MySQL——PreparedStatement对象

已于 2023-10-18 14:40:26 修改
阅读量56 收藏
点赞数
分类专栏: MySQL 文章标签: mysql 数据库
于 2023-10-15 18:11:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_63757342/article/details/133845563
版权

PreparedStatement防止sql注入的本质:把传进来的参数当做字符

package com.wen.lesson03;

import com.wen.lesson02.utils.JdbcUtils;

import java.sql.*;
import java.util.Date;

public class TestInsert {
    public static void main(String[] args) {
        Connection conn = null;
        PreparedStatement st = null;
        ResultSet rs = null;

        try {
            conn = JdbcUtils.getConnection();

            //区别
            //使用?占位符代替参数
            String sql = "INSERT INTO users(`id`,`NAME`,`PASSWORD`,`email`,`birthday`) VALUES(?,?,?,?,?)";
            st = conn.prepareStatement(sql); //预编译sql,先写sql,然后不执行

            //手动给参数赋值
            st.setInt(1,4); //id
            st.setString(2, "xiaoming"); //name
            st.setString(3, "123456"); //password
            st.setString(4, "123456789@qq.com"); //email
            //注意点: sql.Date    数据库  java.sql.Date
            //        util.Date  Java   new Date().getTime()  获得时间戳
            st.setDate(5, new java.sql.Date(new Date().getTime())); //birthday

            int i = st.executeUpdate();
            if (i>0){
                System.out.println("插入成功");
            }

        } catch (SQLException e) {
            throw new RuntimeException(e);
        } finally {
            JdbcUtils.release(conn, st, rs);
        }
    }
}

package com.wen.lesson03;

import com.wen.lesson02.utils.JdbcUtils;

import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.util.Date;

public class TestDelete {public static void main(String[] args) {
    Connection conn = null;
    PreparedStatement st = null;
    ResultSet rs = null;

    try {
        conn = JdbcUtils.getConnection();

        //区别
        //使用?占位符代替参数
        String sql = "DELETE FROM `users` WHERE `id`=?";
        st = conn.prepareStatement(sql); //预编译sql,先写sql,然后不执行

        //手动给参数赋值
        st.setInt(1,4); //id

        int i = st.executeUpdate();
        if (i>0){
            System.out.println("删除成功");
        }

    } catch (SQLException e) {
        throw new RuntimeException(e);
    } finally {
        JdbcUtils.release(conn, st, rs);
    }
}

package com.wen.lesson03;

import com.wen.lesson02.utils.JdbcUtils;

import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;

public class TetsUpdate {
    public static void main(String[] args) {
        Connection conn = null;
        PreparedStatement st = null;
        ResultSet rs = null;

        try {
            conn = JdbcUtils.getConnection();

            //区别
            //使用?占位符代替参数
            String sql = "UPDATE `users` SET `NAME`=?,`email`=? WHERE `id`=?";
            st = conn.prepareStatement(sql); //预编译sql,先写sql,然后不执行

            //手动给参数赋值
            st.setString(1,"张三");
            st.setString(2, "123456789@qq.com");
            st.setInt(3, 2);

            int i = st.executeUpdate();
            if (i>0){
                System.out.println("修改成功");
            }


        } catch (SQLException e) {
            throw new RuntimeException(e);
        } finally {
            JdbcUtils.release(conn, st, rs);
        }
    }
}

package com.wen.lesson03;

import com.wen.lesson02.utils.JdbcUtils;

import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;

public class TestSelect {
    public static void main(String[] args) {
        Connection conn = null;
        PreparedStatement st = null;
        ResultSet rs = null;

        try {
            conn = JdbcUtils.getConnection();

            String sql = "SELECT * FROM users";

            st = conn.prepareStatement(sql);

            rs = st.executeQuery();
            while (rs.next()){
                System.out.println("id="+rs.getString("id"));
                System.out.println("name="+rs.getString("NAME"));
                System.out.println("password="+rs.getString("PASSWORD"));
                System.out.println("email="+rs.getString("email"));
                System.out.println("birth="+rs.getString("birthday"));
                System.out.println("=========================");
            }
        } catch (SQLException e) {
            throw new RuntimeException(e);
        } finally {
            JdbcUtils.release(conn, st, rs);
        }
    }

