SQL语句(statement)预处理(preparedStatement)

最新推荐文章于 2024-05-27 20:01:33 发布
最新推荐文章于 2024-05-27 20:01:33 发布
阅读量2.9k 收藏 3
点赞数
分类专栏: javaweb 文章标签: SQL预处理 java web mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/oneSeekers/article/details/52859226
版权

javaweb中sql语句的预处理

 
预处理也叫预编译。本来sql每执行一条sql语句,就需要对这条sql语句进行编译,然后执行。预编译采用sql模版。只需要在第一次使用时编译一次。后面传参数调用就可以了。
 
说明一下 PreparedStatement 是Statement的子接口

预处理代码如下:

try{
		<span style="white-space:pre">	</span>Connection con = DriverManager.getConnection(props.getProperty("url"),props.getProperty("username"),props.getProperty("password"));
		<span style="white-space:pre">	</span>String sql = "insert into batch values(?,?,?)";
		
		<span style="white-space:pre">	</span>PreparedStatement pstmt = con.prepareStatement(sql);
			pstmt.setInt(1, 1);
			pstmt.setString(2, "fly");
			pstmt.setString(3, "女");
		<span style="white-space:pre">	</span>pstmt.executeUpdate();
		}catch(Exception e ){
			throw new RuntimeException(e);
		}

这里获取Connection对象的方法是通过将数据库参数写在一个dbconfig.properties配置文件中,在程序中加载配置文件来获取的。如何将mysql参数写在配置文件并在程序中获取到?步骤如下:
1.首先new file 取名为***.properties
2.在properties视图里面点击右上角的add一次添加四大参数。
 
3.程序中读取配置信息。
3.1 实例化一个properties。  Properties props = new Properties();
3.2通过类加载器,将类路径下的配置文件夹在进来。
InputStream in = 类名.class.getClassLoader().getResourceAsStream("*.properties");
3.3通过properties的load方法加载配置信息。
props.load(in);
 
这样,配置文件里面的内容就到了Properties对象中了。获取方式:
String  driverClassName =  props.getProperty("driverClassName");


预处理的优点:

1.可以方式SQL攻击。
2.提高代码的可读性和可维护性。
3.提高代码效率。
 

实现sql语句预处理的流程如下:

1.获得Connection数据库连接对象。
2.创建一个sql模版。例如:String sql = insert into user  values(?,?,?);
3.得到预处理对象. PreparedStatement pstmt = con.prepareStatement(sql);
4.给sql模版中的问号赋值(这里的赋值需要注意,不能多赋不能少赋)。  例如: stmt.setString(1,"张三");  第一个参数1表示给第一个问号赋值。
5.执行sql模版 pstmt.executeUpdate(). / pstmt.executeQuery().
如果有结果集,就正常对结果集进行解析。
这样就实现了sql的语句预处理。
需要注意的是,从mysql4.0之后,mysql的预处理默认是关闭的,需要在url参数后面添加参数进行开启,参数如下:?useServerPrepStmts=true&cachePrepStmts=true
 
 

如果你觉得这篇内容对你还蛮有帮助,我想邀请你帮我三个小忙:

