Java JDBC入门之六:preparedStatement

最新推荐文章于 2023-10-03 23:29:28 发布
最新推荐文章于 2023-10-03 23:29:28 发布
阅读量456 收藏 3
点赞数
分类专栏: JDBC 文章标签: JDBC PreparedStatement
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34626097/article/details/88047005
版权

Java JDBC入门之五:preparedStatement

1. PrepareStatement

  1. why?
    ①. 使用Statement 需要进行拼写SQL 语句. 很辛苦,而且很容易出错.
   String sql = "INSERT INTO examstudent VALUES(" 
    		+ student.getFlowId() 
    		+ "," 
    		+ student.getType()
    		+ ",'" 
    		+ student.getIdCard()
    		+ "','" 
    		+ student.getExamCard() 
    		+ "','" 
    		+ student.getStudentName() 
    		+ "','"
    		+ student.getLocation() 
    		+ "'," 
    		+ student.getGrade() 
    		+ ");";

②. 可以有效的禁止SQL注入.

SQL 注入是利用某些系统没有对用户输入的数据进行充分的检查,而在用户输入数据中注入非法的 SQL 语句段或命令,从而利用系统的 SQL 引擎完成恶意行为的做法

对于 Java 而言,要防范 SQL 注入,只要用 PreparedStatement 取代 Statement 就可以了

③ 可以尽可能提高效率。

注意:PreparedStatement: 是Statement 的子接口,可以传入带占位符的SQL 语句.
并且提供了补充占位符变量的方法。它表示一条预编译过的 SQL 语句。

1.1 PreparedStatement vs Statement 的对比
  1. 代码的可读性和可维护性.
  2. PreparedStatement 能最大可能提高性能:
    1. DBServer会对预编译语句提供性能优化。因为预编译语句有可能被重复调用,所以语句在被DBServer的编译器编译后的执行代码被缓存下来,那么下次调用时只要是相同的预编译语句就不需要编译,只要将参数直接传入编译过的语句执行代码中就会得到执行。
    2. 在statement语句中,即使是相同操作但因为数据内容不一样,所以整个语句本身不能匹配,没有缓存语句的意义.事实是没有数据库会对普通语句编译后的执行代码缓存.这样每执行一次都要对传入的语句编译一次.
    3. (语法检查,语义检查,翻译成二进制命令,缓存)
  3. PreparedStatement 可以防止 SQL 注入

2. 使用PreparedStatement的步骤

①. 创建PreparedStatement:
String sql = “INSERT INTO examstudent VALUES(?,?,?,?,?,?,?)”;
PreparedStatement ps = conn.preparedStatement(sql);

②. 调用PreparedStatement 的setXxx(int index, Object val)方法 ,设置占位符的值
index 值从1开始,第一个参数是要设置的 SQL 语句中的参数的索引(从 1 开始),第二个是设置的 SQL 语句中的参数的值

③. 执行 SQL 语句: executeQuery() 或 executeUpdate(). 注意:执行时不再需要
传入SQL 语句.

3.注入实例和防注入实例

/**
	 * 使用PreparedStatement 将有效解决 SQL注入的问题
	 */
	@Test
	public void testSQLInjection2() {
		String username = "Tom' OR PASSWORD = ";
		String password = "OR '1'='1";
		String sql = "SELECT * FROM users WHERE username = ?"
				+ " AND password = ?";
		System.out.println(sql);
		
		Connection connection = null;
		PreparedStatement preparedStatement = null;
		ResultSet resultSet = null;
		
		try {
			
			connection = JDBCTools.getConnection();
			preparedStatement = connection.prepareStatement(sql);
			preparedStatement.setString(1, username);
			preparedStatement.setString(2, password);
			resultSet = preparedStatement.executeQuery();
			
			if (resultSet.next()) {
				System.out.println("登录成功!");
			}else {
				System.out.println("登录失败");
			}
		} catch (Exception e) {
			e.printStackTrace();
		}finally {
			JDBCTools.releaseDB(resultSet, preparedStatement, connection);
		}
	}
	
	/**
	 * SQL 注入的问题
	 */
	@Test
	public void testSQLInjection() {
		String username = "Tom' OR PASSWORD = ";
		String password = "OR '1'='1";
		String sql = "SELECT * FROM users WHERE username = '" + username + "'"
				+ " AND "+
				" password = '" + password + " ' ";
		System.out.println(sql);
		
		Connection connection = null;
		Statement statement = null;
		ResultSet resultSet = null;
		
		try {
			
			connection = JDBCTools.getConnection();
			statement = connection.createStatement();
			resultSet = statement.executeQuery(sql);
			
			if (resultSet.next()) {
				System.out.println("登录成功!");
			}else {
				System.out.println("登录失败");
			}
		} catch (Exception e) {
			e.printStackTrace();
		}finally {
			JDBCTools.releaseDB(resultSet, statement, connection);
		}
	}

