Day1_JDBC——PreparedStatement

最新推荐文章于 2019-09-05 18:42:51 发布
最新推荐文章于 2019-09-05 18:42:51 发布
阅读量179 收藏
点赞数
分类专栏: JDBC 文章标签: JDBC
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40634846/article/details/98733777
版权

一.储备知识

sql注入:通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。

换句话,比如注册账号时,要求你输入用户名username,这个username很可能在提交的时候与sql语句拼接成了新的sql语句,导致原本的sql语句被覆盖,从而很可能导致程序崩溃或者用户的信息泄露了,这样很不安全

二.解决sql注入的策略

使用PreparedStatement对数据库进行操作,PreparedStatement是Statement的子类,可以防止sql注入,因为在执行sql之前会将sql语句中有特殊含义的符号进行转义(即预编译)。

三.使用PreparedStatement操作数据库的步骤

  1. 获取数据库的连接(使用数据库工具类封装的方法,可回顾Day1_JDBC——数据库连接的帮助工具类
  2. 创建sql命令发送对象
  3. 执行sql命令并解析返回的结果
  4. 关闭资源

四.例子

@Test
	public void test04() throws Exception {
      //1.获取数据库连接
      Connection conn = JDBCUtils.getConn();//JDBCUtils是自定义的类,封装了数据库连接和释放方法
      String preSql = "select username from users "
    		          + "where username = ? and password = ?";
      //2.创建sql命令发送对象
      PreparedStatement ps = conn.prepareStatement(preSql);//要求必须提供一个sql语句进行预编译
                                                           //如果需要动态设置参数可用‘?’代替
      ps.setString(0, "zhangsan");//给第一个占位符设置具体的参数
      ps.setString(1, "123");//给第二个占位符设置具体的参数
      //3.执行sql命令并解析返回结果
      ps.executeQuery();
      //4.关闭资源
      JDBCUtils.closeConn(conn);
	}
Android_la
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Android SQLite数据库应用之Prepared Statement、事务操作
王硕---互联网之路
09-08 2790
前文Android SQLite数据库应用之基本介绍中介绍了Android SQLite数据库的基本知识及常用类,本文在此基础上继续讲解Prepared Statement、Transaction(事务)操作在SQLite数据库中的应用。
AndroidStudio通过JDBC连接MySQL数据库六大巨坑
热门推荐
寻梦&之璐
03-22 1万+
文章目录注意基础Androidstudio通过JDBC连接数据库巨坑介绍(这里呢,我使用我所做项目的修改密码界面来做介绍)1.网络权限问题(打不开apk)2.jar包问题(找不到driver)3.连接方法问题(返回连接对象为null)4.异步启动问题(返回连接对象为null)同步启动异步启动5.同一个线程不能多次调用异步启动函数(threads.start()------>new Thread(threads).start();)(java.lang.IllegalThreadStateExcepti
日志整理4-PreparedStatement的优点
06-18 923
JDBC应用中,如果你已经是稍有水平开发者,你就应该始终以PreparedStatement代替Statement.也就是说,在任何时候都不要使用Statement.基于以下的原因:一.代码的可读性和可维护性.虽然用PreparedStatement来代替Statement会使代码多出几行,但这样的代码无论从可读性还是可维护性上来说.都比直接用Statement的代码高很多档次:stmt.e
JDBC Statement,PreparedStatement和CallableStatement的使用
Android_tools的博客
08-12 422
Statement系列接口用于将用户创建的sql语句提交到数据库执行,除了执行存储过程外,一些接口方法还接收参数。 如何选择使用哪种类型Statement? * Statement对于固定的sql语句很有用,Statement不能接收参数。 PreparedStatement适用于需要多次进行调用的sql语句和多个参数的情况,PreparedStatement可以接收参数。使...
PreparedStatement的用法
凯尔探索
12-09 1805
jdbc(java database connectivity,java数据库连接)的api中的主要的四个类之一的java.sql.statement要求开发者付出大量的时间和精力。在使用statement获取jdbc访问时所具有的一个共通的问题是输入适当格式的日期和时间戳:2002-02-05 20:56 或者 02/05/02 8:56 pm。 通过使用java.sql.prepare
day2_jdbc.zip_jdbc ut_jdbc util_jdbcUtil_jdbc封装
09-23
JDBC的主要组成部分包括DriverManager、Connection、Statement、PreparedStatement和ResultSet等。 1. **DriverManager**: 是JDBC的核心组件,负责管理数据库驱动程序。在使用JDBC之前,我们需要先加载对应的数据库...
