Java-PreparedStatement对象

最新推荐文章于 2023-10-03 23:29:28 发布
最新推荐文章于 2023-10-03 23:29:28 发布
阅读量384 收藏
点赞数
分类专栏: java 深入理解MySQL 文章标签: java sql 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_25046827/article/details/120896110
版权
本文介绍了Java中的PreparedStatement对象,它通过预编译SQL语句和使用占位符防止SQL注入,增强了数据库操作的安全性。内容包括PreparedStatement与Statement的区别、使用方法、注意事项及示例代码,展示了如何安全地插入、更新和查询数据。
摘要由CSDN通过智能技术生成

Java-PreparedStatement对象

与Statement对象的区别

引入PreparedStatement对象是因为使用Statement对象容易被SQL注入,而PreparedStatement对象采用了预编译的方法,会对传入的参数进行强制类型检查和安全检查,进而避免了SQL注入的产生,使得操作更加安全(具体见博客内的文章SQL注入简介

操作方法

  1. 编写SQL语句

    String sql = "select * from users where id = ?";

    String sql = "insert into users(id,name,password,email,birthday) values(?,?,?,?,?)"

    String sql = "updateaccountset money = money - ? whereid= ?";

  2. 预编译

    st = conn.prepareStatement();

  3. 传递参数

    st.setInt(1,2);

  4. 执行

    rs = st.executeQuery();

使用方法的区别

  • SQL语句中使用?占位符代替参数
  • 创建对象的方法不同
    • conn.createStatement();
    • conn.prepareStatement(sql);
  • PrepareStatement中使用预编译SQL,先写sql,然后不执行
  • 传递参数方法中第一个参数表示第几个占位符,第二个参数则为该占位符的要传递的值

注意事项

占位符不能代替字段名

示例

package com.test;

import com.test.second.JdbcUtils;

import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.util.Date;

public class PrepareTest {

    public static void main(String[] args) {

        Connection conn = null;
        PreparedStatement st = null;
        ResultSet rs = null;

        try {
            conn = JdbcUtils.getConnection();

            String sql = "insert into users(id,`name`,`password`,`email`,`birthday`) values(?,?,?,?,?)";
            st = conn.prepareStatement(sql);

            st.setInt(1,1);
            st.setString(2,"cyh");
            st.setString(3,"123456");
            st.setString(4,"1294967895@qq.com");
            // 注意点:sql.Date是数据库中使用的时间,java,sql.Date()
            //       util.Date是java中使用的时间,new Date().getTime()获得当前时间戳
            st.setDate(5,new java.sql.Date(new Date().getTime()));