4.PreparedStatement的代码实现 和 加强的工具类方法

@Test
	public void testPreparedStatement() {
		Connection connection = null;
		PreparedStatement preparedStatement = null;
		
		try {
			connection = JDBCTools.getConnection();
			String sql = "INSERT INTO customers(name,email,birth) "+
			"VALUES(?,?,?)";
			preparedStatement = connection.prepareStatement(sql);
			preparedStatement.setString(1, "小红");
			preparedStatement.setString(2, "123@qq.com");
			preparedStatement.setDate(3, new Date(new java.util.Date().getTime()));
			preparedStatement.executeUpdate();
		} catch (Exception e) {
			e.printStackTrace();
		}finally {
			JDBCTools.releaseDB(null, preparedStatement, connection);
		}
	}

工具类方法

/**
	 * 执行SQL语句,使用PrepareStatement
	 * @param sql
	 * @param args : 填写占位符的可变参数
	 */
	public static void update(String sql,Object ... args) {
		Connection connection = null;
		PreparedStatement preparedStatement = null;
		
		try {
			connection = JDBCTools.getConnection();
			preparedStatement = connection.prepareStatement(sql);
			
			for (int i = 0; i < args.length; i++) {
				preparedStatement.setObject(i+1, args[i]);
			}
			preparedStatement.executeUpdate();
		} catch (Exception e) {
			e.printStackTrace();
		}finally {
			JDBCTools.releaseDB(null, preparedStatement, connection);
		}
	}
不等风雨,只等你
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
javajdbc技术_详解Java连接数据库JDBC技术中的prepareStatement
weixin_30002151的博客
02-28 736
详解Java连接数据库JDBC技术中的prepareStatement发布时间:2020-07-18 09:14:24来源:亿速云阅读:107作者:小猪这篇文章主要是详解Java连接数据库JDBC技术中的prepareStatement,内容清晰明了,对此有兴趣的小伙伴可以学习一下,相信大家阅读完之后会有帮助。一、prepareStatement 的用法和解释1.PreparedStatement...
JavaJDBC的PreparedStatement用法
热门推荐
午-夜
07-17 6万+
PreparedStatement l  它是Statement接口的子接口; l  强大之处: Ø  防SQL攻击; Ø  提高代码的可读性、可维护性; Ø  提高效率! l  学习PreparedStatement的用法: Ø  如何得到PreparedStatement对象: ¨      给出SQL模板! ¨      调用Connection的PreparedState
Java JDBC 之 PreparedStatement
AnyingVirusKing的博客
08-12 631
我来介绍一下 Java JDBC 之 PreparedStatementPreparedStatement 是一种比 Statement 更加安全的数据库操作接口
Java JDBC数据库 之 PreparedStatement
verejava的博客
06-09 175
http://www.verejava.com/?id=16998433130739下载 Oracle 或者 Mysql Jar 驱动 mysql-connector-java-3.0.10-stable-bin.jar ojdbc14.jar package com.prepared.jdbc.test; import java.sql.Connection; import java...
Java 进阶篇】JDBC PreparedStatement 详解
最新发布
繁依Fanyi的博客
10-03 2026
JDBC 中的一个接口,用于执行预编译的 SQL 语句。与普通的Statement不同,的 SQL 语句在执行之前已经经过编译,因此更高效且安全,同时可以防止 SQL 注入攻击。通常用于执行多次相似的 SQL 查询或更新,只需编译一次,多次执行。是 JDBC 中用于执行预编译 SQL 语句的重要接口,它具有高效性、安全性和可维护性的优势。在实际应用中,使用能够有效地防止 SQL 注入攻击,并提高数据库操作的性能。通过本文的介绍,您应该对的基本概念和使用方法有了更清晰的理解。
Java JDBC入门之十一 : JDBC处理 Blob(图片和大文本)
码农回顾
03-08 1089
文章目录一、LOB 简介1. Oracle LOB2. MySQL LOB二、使用JDBC来写入Blob型数据到数据库中1. 用JDBC来写入Blob型数据到Oracle中2. 步骤3. 用JDBC来写入Blob型数据到MySQL中和读取 一、LOB 简介 1. Oracle LOB LOB,即Large Objects(大对象),是用来存储大量的二进制和文本数据的一种数据类型(一个LOB字段可...
Java JDBC入门之八 : DAO设计模式重构查询方法 AND 使用BeanUtils工具类操作JavaBean
码农回顾
