SQL语句预编译(增删改)

最新推荐文章于 2024-04-21 10:28:55 发布
最新推荐文章于 2024-04-21 10:28:55 发布
阅读量2.2k 收藏 8
点赞数
分类专栏: java 文章标签: JDBC
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41676638/article/details/95351503
版权

SQL语句预编译

SQL语句预编译能预防SQL注入提高安全性,是因为SQL语句在程序运行前已经进行了预编译,在程序运行时第一次操作数据库之前,SQL语句已经被数据库分析,编译和优化,对应的执行计划也会缓存下来并允许数据库以参数化的形式进行查询,当运行时动态地把参数传给PreprareStatement时,即使参数里有敏感字符如 or '1=1'也数据库会作为一个参数一个字段的属性值来处理而不会作为一个SQL指令,就起到了SQL注入的作用。

一、加载驱动

Class.forName("com.mysql.jdbc.Driver");//加载驱动

二、建立连接数据库对象

Connection conn=null;
conn = DriverManager.getConnection("jdbc:mysql:///test","root","root");

三、定义SQL语句,参数为?。这里SQL语句可以是数据定义语言DDL(Data Ddefinition Language),也可以是数据操纵语言DML(Data Manipulation Language)。

 String sql="UPDATE student1 SET stunum=?,stuname=?,stuclass=? where stunum=?";