            // i返回操作数据数
            int i = st.executeUpdate();
            if(i>0){
                System.out.println("插入成功");
            }
        } catch (SQLException e) {
            e.printStackTrace();
        } finally {
            JdbcUtils.release(conn,st,rs);
        }
    }
}
得过且过的勇者y
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Java PreparedStatement
从零开始的教程世界
07-13 1693
Java PreparedStatement is just like a Statement and it’s part of the Java JDBC Framework. Java PreparedStatement就像一个Statement,它是Java JDBC Framework的一部分。 It is used to perform crud operations with Data...
JavaWeb JDBC—PreparedStatement对象
来自师范的学渣
10-21 891
PreparedStatement对象可以对SQL语句进行预编译,预编译的信息会存储在PraparedStatement对象中。当相同的sql语句再次执行时,程序就会使用preparedstatement对象中的语句, 在web-chapter09项目中cn.itheima.jdbc包中创建一个名为Example02的的类,在该类中使用PreparedStatement对象对数据库进行插入数据的...
java中PreparedStatementStatement详细讲解
08-25
主要介绍了java中PreparedStatementStatement详细讲解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
java preparedStatement
weixin_33686714的博客
11-22 53
使用PreparedStatement时 会先将sql 语句预处理一下并存放于内存中,占位符区域 只会当成参数,不会成为sql的一部分。而使用statement时候,由于要先构造好sql(参数已包含),然后一直执行,所以如果传的参数里面带有sql指令,同样可以被执行...
Java数据库连接——PreparedStatement的使用
anjiukonghe77852的博客
08-14 463
首先了解Statement和PreparedStatement的区别: 由此可见,一般使用PreparedStatement。 操作数据库SU(Course表),其中Course属性有Cno,Cname,Cpno,Ccredit。 1 public class Demo_2 { 2 3 public static void main(String[] a...
mysql-connector-java-8.0.21.jar
最新发布
01-05
3. **操作数据库**:通过`Connection`对象,可以创建`Statement`或`PreparedStatement`对象来执行SQL语句,以及`ResultSet`对象来处理查询结果。 4. **关闭资源**:使用完毕后,记得关闭`ResultSet`、`Statement`和...
mysql-connector-java-8.0.24.jar
12-18
4. **执行SQL语句**:通过`Statement`或`PreparedStatement`对象来执行SQL。`PreparedStatement`更安全,可以防止SQL注入。 5. **事务处理**:支持ACID(原子性、一致性、隔离性和持久性)事务,通过`Connection`...
详解Java的JDBC中Statement与PreparedStatement对象
09-03
创建PreparedStatement对象的例子如下: ```java PreparedStatement pstmt = null; try { String SQL = "Update Employees SET age = ? WHERE id = ?"; pstmt = conn.prepareStatement(SQL); // ... }catch ...
mysql-connector-java-8.0.15
05-17
4. 执行SQL语句:创建Statement或PreparedStatement对象来执行SQL查询。Statement适用于简单的SQL,而PreparedStatement对于预编译的SQL和参数化查询更高效,能防止SQL注入。 5. 处理结果集:执行查询后,ResultSet...
mysql-connector-java-5.1.47.jar
12-14
2. 执行SQL语句:使用`java.sql.Statement`或`java.sql.PreparedStatement`对象来执行SELECT、INSERT、UPDATE、DELETE等SQL命令。 3. 处理结果集:通过`java.sql.ResultSet`对象遍历查询结果,提取所需数据。 4. ...
java的PreparedStatement
qq_23569917的博客
07-19 236
java之preparestatement详细介绍
热门推荐
05-09 1万+
传送给数据库的 SQL 语句通过一个包含两个步骤的过程来返回结果。首先准备它们,然后处理它们。借助 Statement 对象,这两个阶段对应用程序而言变成一个阶段。PreparedStatement 允许将这两个步骤分开。准备步骤在创建对象时发生,而处理步骤在对 PreparedStatement 对象调用 executeQuery、executeUpdate 或 execute 方法时发生。
Java 进阶篇】JDBC PreparedStatement 详解
繁依Fanyi的博客
10-03 1977
是 JDBC 中的一个接口,用于执行预编译的 SQL 语句。与普通的Statement不同,的 SQL 语句在执行之前已经经过编译,因此更高效且安全,同时可以防止 SQL 注入攻击。通常用于执行多次相似的 SQL 查询或更新,只需编译一次,多次执行。是 JDBC 中用于执行预编译 SQL 语句的重要接口,它具有高效性、安全性和可维护性的优势。在实际应用中,使用能够有效地防止 SQL 注入攻击,并提高数据库操作的性能。通过本文的介绍,您应该对的基本概念和使用方法有了更清晰的理解。
Java中JDBC的PreparedStatement
heiqibaier的博客
07-05 501
 它是Statement接口的子接口;1 强大之处:防SQL攻击; 提高代码的可读性、可维护性; 提高效率!2.PreparedStatement的用法: 如何得到PreparedStatement对象:  给出SQL模板!   调用Connection的PreparedStatement prepareStatement(String sql模板); 调用pstmt的setXxx()系列方法sq...
Java PrepareStatement
weixin_30345577的博客
08-25 310
1.PreparedStatement是预编译的,对于批量处理可以大大提高效率. 也叫JDBC存储过程2.使用 Statement 对象。在对数据库只执行一次性存取的时侯,用 Statement 对象进行处理。PreparedStatement 对象的开销比Statement大,对于一次性操作并不会带来额外的好处。3.statement每次执行sql语句,相关数据库都要执行sql语句的编译,pre...
Java PreparedStatement
iteye_14171的博客
09-23 162
该 PreparedStatement接口继承Statement,并与之在两方面有所不同:   PreparedStatement 实例包含已编译的 SQL 语句。这就是使语句“准备好”。包含于 PreparedStatement 对象中的 SQL 语句可具有一个或多个 IN 参数。IN参数的值在 SQL 语句创建时未被指定。相反的,该语句为每个 IN 参数保留一个问号(“?”)作为占位符。每个问...
java PrepareStatement
l2636908832iu的博客
09-01 1497
PrepareStatement Statement 对同一个sql语句charrette不同值 需要重新发送一条sql语句 sql注入 select username,password from emp where username='admin' and password ='123'or 1=1; insert into emp values(?,?,?); 接口 PrepareStatement 表示预编译的 SQL 语句的对象SQL 语句被预编译并存储在 Prepare...
Java中的PreparedStatement接口
Zhonger_MaTT的博客
03-22 2371
PreparedStatement接口继承自Statement接口,用于执行含有或不含有参数的预编译的SQL语句。相对于Statement接口用于执行静态SQL语句,PreparedStatement接口中的SQL语句是预编译的,重复执行的效率会比较高。 PreparedStatement对象用Connection接口中的prepareStatement方法所创建。如: 为SQL
Java JDBC PreparedStatement详解与案例
接着,创建数据库连接并实例化PreparedStatement对象,用以执行带有占位符的SQL查询。 案例中的代码段展示了如何使用PreparedStatement来根据姓名查找学生信息。首先,通过`Connection.prepareStatement()`方法创建...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

得过且过的勇者y

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值