java中PreparedStatement接口的介绍和使用

最新推荐文章于 2024-05-03 04:17:33 发布
最新推荐文章于 2024-05-03 04:17:33 发布
阅读量2.3k 收藏 12
点赞数 7
分类专栏: String 文章标签: java 数据库 sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38269362/article/details/107558852
版权

PreparedStatement接口

为什么使用PreparedStatement接口?

我们使用Statement接口有一个缺点。我们在精心设计内容时,用户名和密码都是错误的时候也可以登录成功比如输入密码的时候 12 ‘or’1‘=‘1;这样就会登录成工。这就是典型的sql注入攻击。原因是在使用Statement接口方式要进行SQl语句的拼接不仅麻烦,容易出错,还存在安全漏洞。而在使用PreparedStatement接口就不存在这个问题,PreparedStatement接口的优点还不仅如此后面会比较一下PreparedStatement接口和statement接口的区别。

使用PreparedStatement更新信息

我们上面说了PreparedStatement接口的优点,在使用之前我们先了解以下方法。

方法名称作用
boolean exectute()在此PreparedStatement对象中执行SQL语句,该语句可以是任何SQL语句。如果是Result对象,则返回true,如果是更新计数或没有结果,则返回false
ResultSet executeQuery()在此PreparedStatement对象中执行SQl查询,并返回查询生成的ResultSet对象
int executeUpdate()在此PreparedStatement对象中执行SQL语句,该语句必须是一个DML语句,如INSERT,UPDATE或DELETE语句;或者是无法返回内容的SQl语句,如DDL语句。返回值是执行该操作所影响的行数
void setInt(int index,int x)将指定参数设置给定JAva int值。设置其他类型参数的方法于此方法类似,如setFloat(int index,float x),setDouble(int index,double x)等
void setObject(int index,Object x)使用给定设置指定参数的值

使用PreparedStatement接口数据库的进本步骤有三步。

(1)创建PreparedStatement对象
通过Connection接口的PreparedStatement(String sql)方法创建PreparedStatement对象,SQl语句可具有一个或多个输入参数。这些输入参数的值在SQL语句创建时未被指定,而是每个输入参数保留一个问号(“?”)作为占位符。
以下的代码段(其中conn是Connection对象)将创建包含带有三个输入参数的SQl语句的PreparedStatement对象。

PreparedStatement pstmt=con.prepareStatement("Update dog set health=?,love=? where id=?");

(2)设置每个输入参数的值
通过调用setXXX()方法来完成,其中xxx是该参数相应的类型。例如,若参数是String类型,则使用的方法是setString()。setXxx()方法的第一个参数是要设置参数的序数位置(从1开始计数),第二个参数是设置给该参数的值。例如,以下代码将第一参数设置为整数型值80,第二个参数设置为整形值15,第三个设置为整形值1.

pstmt.setInt(1,80);
pstmt.setInt(2,15);
pstmt.setInt(3,1);

3)执行SQl语句
在设置个各个输入参数的值后,就可以调用PreparedStatement接口的三个执行方法(ResultSet executeQuery(),int executeUpdaye(),boolean execute())之一来执行SQL语句。
注意这三个执行方法和Statement接口中三个方法名称相同,作用相同,但是不需要SQL语句做参数,SQL语句已经在创建对象PrepareStatement时指定了。例如:

pstmt.executeUpdate();

创建PrepareStatement对象会对SQl语句进行预编译,所以执行速度要快于Statement对象。因此,如果在程序中需要多次执行sql语句时,应使用preparedStatement对象来执行数据库操作,以提高效率。

try{
String sql="update dog set health=?,love=?,where id=?"
pstmt=conn.prepareStatement(sql);
pstmt.setInt(1,80);
pstmt.setInt(2,15);
pstmt.setInt(3,1);
pstmt.executeUpdate();

}

PreparedStatement比Statement好在哪里?

