里呢? 注:本文以mysql数据库为基础展开 一、基础知识 1、SQL语句在数据库中的执行过程 一条SQL语句从客户端(如: java 程序、navicat工具、cmd命令行)发送到数据库管理系统后,要经历以下过程: 词法和语义的解析 优化SQL语句,制定执行计划 执行并返回结果...
使用PreparedStatement操作数据库:查询
qq_63377494的博客
09-25 499
我们在上一篇文章中完成了操作数据库之通用的增删改操作,现在这篇文章我们来实现查询数据库的操作。
PreparedStatement
顺其自然~专栏
12-02 697
总之, 对于预先准备语句,我们应该使用参数化的查询。这样允许数据库重用已经存在的访问方案,从而减轻数据库的负担。这样的缓冲区是这个数据库范围的,所以你可以安排你所有的应用程序,使用相似的参数化的 SQL,就会提高这样的缓冲区方案的效率,因为一个应用程序 可以使用另一个应用程序的语句。一个应用服务器的优势也在于此,因为访问数据库的逻辑应该集中在数据访问层上(OR映射,实体bean或者直接JDBC),最后, 预先准备语句的正确使用也让你利用应用程序服务器的预先准备语句的缓冲区的好处。
JDBC-05:PrepardeStatement解决SQL注入问题
小贺想改变
11-05 324
PrepardeStatement解决SQL注入问题
JDBC的操作方法补充
weixin_47698996的博客
06-05 235
JDBCJava 数据库连接,是一种标准Java应用编程接口JAVA API,用来连接 Java 编程语言和广泛的数据库 获取自增长键值 !通过JDBC数据库的表格中添加一条记录,其中有一个字段是自增的 id bigint primary key auto_increment ,那么在JDBC这边怎么在添加之后直接获取到这个自增的值。[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-zPsRiuEm-1654433653544)(file:///C:/Users/ADMI
PrepareStatement对象(新增、删除、更新、查询、防止SQL注入
...
08-02 821
MySQL三十三:PrepareStatement对象 PrepareStatement 可以防止SQL注入,并且效率高! 1、新增 package lesson03; import lesson02.utils.JdbcUtils; import java.sql.*; public class TestInsert { public static void main(String[] args) { Connection conn =null; Prepar
JDBC中PreparedStatement详解及应用场景介绍
weixin_62079735的博客
03-20 5190
Java中,当需要向数据库中执行SQL语句并传递参数时,我们通常会使用PreparedStatement接口。PreparedStatement继承自Statement接口,用于预编译SQL语句并执行参数化查询,这样可以提高执行效率并防止SQL注入攻击。
jdbc 使用preparestatement 模糊查询里的sql语句怎么写
06-01
您好,对于使用 `PrepareStatement` 进行模糊查询,可以使用 `LIKE` 关键字,并在查询参数中使用 `%` 通配符。 例如,假设您要查询名字中包含字母 `abc` 的用户,可以这样编写 SQL 语句: ``` SELECT * FROM users...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

海洋 之心

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值