}
错过人间飞鸿
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JDBC——PreparedStatement对象
qq_45612826的博客
12-14 70
PreparedStatement:执行sql的对象 SQL注入问题:在拼接sql时,有一些sql的特殊关键字参与字符串的拼接。会造成安全性问题 1. 输入用户随便,输入密码:a’ or ‘a’ = 'a 2. sql语句 select * from user where username = 'fhdsjkf' and password = 'a' or 'a' = 'a' 解决sq...
JDBC API详解——PreparedStatement
weixin_45348240的博客
03-15 1283
JDBC API详解——PreparedStatement PreparedStatement是一个接口,继承自Statement,表示预编译SQL语句的对象。 作用: 1.预编译SQL语句,性能更高; 2.预防SQL注入问题,将敏感字符进行转义 SQL注入:SQL注入是通过操作输入来修改事先定义好的SQL语句。用以达到执行代码对服务器进行攻击的方法。 以下是一个简单的登录代码: //接受用户输入的用户名和密码 String input_name = "Mike"; St
preparedstatement mysql 数据_【JDBC】Mysql海量数据插入——PreparedStatement加快数据插入...
weixin_28948785的博客
02-03 183
使用JDBC连接数据库时,如果插入的数据量大,一条一条地插入数据会变得非常缓慢。此时,我们需要用到预处理。查阅Java开发文档,我们可以看到:接口 PreparedStatement表示预编译的 SQL 语句的对象。SQL 语句被预编译并存储在 PreparedStatement 对象中。然后可以使用此对象多次高效地执行该语句。我的理解是,preparedstatement对象相当于sql语句执行...
JDBC————PreparedStatement批处理
weixin_42472048的博客
09-24 719
批处理 定义: 批处理就是一批一批的处理,而不是一个一个的处理! 当你有100条SQL语句要执行时,一次次向服务器发送一条SQL语句,这么做效率上很差! 处理的方案是使用批处理,即一次向服务器发送多条SQL语句,然后由服务器一次性处理。 批处理只针对更新(增、删、改)语句,批处理没有查询什么事儿! 注意:Mysql...
MySQL数据库干货_27——PreparedStatement的使用(重点)
guojiaqi_的博客
11-14 355
PreparedStatement对象简介 继承自 Statement 接口,由 preparedStatement方法创建。PreparedStatement具有预编译SQL语句能力,所以PreparedStatement 对象比 Statement 对象的效率更高,由于实现了动态的参数绑定,所以可以防止 SQL 注入,所以我们一般都使用 PreparedStatement
java——JDBC——JDBC各个类详解——PreparedStatement
小白龙白龙马的博客
11-26 166
5. PreparedStatement:执行sql的对象 1. SQL注入问题:在拼接sql时,有一些sql的特殊关键字参与字符串的拼接。会造成安全性问题 1. 输入用户随便,输入密码:a' or 'a' = 'a 2. sql:select * from user where usern...
MySQL——JDBC编程
HKJ_numb1的博客
05-29 991
JDBC,即Java Database Connectivity,在Java中操作数据库最基础的方式就是JDBC,为什么是最基础呢,因为现在出现了很多框架技术,他们在JDBC的基础上进行了封装,使JDBC用起来更方便。
数据库JDBC——PreparedStatement和Statement的区别和使用
会者定离,一期一祈
11-24 625
文章目录PreparedStatement和Statement的区别一、PreparedStatement的批量操作二、Statement的SQL注入演示1.登录界面2.后台代码示例总结注 PreparedStatement和Statement的区别 PreparedStatement对象: 预编译的 SQL 语句对象,只编译一次, 支持批量处理,可将SQL语句装载到一起,然后一次送到数据库执行,效率极高 (addBatch()方法) 可杜绝防止SQL注入问题 注意:如果是一次性操作(增删改查.
【JDBC】Mysql海量数据插入——PreparedStatement加快数据插入
a631278993的博客
09-11 116
转载请注明原文地址:http://www.cnblogs.com/ygj0930/p/5861959.html 使用JDBC连接数据库时,如果插入的数据量大,一条一条地插入数据会变得非常缓慢。此时,我们需要用到预处理。 查阅Java开发文档,我们可以看到: 接口 PreparedStatement 表示预编译的 SQL 语句的对象。 SQL 语句被预编译并存储在 Prepare...
详解Java的JDBC中Statement与PreparedStatement对象
09-03
主要介绍了详解Java的JDBC中Statement与PreparedStatement对象,PreparedStatement一般来说比使用Statement效率更高,需要的朋友可以参考下
JSP中的PreparedStatement对象操作数据库的使用教程
10-22
主要介绍了JSP中的PreparedStatement对象操作数据库的使用教程,文中举了一些使用PreparedStatement预处理语句对象进行MySQL增删查改的例子,需要的朋友可以参考下
MySql练习3:使用PreparedStatement插入宠物信息.zip
09-03
MySql练习3:使用PreparedStatement插入宠物信息.zip MySql练习3:使用PreparedStatement插入宠物信息.zip MySql练习3:使用PreparedStatement插入宠物信息.zip
MySQL数据库
02-13
- PreparedStatement预编译的SQL执行对象 1. 可以避免SQL注入 因为在编译的时候已经把SQL的逻辑固定,不会因为替换进去的内容改变逻辑 2. 如果SQL中涉及变量 相比Statement的字符串拼接的方式,代码可读性提高,并且...
mysql支持的存储引擎有哪些
JustinMars的博客
05-28 174
选择存储引擎时应根据具体应用场景和需求来决定。例如: - 如果需要事务和高数据完整性,选择InnoDB。 - 如果读操作频繁且不需要事务,选择MyISAM。 - 如果需要快速的临时数据存储,选择MEMORY。 - 如果需要数据压缩和存档,选择ARCHIVE。
chat4-Server端保存聊天消息到mysql
最新发布
gulanga5的博客
06-02 468
本文档描述了Server端接收到Client的消息并转发给所有客户端或私发给某个客户端同时将聊天消息保存到mysql服务端为当前客户端创建一个线程,此线程接收当前客户端的消息并转发给所有客户端或私发给某个客户端同时将聊天消息保存到mysql本文档主要总结了将聊天消息保存到mysql!!!),;import;import;import;/**用druid连接池来连接数据库的工具类*/DBUtil。
MySQL】索引
cefler的博客
05-31 777
MySQL】索引
MySQL库操作
2301_76197086的博客
05-28 370
MySQL库操作
ELT 同步 MySQL 到 Doris
eagle89的专栏
05-29 929
同步 MySQL 到 Doris
preparedstatement对象
03-16
PreparedStatement对象是Java编程语言中的一个接口,它是一种预编译的SQL语句对象。它可以在执行SQL语句之前进行编译,并且可以使用占位符来代替参数,从而提高了SQL语句的执行效率和安全性。PreparedStatement对象...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值