1提高了代码的可读性和可维护性。虽然使用PreparedStatement来替代Statement会多几行代码,但避免了烦琐麻烦又容易出错的SQl语句拼接,提高了代码的可读性和可维护性。
2.提高了SQL语句执行的性能。创建Statement对象时不使用SQL语句做参数,不会解析和编译SQl语句,每次调用方法执行SQL语句时都要进行SQl语句解析和编译操作,即操作相同仅仅是数据不同。
创建PreparedStatement对象时使用SQl语句做参数,会解析和编译该SQL语句。也可以使用带用占位符的SQL语句做参数,在通过setXXX()方法给占位符赋值后执行SQl语句时无须在解析和编译SQL语句,直接执行即可。多次执行相同的操作可以大大提高性能。
3.提高了安全性。PreparedStatement使用预编译语句,传入的任何数据都不会和已经预编译的SQl语句进行拼接,避免了SQL注入攻击。

雪落无痕颂千殇
关注
  • 7
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java使用PreparedStatement接口及ResultSet结果集的方法示例
08-27
总的来说,`PreparedStatement`接口提供了一种更高效、更安全的方式来执行SQL语句,而`ResultSet`接口则用于存储和处理查询结果。在实际开发,这两个接口是JDBC编程不可或缺的部分,它们可以帮助我们更好地与...
详解Java的JDBCStatement与PreparedStatement对象
09-03
PreparedStatement接口是Statement的增强版,它支持预编译的SQL语句,从而提高了性能和安全性。PreparedStatement允许我们在SQL语句使用占位符(问号?),这些占位符会在执行前通过setXXX()方法设置具体的值。这种...
JAVA【JDBC】【使用PreparedStatement操作数据库】
芊樱烛渊的博客
08-07 4758
这里我们是先连接到了我们上述的数据表,然后将数据表的user和password的内容独取出来,然后编成sql语句,交给我们的mysql,并且如果查询失败就返回用户名不存在或者密码错误,如果查询成功就返回登陆成功。针对于不同的表我们想要获取到的查询数据的结构一定是不同的,所以我们需要在查询的时候将我们查询的结构传入,然后利用反射机制构造出对应的对象,然后将对应的对象返回。原来我们想表达的是 xx and xx是一个并且的关系,也就是我们的use和password同时正确的时候才返回结果。...
JDBCPreparedStatement详解及应用场景介绍
weixin_62079735的博客
03-20 6095
Java,当需要向数据库执行SQL语句并传递参数时,我们通常会使用PreparedStatement接口PreparedStatement继承自Statement接口,用于预编译SQL语句并执行参数化查询,这样可以提高执行效率并防止SQL注入攻击。
Java基础27~使用JDBC+连接池+反射编写简单的ORM框架
最新发布
2301_79099606的博客
05-03 17
针对最近很多人都在面试,我这边也整理了相当多的面试专题资料,也有其他大厂的面经。希望可以帮助到大家。上述的面试题答案都整理成文档笔记。也还整理了一些面试资料&最新2021收集的一些大厂的面试真题(都整理成文档,小部分截图)以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持。《一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码》点击传送门,即可获取!样的分析:将参数设置为Object将实体类名、属性名设置成和表名、字段名一致。
JavaEE基础学习打卡06】JDBC之进阶学习PreparedStatement
编程火箭车(Coding Rocket)专注编程领域
08-24 1197
上篇文章我们学习了JDBC编程基本步骤,步骤使用Statement执行SQL语句。其实还有一个更好的方式,就是PreparedStatement,预编译语句。与Statement相比有诸多优势,目前开发一般使用PreparedStatement。所以我们非常有必要进行学习,而且日后的持久层框架底层也是使用PreparedStatement
Java数据库连接——PreparedStatement使用
anjiukonghe77852的博客
08-14 461
首先了解Statement和PreparedStatement的区别: 由此可见,一般使用PreparedStatement。 操作数据库SU(Course表),其Course属性有Cno,Cname,Cpno,Ccredit。 1 public class Demo_2 { 2 3 public static void main(String[] a...
什么是JavaPreparedStatement?它有什么优点?如何使用Java实现数据库事务管理?
weixin_53180424的博客
03-14 1702
SQL 注入是一种常见的网络攻击手段,攻击者通过在 SQL 语句插入恶意代码,改变原有的 SQL 逻辑,从而获取非法数据或执行非法操作。这个接口是 Statement 的子接口,与 Statement 对象相比,PreparedStatement 对象具有更高的性能,并且可以防止 SQL 注入攻击。性能提升:PreparedStatement 是预编译的 SQL 语句,当多次执行相同的 SQL 语句时,预编译的 SQL 语句只需要编译一次,然后可以重复执行,这大大提高了执行效率。
javaPreparedStatement和Statement详细讲解