7. 尚硅谷_佟刚_JDBC_PreparedStatement.wmv
06-25
尚硅谷著名教师佟刚老师基于面对对象编程思想,对preparedStatement类一系列操作的案例。
day01_jdbc_consumer_
09-29
1. **JDBC驱动**: JDBC驱动是Java程序与数据库之间的桥梁,根据类型分为四种:JDBC-ODBC桥接驱动、网络纯Java驱动、部分Java驱动和协议驱动。每种驱动有其特定的应用场景和优缺点。 2. **数据库连接**: 使用`...
JDBC.zip_jdbc_jdbc 工具
09-23
1. **加载驱动**:首先,程序需要加载数据库驱动,这通常是通过`Class.forName()`方法完成的,例如`Class.forName("com.mysql.jdbc.Driver")`。 2. **建立连接**:然后,使用`DriverManager.getConnection()`方法...
JDBC.rar_JDBC API_JDBC 接口
09-23
1. 使用PreparedStatement而非Statement,以减少SQL解析时间,防止SQL注入。 2. 使用批处理(addBatch()和executeBatch())执行多条SQL,提高性能。 3. 使用Connection池管理数据库连接,减少连接创建和释放的开销。...
Android SQLiteStatement 编译、执行 分析
E飞
02-08 8933
SQLite中所有SQL语句都需要先编译为stmt,然后执行。 本文分析Android SQLite 对sql语句编译为statement,并将其执行的过程。
PreparedStatement 简介
u013738122的博客
11-25 1万+
PreparedStatement 使用示例 stringsql = "select * from people p where p.id = ? and p.name = ?"; preparedstatement ps = connection.preparestatement(sql); //setxxx() 方法的第一个参数表示 ? 所在的位置,从1开始计算,第二个参数表示对应的值 ps....
Java PreparedStatement操作
bingocoder的博客
06-14 1664
    连接数据库执行SQL语句,最开始知道的是statement接口,通过下面的方式:String sql = "select id,stu_id,name from student where id = 1"; Statement stmt = conn.createStatement(); ResultSet rs = stmt.executeQuery(sql);    看李兴华老师的Ja...
PreparedStatementStatement的区别
ashleyjun的博客
09-05 4668
PreparedStatemen实例 String sql = "select * from t_user where username = ? and password = ?"; preparedStatement = connection.prepareStatement(sql); //preparedStatement = connection.prepareStatement("sel...
实现通用的PreparedStatement更新记录的方法
wj800的专栏
03-18 3652
在JadePool中,除了常规的更新方法之外,还有以下更新记录的方法,            1、public int update(String tableName, Map mapRecord, String where) throws SQLException//根据条件更新单条记录            2、public int update(String tableName, M
JAVA连接MYSQL,使用PreparedStatement 写查询,修改,添加,删除,语句
w124374860的专栏
01-25 8101
http://blog.csdn.net/blacksource/article/details/4380358添加:PreparedStatement ps=conn.prepareStatement("insert into Goods (Gname,Gprice,Gamount,Gdate,Gperson) values (?,?,?,?,?)"); ps.setStr
JDBC中prepareStatement 与createStatement 区别
漫游学海之旅
07-07 4879
简单来说,prepareStatement 提供预编译SQL语句,可以用"?" 来替换需要改变的参数值,类似于正则化 SQL查询语句。 createStatement则不提供预编译SQL,需要实时executeQuery(sqlStr) 来访问数据库。 因此,prepareStatement可以多次使用,提高访问数据库的效率。 具体可以参考:http://blog.csdn
Android基础第三篇(上)
gaogao
08-28 993
转载请标明出处: http://blog.csdn.net/gj782128729/article/details/52344599; 本文出自:【高境的博客】 1. 数据库的简介1.1. 什么是数据库?数据库英文Database,数据库就是一个文件系统,用来存储数据的仓库。使用标准sql对数据库进行操作(crud)。1.2. 关系型数据库和关系型数据关系型数据库:建立在关系模型基础
mysql preparedstatement insert_mysql数据库__Jdbc直接操作__PreparedStatement__insert
最新发布
06-09
好的,您的问题是关于使用 JDBC 直接操作 MySQL 数据库进行 PreparedStatement 的插入操作。下面是示例代码: ```java import java.sql.Connection; import java.sql.DriverManager; import java.sql....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值