PreparedStatement解决SQL注入、SQL语句批量执行以及如何获取自增主键的值

最新推荐文章于 2024-08-11 03:08:49 发布
最新推荐文章于 2024-08-11 03:08:49 发布
阅读量534 收藏
点赞数
分类专栏: mysql java 文章标签: 数据库 java mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qiansiMIAO/article/details/106436129
版权
本文介绍了PreparedStatement在处理SQL注入、批量执行SQL及获取自增主键方面的优势。使用PreparedStatement能预编译SQL,避免SQL注入,提高代码安全性和执行效率。同时,文章还提及了批量执行SQL的方法及其效率提升,以及如何获取执行插入操作后生成的自增主键值。
摘要由CSDN通过智能技术生成

PreparedStatement的使用

什么是SQL注入?

  • 即本来应该是值的位置,添加进去了SQL语句
    例:——注入的内容:or ‘1’=’1’
    在这里插入图片描述

如何处理?

  • 使用PreparedStatement,将编译期改为预编译
  • 好处:由于创建对象时已经将SQL语句逻辑部分编译完成,所以不会被用户的输入内容所影响
    ,从而解决SQL注入的问题

与statement相比的优势?

——编译时将SQL语句的逻辑锁死
好处:代码结构整洁,不易出错,可以避免SQL注入

什么时候使用?

当SQL语句中有变量时使用PreparedStatement,反之使用Statement
————————————————————————————————————————

package DBCP;

import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.Statement;
import java.util.Scanner;

import org.junit.Test;