08-25
这是因为 MySQL 数据库驱动程序的 setString 方法在实现PreparedStatement接口时,会将用户输入的单引号转义为反斜杠(\)。这样可以防止 SQL 注入攻击。 例如,在 MySQL 数据库驱动程序的 setString 方法: ```...
Java程序连接数据库的常用的类和接口介绍
09-03
在实际应用,除了基本的`Statement`接口,还有`PreparedStatement`和`CallableStatement`接口,它们提供预编译的SQL语句,可以提高性能并防止SQL注入攻击。`PreparedStatement`允许你预先定义SQL语句并设置参数,...
javaPreparedStatement和Statement的区别
12-26
Java PreparedStatement 和 Statement 都是用于执行 SQL 语句的接口,但是它们之间存在一些关键的区别。 首先,从数据库执行 SQL 语句的角度来看,使用 PreparedStatement 语句可以提高数据库访问的效率。这是...
使用 PreparedStatement 插入记录的 Java 程序
allway2的博客
07-23 856
请注意,产品id是主键,因此不能重复,如果我们尝试插入与现有产品id相同的记录,那么Oracle服务器会返回错误ORA-00001违反唯一约束(SCOTT.SYS_C0012404).同样,当我们尝试为产品ID插入太大的值时,我们会收到错误ORA-12899。要插入记录,我们需要一个表,我们也可以使用现有的表。SQL查询将在整个应用程序保持不变,因此,我们通常将SQL查询作为类顶部的字符串常量。在接下来的JDBC程序示例,我们将更新,并显示表的记录。...
JavaPreparedStatement使用
qq_45577911的博客
11-28 1173
先看一段代码: try { Statement statement = conn.createStatement(); statement.executeUpdate("insert into table1(column1,column2) values(101,'xxx')"); } catch (SQLException e) { e.printStackT\frace(); } 其,是直接使用了Statement向表插入数据
JDBC知识【JDBC API详解】第三章下篇
若有所执,必有所成,心之所向,必显光芒
08-23 475
JDBC API:案例,Prepared Statement:SQL注入,模拟问题,解决问题
Java PreparedStatement操作
bingocoder的博客
06-14 1662
    连接数据库执行SQL语句,最开始知道的是statement接口,通过下面的方式:String sql = "select id,stu_id,name from student where id = 1"; Statement stmt = conn.createStatement(); ResultSet rs = stmt.executeQuery(sql);    看李兴华老师的Ja...
Java Web 学习之JDBC 基础(篇2)
焱宣的博客
03-07 775
篇1 介绍使用JDBC 连接数据库及部分API 实现sql 查询,及数据库资源的回收,本篇主要是围绕 PrepaeredStatement对象的使用及Sql注入相关: 1.Sql 注入: sql注入是比较常见的网络攻击形式,它利用现有的程序漏洞,将恶意的Sql命令注入后台数据库,最终达到欺骗服务器并实现攻击者的意图,在程序运行过程,Sql注入会造成数据库信息泄露,网页被篡改,网站被挂木马等问题, 如接下来的两个Sql 语句: Select * from ...
java prepare_Java PrepareStatement
weixin_35955473的博客
02-13 475
1.PreparedStatement是预编译的,对于批量处理可以大大提高效率. 也叫JDBC存储过程2.使用 Statement 对象。在对数据库只执行一次性存取的时侯,用 Statement 对象进行处理。PreparedStatement 对象的开销比Statement大,对于一次性操作并不会带来额外的好处。3.statement每次执行sql语句,相关数据库都要执行sql语句的编译,pre...
包装了javapreparedstatement(改进设置参数)
diaoqiaoju7163的博客
08-11 299
javapreparedstatement,说到它,我是既爱又恨,爱的是通过用setXXX可以不考虑数据类型的转换,免去了自己组SQL语句的很 多麻烦事,恨得是它的第一个参数是sql语句参数的位置,万一搞混了就出错,也可能出现不易发觉的错误,想想Delphi的Query就挺不错,可以使 用参数名称来定位参数,忍无可忍只好自己把preparedstatement包装一下了, 原先我...
javaPreparedStatement接口
04-03
PreparedStatementJava的一个接口,继承自Statement接口,用于执行预编译的SQL语句。与Statement不同的是,PreparedStatement可以预编译SQL语句,这样可以提高执行效率,同时也可以避免SQL注入攻击。PreparedStatement还支持设置参数,可以动态地设置SQL语句的参数值,从而实现更加灵活的查询。常用的数据库操作都可以使用PreparedStatement来实现,比如插入、修改、删除、查询等操作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值