使用PrepareStatement预编译对象执行sql语句

于 2022-05-22 00:52:12 发布
阅读量1k 收藏 2
点赞数
文章标签: sql 数据库 database
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_70503831/article/details/124905820
版权

使用预编译对象PreparedStatement对象作为"数据库的执行对象"
  如:

  String sql = "insert into emploee(name,age,gender,address,salary) values(?,?,?,?,?)" ;
        //通过连接对象获取预编译对象PreparedStatement
        //Connection---->PreparedStatement prepareStatement(String sql) throws SQLException
        //将参数化的sql发送给数据库,并且存储到PreparedStatement对象中
        PreparedStatement ps = connnection.prepareStatement(sql);
        //PreparedStatement预编译对象中,需要给 ?  (占位符号)进行赋值
        //通用方法:void setXxx(int parameterIndex, Xxx x)  :给占位符号赋值,
        //参数1:第几个占位符号(从1开始)
        //参数2:实际参数
        ps.setString(1,"亓桑") ;
        ps.setInt(2,20);
        ps.setString(3,"男");
        ps.setString(4,"西安市") ;
        ps.setDouble(5,10000.00) ;

执行查询语句时,使用get方法


        //执行查询
        //ResultSet executeQuery()  :DQL语句
        ResultSet rs = ps.executeQuery();
        while (rs.next()){
            int id = rs.getInt("id");
            String name = rs.getString("name");
            int age = rs.getInt("age");
            String gender = rs.getString("gender");
            String address = rs.getString("address");
            double salary = rs.getDouble("salary");
            System.out.println(id+"\t"+name+"\t"+age+"\t"+gender+"\t"+address+"\t"+salary);
        }

Statement和PreparedStatement的对比
    Statement每一次需要将静态化的sql进行发送给数据库,写好一条sql,发送一次
    PreparedStatement将编译参数化的sql(占位符号?)发送给数据库,数据库会校验它的索引值以及对应的类型,将sql保存到预编译对象中,预编译可以赋值不同的参数,执行对应的sql,执行效率相对于Statement高很多.

Statement对象发送的sql属于静态语句,存在硬编码,而且还有字符串拼接,会造成sql注入,相对不安全
preparedStatement 发送的是参数化的sql,不存在字符串拼接,不会造成sql注入,相对安全