public class 模拟登录 {
   
	@Test
	public void create() {
   
		try(Connection connection = DBUtils.getConnection()){
   
			Scanner scanner = new Scanner(System.in);
			System.out.println("输入账号");
			String username = scanner.nextLine();
			System.out.println("输入密码");
			String password = scanner.nextLine();
			/*
			Statement statement = connection.createStatement();
			String sql = "select count(*) from jduser where username='"+username+"' and password='"+password+"' or '1'='1'";
			ResultSet rs = statement.executeQuery(sql);
			*/
			String sql = "select count(*) from jduser where username=? and password=?";
			//预编译的SQL执行对象,创建对象时对SQL语句进行了编译
			/**
			 * 由于创建对象时已经将SQL语句逻辑部分编译完成
			 * 后期不会被用户输入的内容所影响
			 * 从而解决了SQL注入的问题
			 */
			PreparedStatement ps = connection.prepareStatement(sql);
			//setString方法替换掉sql中的?,1代表第一个问号,username代表替换进去的值
			ps.setString(1, username);
			ps.setString(2, password);
			//此时exe
最低0.47元/天 解锁文章
qiansiMIAO
关注
专栏目录
数据库SQLserver java课程 设计-SQL Server代码类资源
06-13
通过JDBC,你可以编写Java程序来执行SQL语句,连接、断开数据库,以及处理查询结果。在实际开发中,会用到Connection、Statement、PreparedStatement和ResultSet等核心接口。 在课程设计中,你将学习如何编写Java类...
mybatis 批量插入后未正常获取批量主键id问题分析
qq_15199097的博客
02-20 2110
内容一: 1.dao中不要出现@param注解,集合变量名请使用list 2.collection对应的请使用list 解释: 当我们传递一个 List 实例或者数组作为参数对象传给 MyBatis。MyBatis 会自动将它包装在一个 Map 中,名称为key。List 实例将会以“list” 作为key 而数组实例将会以“array”作为value。所以,当我们传递的是一个List集合时...
Mybatis 新增/批量新增, 拿到返回的自增主键ID
默默不代表沉默
07-28 2198
Mybatis 新增/批量新增, 拿到返回的自增主键ID
sqoop SQLException in nextKeyValue Java heap space
最新发布
weixin_40795150的博客
08-11 30
我整理的一些关于【SQL】的项目学习资料(附讲解~~)和大家一起分享、学习一下:https://d.51cto.com/yOSbkR使用Sqoop时的SQLException及Java Heap Space问题分析 在大数据处理的过程中,Apache Sqoop是一个常用的工具,用于在Hadoop和关系数据库之间高效地传...
org.springframework.dao.DuplicateKeyException: PreparedStatementCallback; SQL [insert into tab_user(
H_L_Y的博客
04-04 4331
PreparedStatementCallback; SQL [insert into tab_user(username,password,name,birthday,sex,telephone,email,status,code) values(?,?,?,?,?,?,?,?,?)]; Duplicate entry ‘zhangsan’ for key ‘AK_nq_username’; n...
Spring5使用JDBCTemplate批处理添加数据时提示SQL语法有错
weixin_46666263的博客
08-31 962
Spring5使用JDBCTemplate批处理添加数据时提示SQL语法有错 org.springframework.jdbc.BadSqlGrammarException: PreparedStatementCallback; bad SQL grammar ...
java学习笔记:PreparedStatement解决sql注入
黄道婆的专栏
07-29 799
java学习笔记:PreparedStatement解决sql注入 sql注入 ---- sql注入:由于没有对用户输入进行充分检查,而SQL又是拼接而成,在用户输入参数时,在参数中添加一些SQL 关键字,达到改变SQL运行结果的目的,也可以完成恶意攻击。 1_原因: String sql = select * from user where username =' zhangsan' ...
JAVA 开发jsp+sql毕业选题系统(论文)
03-26
在本系统中,JDBC用于建立Java应用程序与SQL数据库之间的连接,执行SQL语句,以及处理结果集。 8. **安全性**:在开发过程中,还需要考虑系统的安全性,如防止SQL注入、XSS攻击等。可以使用预编译的...
JAVA 开发jsp+sql书店(论文)
03-26
6. **JDBC**:Java Database Connectivity,是Java访问数据库的标准API,包括连接数据库执行SQL语句、处理结果集等操作。 7. **安全性和优化**:如防止SQL注入、使用预编译的PreparedStatement、优化数据库查询以...
Database Access with SQL.rar_SQL java_java access database
09-14
6. **PreparedStatement**:预编译的SQL语句,它可以防止SQL注入攻击,提高性能,因为数据库只需要解析一次SQL,而多次执行。 7. **ResultSet**:当执行查询后,结果会返回一个`java.sql.ResultSet`对象。开发者...
数据库SQLserver+java课程设计
12-04
5. JDBC API:JDBC是Java连接数据库的标准接口,提供了与数据库建立连接、执行SQL语句获取结果集等功能的方法。通过Connection对象建立连接,Statement或PreparedStatement对象执行SQL,ResultSet对象处理查询结果...
如何获得PreparedStatement最终执行sql语句
03-24
NULL 博文链接:https://huiminchen.iteye.com/blog/1097332
java oracle 中文长度_关于ORACLE长度的问题
weixin_36246453的博客
02-27 225
该楼层疑似违规已被系统折叠隐藏此楼查看此楼我想问大神的是比如我在plsql里面我对某个列添加10个长度的字符 ,,但是通过servlet操作的时候 添加相同长度的字符就会字符过长,这个地方请问是哪里有卡关?我添加很短的可以但是超过一定长度就不行ORA-01438: 大于为此列指定的允许精度at oracle.jdbc.driver.SQLStateMapping.newSQLException...
JDBC中对PreparedStatement的理解对数据库自动生成的主键获取
Dearan33的博客
10-25 2699
PreparedStatement 接口 public interface PreparedStatementextends Statement 表示预编译的 SQL 语句的对象。 SQL 语句被预编译并存储在 PreparedStatement 对象中。然后可以使用此对象多次高效地执行该语句。(JDK   PI1.6中的说明) 该接口可以对SQL语句进行预编译,可以
数据库数据内容溢出
qq_39659549的博客
06-02 1604
数据库数据内容溢出错误展示问题原因解决方法 错误展示 HTTP Status 500 - PreparedStatementCallback; SQL [insert into tab_user(username,password,name,birthday,sex,telephone,email) VALUES (?,?,?,?,?,?,?)]; Data truncation: Data too long for column ‘sex’ at row 1; 问题原因 500错误来源于编写的服务器代码
[排错]--PreparedStatementCallback(原因之一)
weixin_48984179的博客
11-21 5130
错误描述: 代码: @Override public Boolean registerAdd(User user) { String sql = "insert into tab_user (username,password,name,birthday,sex,telephone,email) values (?,?,?,?,?,?,?)"; int update = jdbcTemplate.update(sql, new BeanPropertyRo.
JdbcTemplate+参数解析+查询操作示例、更新操作示例、批量操作示例、PreparedStatement操作示例
明月安的博客
03-23 4928
JdbcTemplate提供了PreparedStatement操作的API,可以通过PreparedStatementCreator接口创建预编译的SQL语句,然后使用PreparedStatementCallback回调函数实现对数据库的操作。JdbcTemplate是Spring框架中的一个核心模块,用于简化JDBC编程,提供了一种简单的方式来访问数据库执行SQL语句和处理ResultSet结果集。JdbcTemplate提供了批量操作的功能,可以实现批量插入、批量更新和批量删除等多种操作。
spring jdbc添加数据获取自动生成的主键
chunda
01-14 2521
public int createRolesPO(final RolesPO rolesPO) { try { final String sql = "insert into roles(roleName,remark,createTime,updateTime) values(?,?,?,?)"; KeyHolder keyHolder = new GeneratedKeyHol
Spring应用数据主键的生成策略盘点
Marvin
11-01 5752
 今天在使用MySQL时却不知如何处理,插入记录后不知怎样获得刚刚插入的id,查过文档后发现了select last_insert_id(),在插入之后执行此查询,即可获得自增id,喜出望外。可用到自己的程序中之后却得不到想要的结果,于是就怀疑到了Spring头上,因为通过基本JDBC测试是没有任何问题的,所以就去跟踪Spring JDBC, 看过源码之后才豁然开朗,原来Spring中
useGeneratedKeys获取自增主键为1
08-31
您可以使用JDBC的Statement或者PreparedStatement执行插入操作,并且通过设置参数 `Statement.RETURN_GENERATED_KEYS` 来获取自增主键为1。以下是一个示例代码: ```java // 创建连接 Connection connection ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值