JDBC - PrepareStatement(03)

最新推荐文章于 2024-05-29 09:26:50 发布
最新推荐文章于 2024-05-29 09:26:50 发布
阅读量317 收藏
点赞数
文章标签: JDBC
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38206090/article/details/82702518
版权

Statement的问题

    public static void main(String[] args) throws Exception {
        Statement statement = con.createStatement();
        String qid = "160341238 or 1 = 1";
        String sql = "select * from students where id = " + qid;
        ResultSet query = statement.executeQuery(sql);
        while(query.next()){
            String id = query.getString("id");
            String name = query.getString("name");
            String clazz = query.getString("clazz");
            System.out.println(id + "  " + name + "  " + clazz);
        }
        /**Console:
         *      160341238  赵承阳  160341B
                aaa  詹金浩  160341B            */
    }

在上面这段代码中,查询的qid后面添加上了or 1 = 1就可以把表中所有信息都查询出来,因为or 1 = 1这句话是一定为真,而我们刚才使用的Statement又使用的是拼接字符串的方式,在字符串中or会被认为是关键字,所以sql语句的条件永远为真。可以采用PrepareStatement类来解决这个问题。

public static void main(String[] args) throws Exception {
        String sql = "select * from students where id=?";
        PreparedStatement ps = con.prepareStatement(sql);
        /**
         * 从1开始,把字符串填到匹配的?里。关键字也被认为是是字符串
         */
        ps.setString(1, "160341238 or 1 = 1");
        ResultSet query = ps.executeQuery();
        while(query.next()){
            String id = query.getString("id");
            String name = query.getString("name");
            String clazz = query.getString("clazz");
            System.out.println(id + "  " + name + "  " + clazz);
        }
        //无结果
    }
ISJINHAO
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JDBC--PrepareStatement
本人随手记录,内容只是个人看懂程度,对内容有任何疑问请勿打扰
02-03 480
PrepareStatement:执行sql语句 1,sql注入问题:在拼接sql时,有一些sql的特殊关键字参与字符串的拼接,会造成安全问题。 比如: String sql="SELECT * FROM land WHERE NAME='"+name +"'AND PASSWORD='"+password+"'"; 输入用户随便输,输入密码:a’ or ‘a’='a; sql:SELECT *...
JDBC----Statement安全问题与PrepareStatement
mqingo的博客
11-26 980
1. Statement执行 ,其实是拼接sql语句的。  先拼接sql语句,然后在一起执行。          String sql = "select * from user where username='"+ username  +"' and password='"+ password +"'";         UserDao dao = new UserDaoImpl();  ...
jdbc-PrepareStatement+数据库连接池的介绍
秃头青年的学习记录博客
07-05 430
看该条语句:“select * from tb_user where username = '”+name+“’ and password = '”+pwd+“'”; 将我们输入的账号密码写入(账号随意,密码会产生sql注入): password = ’ ‘or’1’='1 ’ ==> password = ’ ‘or’1’=‘1’ ; ‘’ => 假 或 ‘1’=‘1’ 真 所以得到的结果为真,所以就算输入的不是真正的密码,最终也能够实现登录。现在我们使用?(占位符
使用preparedStatement进行删除,然后执行查询语句判断删除是否成功
ikeseo的博客
05-29 601
使用preparedStatement进行删除,然后执行查询语句判断删除是否成功。
JDBC入门(3)--- PrepareStatement
u011927449的博客
11-30 418
一、PrepareStatement概述   PrepareStatementStatement接口的子接口; 1、强大之处: 防SQL攻击; 提高代码的可读性; 提高效率; 2、PrepareSt...
JDBC--PrepareStatement对象-程序
dreamflygril的博客
06-02 584
运行第一个JDBC程序时成功加载到数据内容,但程序还有不足之处,具体改进如下: 1.注册驱动 为了避免数据库驱动被重复注册,只需要在程序加载驱动类即可 Class.forName("com.mysql.jdbc.Driver); 2.释放资源 当数据库资源使用完毕后,一定要释放资源 3.prepareStatement对象 SQL语句的执行时通过Statement对象实现的。S
jdbc--Statement和PreparedStatment以及事务
yun_ld的博客
06-29 2348
1.什么是JDBC   JDBC(Java Data Base Connectivity,java数据库连接)是一种用于执行SQL语句的Java API,可以为多种关系数据库提供统一访问,它由一组用Java语言编写的类和接口组成。JDBC提供了一种基准,据此可以构建更高级的工具和接口,使数据库开发人员能够编写数据库应用程序。 2.数据库驱动   我们安装好数据库之后,我们的应用程序也是不能直...