耳熟的人
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
利用JDBC的PrepareStatement打印真实SQL的方法详解
08-29
PreparedStatement是编译的,对于批量处理可以大大提高效率. 也叫JDBC存储过程,下面这篇文章主要给大家介绍了关于利用JDBC的PrepareStatement打印真实SQL的方法,需要的朋友可以参考借鉴,下面来一起看看吧。
JDBC学习笔记(4)——PreparedStatement的使用
weixin_34232363的博客
05-04 818
PreparedStatement public interface PreparedStatement extends Statement;可以看到PreparedStatement是Statement的子接口,我们在执行查询或者更新数据表数据的时候,拼写SQL语句是一个很费力并且容易出错的事情,PreparedStatement可以简化这样的一个过程. PreParedStatement1...
JDBC查看Preparedstatement执行sql语句
qq_42352406的博客
07-26 9297
通过JDBC4查看 String sql = "select * from user where uname = ?"; //执行sql语句 ps=conn.prepareStatement(sql); ps.setString(1, uname); res = ps.executeQuery(); String rsq = ((JDBC4PreparedStatement)ps).asSql()...
PreparedStatement 执行sql
zzz19920821的博客
06-22 897
try{ conn.setAutoCommit(false); //设置不会自动提交 stmt = conn.createStatement(); stmt.executeQuery("SELECT * FROM temp_info"); stmt.executeUpdate("UPDATE temp_info SET ip='***.***.***.***'"); conn.commit(); //提交事务 System.out.println("Ok!"); conn.close(); }catch(S
jdbc使用PreparedStatement调用SQL语句
weixin_53387031的博客
01-10 976
使用PreparedStatement调用SQL语句,实现对数据库的增删改查 最基本的更新数据库的一条操作:(jdbc.properties为配置文件,包含4个参数,移植性好) package preparedstatement.curd; import java.io.InputStream; import java.sql.Connection; import java.sql.DriverManager; import java.sql.PreparedStatement;
JAVA通过JDBC链接数据库获取数据(三)PreparedStatement编译SQL
Bruce小鬼
09-09 2410
JAVA通过JDBC链接数据库获取数据(三)PreparedStatement编译SQL 一、PreparedStatement 作用 1、可以防止SQL注入:对JDBC而言,SQL注入攻击只对Statement有效,对PreparedStatement是无效的,这是因为PreparedStatement不允许在插入时改变查询的逻辑结构. 2、可以存储和读取大文本文件。 二、Pr
PHP使用mysqli同时执行多条sql查询语句的实例
01-20
PHP数据库操作中,mysqli相对于mysql有很大的优势,建议大家使用;之前我们有介绍过如何在PHP5中使用mysqli的...//多条sql语句 $sql = select id,name from `user`;; $sql .= select id,mail from `user`; if ($mysql
MySQL 存储过程中执行动态SQL语句的方法
12-15
drop PROCEDURE if exists my_procedure; ... PREPARE s1 from @ms; EXECUTE s1; deallocate prepare s1; end; 您可能感兴趣的文章:mysql 存储过程中变量的定义与赋值操作mysql存储过程详解mysq
MySQL prepare语句SQL语法
01-19
/*执行处理语句*/ {DEALLOCATE | DROP} PREPARE statement_name /*删除定义*/ ; PREPARE语句用于备一个语句,并指定名称statement_name,以后引用该语句语句名称对大小写不敏感。preparable_stmt可以是一个...
MySQL处理语句prepare、execute与deallocate的使用教程
01-21
MySQL官方将prepare、execute、deallocate统称为PREPARE STATEMENT,我习惯称其为【处理语句】,其用法十分简单,下面话不多说,来一起看看详细的介绍吧。 示例代码 PREPARE stmt_name FROM preparable_stmt ...
PreparedStatement 编译
MoveFlower的博客
04-18 1122
什么是编译语句编译语句PreparedStatement是java.sql中的一个接口,它是Statement的子接口。通过Statement对象执行sql语句时,需要将sql语句发送给DBMS,由DBMS首先进行编译执行(在创建通道的时候并不进行sql编译工作,事实上也无法进行编译)。而通过PreparedStatement不同,在创建PreparedStatement对象时就指定...
编译PrepareStatement
feimeng4s的博客
07-24 790
2020.7.24、(1)PreparedStatement的学习JDBC的标准使用、(2)JDBC事务管理(1)PreparedStatement的学习JDBC的标准使用昨天学习的登录程序竟然出问题了,输入别的密码竟然能登录(2)JDBC事务管理 (1)PreparedStatement的学习JDBC的标准使用 昨天学习的登录程序竟然出问题了,输入别的密码竟然能登录 请输入用户名: dfgdf 请输入密码: a’ or ‘a’ ='a 登录成功 就是上面这个 原来这是因为查询语句的问题 原来的查询语句是这
用java PreparedStatement就不用担心sql注入了吗?
weixin_33757911的博客
09-15 1204
     先感慨下,好久没写博客了,一是工作太忙,二是身体不太给力,好在终于查清病因了,趁着今天闲下来,迫不及待与读者交流,最后忠告一句:身体是活着的本钱!      言归正传,对java有了解的同学基本上都体验过JDBC,基本都了解PreparedStatement,PreparedStatement相比Statement基本解决了SQL注入问题,而且效率也有一定提升。      关于Pre...
使用PreparedStatement执行sql语句
QQ1012421396的博客
03-18 6946
使用PreparedStatement执行sql语句 package com.cn.preparedStatement;import java.sql.Connection;import java.sql.PreparedStatement;import java.sql.ResultSet;import org.junit.Test;import com.cn.Util.JdbcUtil;
JDBC Statement与PreparedStatement比较(学习笔记)
weixin_45732235的博客
12-08 175
和 Statement一样,PreparedStatement也是用来执行sql语句的。 与创建Statement不同的是,需要根据sql语句创建PreparedStatement。 除此之外,还能够通过设置参数,指定相应的值,而不是Statement那样使用字符串拼接。 注: 这是JAVA里唯二的基1的地方,另一个是查询语句中的ResultSet也是基1的。 String sql = "insert into hero values(null,?,?,?)"; // 根据sql语句创建Prepar
SQL语句工具类对象PreparStament的实例
fighting_xuan的博客
05-18 507
PreparStament 简介 通过上面的例子发现,statement存在以下问题 sql注入的问题 动态sql拼接太过麻烦 为了解决上述问题,那么我们可以采用一个新的执行SQL语句工具类对象PreparStament,有以下好处: 提供了编译功能,避免了SQL注入问题 能够使用动态sql,不需要用户手动拼接动态sql 创建PreparStatement,并执行DML语句 @Test public void preInsertData() throws Exception { Co
Javaweb学习笔记之JDBC(一):使用 Statement 执行 静态sql 语句
秋忆夏伤的博客
07-08 937
package com.demo.jdbc; import org.junit.Test; import java.sql.*; /** jdbc:使用 java 代码发送 sql 语句的技术,叫做 jdbc 技术; jdbc 核心接口 API: Driver 接口:表示 java 驱动程序接口,所有数据库厂商都需要来实现此接口; connect(url, pro...
prepareStatement(String sql,int autoGeneratedKeys)方法的使用
02-28 4908
这个方法里的autoGeneratedKeys有两种取值:Statement.RETURN_GENERATED_KEYS /Statement.NO_GENERATED_KEYS第一个的意思是与数据库的主键值绑定,在使用的时候可以取出来,这一点后面的例子会介绍;第二个是没有与数据库生成的主键值绑定的。例子如下:Connection conn=DB.getConnection();/
PreparedStatement编译SQL
Rex的博客
10-11 222
PreparedStatement编译SQL PreparedStatement PreparedStatement 编译Statement是Statement的子接口 PreparedStatement 对SQL进行参数化,SQL注入攻击 PreparedStatement 比Statement执行效率高 用Statement语句的代码 //存在SQL注入风险 //dname值为' or 1 = 1 or 1 = '时,所有筛选条件均失效 //SQL:select * from employe
Java怎么使用编译分别执行不同的sql语句
最新发布
06-08
2. 使用Connection对象prepareStatement方法创建一个PreparedStatement对象,该对象表示编译SQL语句。 3. 使用PreparedStatement对象的set方法,设置占位符对应的参数值。 4. 执行SQL语句使用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值