03-06 282
Java JDBC入门之七 : DAO设计模式重构查询方法 AND 使用BeanUtils工具类操作JavaBean1. DAO 设计思想 Data Access Object2. Java 类的属性:3.Demo 1. DAO 设计思想 Data Access Object 为什么要存在这样的思想? 实现功能的模块化. 更有利于代码的维护和升级. DAO 可以被子类继承或直接使用 DAO...
JDBC入门七:SQL注入攻击:SQL注入攻击的解决策略:PreparedStatement预编译SQL;
小枯林的博客
04-11 582
的粉红色倒海翻江 1.PreparedStatemen简介 PreparedStatement:预编译Statement,其目的是解决SQL注入攻击的问题。 PreparedStatement: (1)PreparedStatement本质也是一个接口,只是其继承自Statement接口;专用于对SQL语句进行预处理以后再去执行; (2)在实际工作中,推荐使用PreparedStatement; 2.PreparedStatement和Sta...
Java_JDBC.rar_JDBC入门
09-24
在这个“Java_JDBC.rar_JDBC入门”的资源包中,我们主要会探讨以下几个关键知识点: 1. **JDBC API概述**:JDBCJava平台上的一个核心部分,由Java.sql包中的类和接口组成。主要接口包括Connection(数据库连接)...
Java JDBC简单入门之枚举(Enum)、泛型、反射、JDBC整合
01-13
Java JDBCJava Database Connectivity)是Java编程语言与各种数据库交互的一种标准接口,它允许Java开发者在应用程序中执行SQL语句,实现对数据库的增删改查操作。本篇将介绍如何在Java中使用枚举(Enum)、泛型、...
java JDBC PreparedStatement
山不见我,我自见山
08-15 161
String sql = "insert into sort(sid,sname) values(?,?)";; PreparedStatement预处理对象代码: PreparedStatement psmt = conn.prepareStatement(sql) int executeUpdate(); --执行insert、update、delete语句. ResultSet ...
java : jdbc PreparedStatement
belldeep的专栏
10-31 475
java jdbc PreparedStatement 示例 Query1.java
JavaJDBC的PreparedStatement
heiqibaier的博客
07-05 504
 它是Statement接口的子接口;1 强大之处:防SQL攻击; 提高代码的可读性、可维护性; 提高效率!2.PreparedStatement的用法: 如何得到PreparedStatement对象:  给出SQL模板!   调用Connection的PreparedStatement prepareStatement(String sql模板); 调用pstmt的setXxx()系列方法sq...
Java jdbc_PreparedStatement
等,一起的博客
03-22 132
PreparedStatement使用 先写SQL语句,SQL语句中的参数不能直接拼接,而是使用 ? 占位 使用ps预处理SQL语句,处理的?号,ps内部就会知道此SQL语句需要几个参数 再动态给?处填充值
JDBC入门(3)--- PrepareStatement
weixin_30666401的博客
10-06 210
一、PrepareStatement概述   PrepareStatementStatement接口的子接口; 1、强大之处: 防SQL攻击; 提高代码的可读性; 提高效率; 2、PrepareStatement的用法: 如何得到PrepareStatement对象 给出SQL模板。 调用Connection的PreparedStatem...
JavaJDBC(三)PreparedStatement
m0_57309917的博客
08-13 393
JDBC的PrepareStatement预处理语句的使用
JAVAJDBC】【使用PreparedStatement操作数据库】
芊樱烛渊的博客
08-07 4840
这里我们是先连接到了我们上述的数据表,然后将数据表中的user和password的内容独取出来,然后编成sql语句,交给我们的mysql,并且如果查询失败就返回用户名不存在或者密码错误,如果查询成功就返回登陆成功。针对于不同的表我们想要获取到的查询数据的结构一定是不同的,所以我们需要在查询的时候将我们查询的结构传入,然后利用反射机制构造出对应的对象,然后将对应的对象返回。原来我们想表达的是 xx and xx是一个并且的关系,也就是我们的use和password同时正确的时候才返回结果。...
java之preparestatement详细介绍
05-09 1万+
传送给数据库的 SQL 语句通过一个包含两个步骤的过程来返回结果。首先准备它们,然后处理它们。借助 Statement 对象,这两个阶段对应用程序而言变成一个阶段。PreparedStatement 允许将这两个步骤分开。准备步骤在创建对象时发生,而处理步骤在对 PreparedStatement 对象调用 executeQuery、executeUpdate 或 execute 方法时发生。
JDBC连接数据库及PreparedStatement详解
weixin_33901641的博客
09-02 188
直接上代码packagejdbc; importjava.sql.Connection; importjava.sql.DriverManager; importjava.sql.PreparedStatement; importjava.sql.ResultSet; publicclassMyTest{ publicstaticvoidmai...
Java JDBC入门基础讲座:连接数据库的接口API
"Java数据库接口JDBC入门基础讲座" Java数据库接口JDBCJava Database Connectivity)是Sun Microsystems(现已被Oracle公司收购)为Java开发者提供的一套标准的API,用于在Java应用程序中与各种关系数据库进行...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值