Java数据JDBC——prepareStatement的用法和解释
热门推荐
nnzhuilian的博客
01-10 14万+
转自:http://blog.csdn.net/QH_JAVA/article/details/48245945 一、prepareStatement 的用法和解释 1.PreparedStatement是预编译的,对于批量处理可以大大提高效率. 也叫JDBC存储过程 2.使用 Statement 对象。在对数据库只执行一次性存取的时侯,用 Statement 对象进行处理。Prepared...
JDBC statement 和 prepareStatement 详解
qszfly的博客
09-06 753
jdbc java
mybatis - prepareStatementstatement的区别
m0_60309952的博客
01-11 885
首先看两段代码: 首先是使用prepareStatement: public void add(Config config){ String sql = "insert into category values(null,?,?)"; try { Connection c = DBUtil.getConnection(); PreparedStatement ps = c.prepareStatement(sql)
JDBC PrepareStatement 的使用(附各种场景 demo)
热爱数据库的小胖
01-12 2849
1)PreparedStatement 继承自 Statement ,是 Statement 的一种扩展;2)PreparedStatement 特点:使用 PreparedStatement 可以执行动态参数化 sql(在 sql 语句用占位符?
利用JDBC的PrepareStatement打印真实SQL的方法详解
08-29
PreparedStatement ps = connection.prepareStatement(sql); ps.setInt(1, 10); ``` 在这个例子,我们想知道实际执行的SQL语句是"SELECT * FROM table WHERE id = 10"。为了实现这个需求,我们可以自定义一个辅助...
JDBC PrepareStatement 使用(附各种场景 demo)
01-14
PrepareStatementJDBC提供的一种预编译的SQL语句,它可以提高数据库操作的效率和安全性。本资源主要涵盖了使用JDBC PrepareStatement进行MySQL数据库操作的各种场景,包括基本的查询、更新以及批量处理。 首先,...
JDBC-java驱动包.rar
01-04
PreparedStatement pstmt = conn.prepareStatement("INSERT INTO mytable VALUES (?, ?)"); pstmt.setString(1, "value1"); pstmt.setInt(2, 123); pstmt.executeUpdate(); ``` 5. **处理结果集**: `ResultSet...
jdbc-program:jdbc程序
04-14
PreparedStatement pstmt = conn.prepareStatement("SELECT * FROM mytable WHERE id=?"); pstmt.setInt(1, 123); ``` 4. 执行SQL:有了Statement或PreparedStatement,你可以调用其`executeQuery()`或`...
第10章 JDBC-课后习题1
08-08
3. B,`prepareStatement(String sql)`用于将参数化的SQL语句发送到数据库。 4. B,ResultSet对象初始化时,游标在表格的第一行之前。 5. C,`PreparedStatement`能够实现预编译。 【简答题】 1. JDBC编程的6个...
pillow_heif-0.17.0-pp39-pypy39_pp73-macosx_14_0_arm64.whl
07-27
基本介绍 名称与起源:Pillow,原名为PIL(Python Imaging Library),但PIL只支持Python 2版本。随着Python 3的普及,Pillow作为PIL的一个分支出现,兼容Python 3并提供更多的功能和改进。 主要功能:Pillow支持多种图像格式的打开、保存、显示以及基本的图像操作和处理,如裁剪、缩放、旋转、翻转、滤镜应用等。 跨平台性:Pillow库可以在不同的操作系统上运行,包括Windows、Linux和MacOS等。 主要功能模块 Pillow库包含多个功能模块,每个模块都提供了特定的图像处理功能。以下是一些常用的模块: Image:用于处理图像文件,提供打开、保存、调整大小、旋转、裁剪、滤镜等功能。 ImageDraw:提供在图像上绘制各种形状(如线条、矩形、圆形)和文本的功能。 ImageFont:用于加载和使用TrueType字体文件,以便在图像上绘制文本时设置字体样式、大小和颜色。 ImageFilter:提供各种滤镜效果,如模糊、锐化、边缘增强等,用于图像增强、特效处理和图像识别等应用。 ImageEnhance:用于调整图像的亮度、对比度、颜色饱和度等参数,使图像更加清晰、明亮或具有特定的调色效果。 高级功能 除了基本的图像处理功能外,Pillow还支持一些高级功能,如色彩空间转换、直方图均衡化等。这些功能可以帮助用户进行更复杂的图像处理和分析。
cykooz.resizer-3.0.0-cp310-cp310-macosx_11_0_arm64.whl
07-27
python库,可以直接安装使用,再也不怕自己pip下载,出现等待超时的现象。欢迎下载使用,使用过程如有使用问题,请及时与我沟通交流,帮你解决! python库,可以直接安装使用,再也不怕自己pip下载,出现等待超时的现象。欢迎下载使用,使用过程如有使用问题,请及时与我沟通交流,帮你解决! python库,可以直接安装使用,再也不怕自己pip下载,出现等待超时的现象。欢迎下载使用,使用过程如有使用问题,请及时与我沟通交流,帮你解决! python库,可以直接安装使用,再也不怕自己pip下载,出现等待超时的现象。欢迎下载使用,使用过程如有使用问题,请及时与我沟通交流,帮你解决! python库,可以直接安装使用,再也不怕自己pip下载,出现等待超时的现象。欢迎下载使用,使用过程如有使用问题,请及时与我沟通交流,帮你解决!
[毕设]Delphi题库管理与试卷自动生成系统.zip
最新发布
07-27
[毕设]Delphi题库管理与试卷自动生成系统
jdbcstatement和preparestatement区别
05-05
JDBC Statement 和 PreparedStatement 都是用于执行 SQL 语句的接口,但它们之间有以下的区别: 1. PreparedStatement 预编译: PreparedStatement 对象在执行 SQL 语句之前会进行预编译,这样可以提高 SQL ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值