  1. 点赞,转发,有你们的 『点赞和评论』,才是我创造的动力。

  2. 关注公众号 『逆行的碎石机』,不定期分享原创知识。

  3. 同时可以期待后续文章ing🚀

Pirate@f
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JDBC中使用PreparedStatement执行SQL语句并管理结果集
机械键盘侠博客
10-31 2747
基本说明 1、使用PreparedStatement在对反复操作多条结构相似的SQL语句时效率更高,并且可以使用参数替代变量,可以防止SQL注入。 2、PreparedStatement也提供了 execute() 、 executeUpdate() 、 executeQuery() 三个方法来执行crud操作,这三个方法无需传递参数,因为PreparedStatsments已经存储了...
Java中JDBC的PreparedStatement用法
热门推荐
午-夜
07-17 6万+
PreparedStatement l  它是Statement接口的子接口; l  强大之处: Ø  防SQL攻击; Ø  提高代码的可读性、可维护性; Ø  提高效率! l  学习PreparedStatement的用法: Ø  如何得到PreparedStatement对象: ¨      给出SQL模板! ¨      调用Connection的PreparedState
statement接口 预处理PreparedStatement
weixin_46055386的博客
07-22 275
statement 操作数据库创建接口对象 create sequence 序列 executeUpdate(sql);//增删改操作 eg 1.创建一个数据库member字段为mid,name,age,birthday,note 2. public class Test1 { //插入 public static final String DB_DRIVER = "oracle.jdbc.driver.OracleDriver"; public static final String DB_URL
SQL预处理语句
最新发布
h1008685的博客
05-27 389
定义了一个SQLINSERT语句,目的是将数据插入到login.login_tables表中使用prepare()方法准备SQL语句,使其准备好接受参数。bind_param("si", $name, $passwd);方法绑定了两个参数调用execute()方法执行预处理语句。通过var_dump($end);打印execute()方法的返回值,以验证插入操作是否成功。最后,函数尝试关闭预处理语句和数据库连接
JDBC之——PreparedStatement实现对数据库的增删改操作
weixin_39941298的博客
07-18 5268
一、PreparedStatement接口引入 PreparedStatementStatement的子接口,属于预处理操作,与直接使用Statement不同的是,PreparedStatement在操作时,是现在数据表中准备好了一条SQL语句,但是此SQL语句的具体内容暂时不设置,二十之后再进行设置。 (以后开发一部用PreparedStatement,不用Statement) 二、使用...
SQL编译
LuM523的博客
04-23 1016
1.数据库编译起源 (1)数据库SQL语句编译特性: 数据库接受到sql语句之后,需要词法和语义解析,优化sql语句,制定执行计划。这需要花费一些时间。但是很多情况,我们的一条sql语句可能会反复执行,或者每次执行的时候只有个别的值不同(比如query的where子句值不同,update的set子句值不同,insert的values值不同)。 (2)减少编译的方法 如果每次都需要经过上面的词法语...
java检查sql语法是否正确
03-27
首先,JDBC API提供了一个`Statement`对象的`executeQuery()`或`executeUpdate()`方法,这些方法在执行SQL语句之前会尝试进行编译。如果SQL语法有误,这些方法会抛出`SQLException`。例如: ```java Connection ...
简单了解Mybatis如何实现SQL防注入
08-25
这是因为#使用了PreparedStatement来进行预处理,然后通过set的方式对占位符进行设置,而$则是通过Statement直接进行查询,当有参数时直接拼接进行查询。 使用#防止SQL注入 在Mybatis中,我们可以使用#来防止SQL...
Struts2+SQL Server实现登录
09-07
Java代码中,我们先加载数据库驱动,然后创建连接,再通过Statement或PreparedStatement对象执行SQL查询。例如,我们可以编写一个查询语句,检查输入的用户名是否存在并且密码是否匹配。 ```java String sql = ...
JSP写的转换Excel到SQL
09-27
5. **执行SQL语句**:通过`Statement`或`PreparedStatement`对象执行SQL,将数据插入或更新到数据库中。`PreparedStatement`更安全,因为它能防止SQL注入攻击。 6. **事务管理**:为了保证数据的一致性,可以使用...
mysql++-1.7.27.tar.gz_C MYSQL_C++ sql_MYSQL_c++ mysql_mysql c++
09-21
7. **批处理操作**:你可以通过`sql::PreparedStatement`执行批处理,一次发送多个SQL语句,提高性能。 8. **元数据查询**:提供函数来获取表结构、列信息、索引详情等数据库元数据,方便你在运行时动态构建查询。 ...
使用PrepareStatement接口编译SQL语句,防止SQL注入攻击
HollowKnight的博客
04-19 1342
package com.usc.demo; import java.sql.Connection; import java.sql.DriverManager; import java.sql.PreparedStatement; import java.sql.ResultSet; import java.sql.Statement; import java.util.Scanner; /* ...
Statement和PreparedStatementSQL注入问题)
while(true){ study }
07-14 803
用于执行静态SQL语句并返回其生成的结果的对象。也就是说它是帮我们执行SQL语句,并且返回一个结果,就是干这个事情。我们在连接建立以后,需要对数据库进行访问,执行命令或者是SQL语句,可以通过StatementStatement是最先前出现的一种,后面发现Statement有些问题,就出现了PreparedStatement,这叫做预处理Statement存在SQL注入问题。CallableStatement可以用来调存储过程。...
PreparedStatementStatement 的使用
快意人生
06-30 669
本文分两部分,一部分是实战,一部分是理论。   1.理论   java.sql.Connection类,利用“Statement stmt=con.createStatement();”可以创建用于执行 sql语句statement对象。   java.sql.PreparedStatement类,利用” PreparedStatement pstmt=con.prepareStatem
Java.sql的接口PreparedStatement使用
青青青的博客
05-09 3万+
自学java,学到数据库这一节了,涉及到JDBC开发,对于PreparedStatement的使用有一点不理解,在查看了一些大牛的文章,自己也尝试着把自己理解的内容写一下,就当给自己做个备注吧,有错误的还请指正,谢谢。谈到PreparedStatement的使用,就得先了解以下它和Statement得区别和联系。查看JDK API不难得知,PreparedStatement接口是继承自Statem...
PreparedStatement 模拟并解决sql注入
cgj-horizons
08-01 406
1在获取PrepareStatement对象时,将sql语句发送给mysql服务器,进行检查,编译(这些步骤很耗时)sql注入通过操作输入事先定义好的sql语句,用以达到执行代码达到对服务器进行攻击的方法。PrepareStatement对象setXXX(参数1,参数2)给?通过Connection对象获取,并传入对象的sql语句。如setInt(参数1,参数2)3如果sql模板一样,则只需进行一次检查,,编译。编译sql语句执行sql注入问题。Sql语句中的参数,使用?...
PreparedStatement 用问号传参引发查询(SQLServer )数据慢的解决方案
weixin_34029680的博客
04-03 931
2019独角兽企业重金招聘Python工程师标准>>> ...
mysql的中in的参数怎么预处理_mysql sql预处理之总结
weixin_36481714的博客
01-25 436
根据自己有限的java数据库编程的经验,对sql预处理可以提高执行的效率,所以对mysql的c API做了些探索。从好坏两方面来总结mysql提供的这些接口:好处是,他提供的是一种buffer的机制,我对它做了优化,就是为所有的参数buffer数据创建了一个大的静态的或者全局缓冲区,这样每次改变buffer内容的时候只需要对相应的字段赋值即可,不需要每次重新设置buffer指向的内存,因为这块内...
JDBC技术(二)——设置通用的sql和配置文件
weixin_45974176的博客
08-08 390
封装通用sql,设置配置文件
java PreparedStatement 预处理语句
08-27
关于 Java 中的 PreparedStatement 预处理语句,我可以给你一些基本的介绍。 PreparedStatement 是一种编译的 SQL 语句,它允许我们在执行查询之前先将参数传递给 SQL 语句。这样做的好处是可以提高数据库的性能...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值