四、建立预编译执行对象

PreparedStatement psm = null;
psm=conn.prepareStatement(s
最低0.47元/天 解锁文章
qq_41676638
关注
  • 0
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
c++用SQL语句实现SQL Server的增、删、、查
08-02
本示例中的"opSQL"可能是一个包含C++源代码的文件,用于演示如何使用SQL语句执行SQL Server的增、删、、查操作。下面我们将详细探讨这些知识点。 1. **C++与SQL Server的连接**: 在C++中,我们通常使用ODBC或...
Java实现Dbhelper支持大数据增删
09-02
在Java开发中,高效地处理大数据的增删操作是至关重要的,这直接影响到系统的性能和用户体验。Dbhelper 类的设计目的就是为了解决这一问题,它提供了一种封装的数据库操作方式,允许开发者更便捷地处理大数据操作...
SQL语句预编译(查询)
qq_41676638的博客
07-09 5379
SQL语句预编译 SQL语句预编译能预防SQL注入提高安全性,是因为SQL语句在程序运行前已经进行了预编译,在程序运行时第一次操作数据库之前,SQL语句已经被数据库分析,编译和优化,对应的执行计划也会缓存下来并允许数据库以参数化的形式进行查询,当运行时动态地把参数传给PreprareStatement时,即使参数里有敏感字符如 or '1=1'也数据库会作为一个参数一个字段的属性值来处理而不会作为...
MySQL 事务预编译查询和Perl DBI简化
I love IT
12-23 186
许多WEB应用程序内部通常重复运行带不同自变量的相同数据库查询,或以全有或全无块的形式执行一组相关查询。要满足这些要求,大多数数据库系统(包括MySQL)支持预编译查询与事务,多数脚本语言(如PHP和Perl)也拥有内置函数访问这些数据库特性。然而,上述两项特性是MySQL的新功能,因此给那些以前没有见过它们的开发者制造了一些麻烦。 本文旨在解决这一问题。文章讨论了支持MySQL事务和预编译查询...
预编译为什么能防止SQL注入?一看你就明白了。预编译原理详解_预编译防止sql注入
最新发布
m0_62289824的博客
04-21 808
预编译可以将SQL语句模板化,值的位置用占位符替代,这样数据库就会事先编译好SQL语法结构,等真正调用的时候,再传入值执行,省掉了重复建立语法树的时间。模拟预编译则用于那些不支持预编译的数据库,本质上是在底层先对用户的输入进行转译,再对SQL语句进行拼接,然后把完整的SQL语句发给数据库执行。正常情况下,用户输入的参数会直接参与SQL语法的编译,而预编译则是先构建语法树,确定SQL语法结构以后,再拼接用户的参数。从注入的过程中我们可以发现,SQL注入的核心是:用户输入的参数变了SQL的语法结构。
sql预编译真正原理
qq_42521154的博客
12-06 2622
众所周知,数据库会对sql进行语法分析,词法分析,语义分析,如果一条sql 采用拼接方式 例如: select * from test where id= ’ + x + ’ x= 1’;delete from 'test 这样进入数据库就变成了 select * from test where id= ’ 1 '; delete from 'test’ 会被数据库解析成两条sql 但是预编译会让数据库跳过编译阶段,也就无法就进行词法分析,关键字不会被拆开,所有参数 直接 变成字符串 进入 数据库执行器执行
预编译SQl
m0_72243477的博客
10-29 65
这整条语句都发给数据库,然后进行SQL语法检查--->>优化SQL---->>编译SQL,在把值代入,只需要编译一次。普通编译:delete from emp where id =1 delete from emp where id =2 delete from emp where id =3。” 和 “16”拼接到一起了变成“delete from emp where id=16“普通编译每次都要进行 SQL语法检查--->>优化SQL---->>编译SQL----->>执行SQl,要编译三次。
mysql怎么编译sql语句,MySQLSQL语句 -预编译语句(2) - PREPARE 语句
weixin_34901243的博客
03-18 335
PREPARE语句PREPAREstmt_nameFROMpreparable_stmtPREPARE语句预编译一个SQL语句,并为其分配一个名称stmt_name,以便以后引用该语句预编译好的语句用EXECUTE执行,用DEALLOCATE PREPARE释放。语句名不区分大小写。preparable_stmt可以是字符串文本,也可以是包含SQL语句文本的用户变量。文本必...
MyBatis实现增删插完善
05-07
2. 使用@Select、@Insert、@Update和@Delete注解,分别标记SQL语句。 例如: ```java public interface UserMapper { @Insert("INSERT INTO users(name, email) VALUES(#{name}, #{email})") void insertUser...
java 增删
04-22
`Statement`用于执行SQL语句,而`PreparedStatement`则用于执行预编译SQL语句,它更安全,可以防止SQL注入攻击。 3. **数据插入(INSERT)**: 使用`PreparedStatement`的`executeUpdate()`方法执行INSERT语句...
demo.rar_DEMO_java增删demo_swing java
09-21
3. **预编译语句**:使用PreparedStatement防止SQL注入,提高代码安全性。 4. **结果集处理**:学习如何遍历和处理ResultSet对象,将其数据显示在JTable中。 5. **事件监听**:理解ActionListener接口,如何将监听器...
sql 预编译 & 防止sql注入:
梦~'
10-10 3903
参考简书/知乎 大神回答,并截取了个人认为的重点内容: 1.SQL预编译 2.数据库预编译为何能防止SQL注入 一、sql预编译: 数据库接受到sql语句之后,需要词法和语义解析,优化sql语句,制定执行计划。多数情况下,相同的sql语句可能只是传入参数不同(如where条件后的值不同...)。 如果每次都需要经过上面的词法语义解析、语句优化、制定执行计划等,则效率就明显不行了。所以预编译的优势就体现出来了。预编译语句被DB的编译器编译后的执行代码被缓存下来,那么下次调用时只要是相...
Mybatis笔记
root_zhb的博客
07-15 209
Mybatis笔记1、#和$的区别2、resultType和resultMap区别3、Mybatis缓存机制4、动态SQL4.1、if4.2、choose (when, otherwise)4.3、trim(where, set)4.4、foreach5、一对一映射6、一对多映射7、映射关系 1、#和$的区别 #{key} :获取参数的值,预编译SQL 中。安全。 ${key} :获取参数的值,拼接到 SQL 中。有 SQL 注入问题。 2、resultType和resultMap区别 result
存储过程
wzz80的专栏
12-13 510
sql语句执行的时候要先编译,然后执行。存储过程(Stored Procedure)是一组为了完成特定功能的SQL语句集,经编译后存储在数据库中。用户通过指定存储过程的名字并给出参数(如果该存储过程带有参数)来执行它。存储过程是数据库中的一个重要对象,任何一个设计良好的数据库应用程序都应该用到存储过程。  一、存储过程介绍  存储过程是由流控制和SQL语句书写的过程,这个过程经编译和优化后
为什么需要预编译? #{}和${}的区别 SQL注入的问题 模糊查询like语句该怎么写
一个搬砖工人
03-11 1403
1为什么需要预编译? 定义: SQL 预编译指的是数据库驱动在发送 SQL 语句和参数给 DBMS 之前对 SQL 语句进行编译,这样 DBMS 执行 SQL 时,就不需要重新编译。 为什么需要预编译 JDBC 中使用对象 PreparedStatement 来抽象预编译语句,使用预编译预编译阶段可以优化 SQL 的执行。预编译之后的 SQL 多数情况下可以直接执行,DBMS 不需要再次编译,越复杂的SQL,编译的复杂度将越大,预编译阶段可以合并多次操作为一个操作。同时预编译语句对象可以重复利用。把一个
查询类预编译语句的写法
weixin_43989685的博客
07-17 170
实现数据库数据的查询,查询id=3的数据; 查询姓“李”的所有用户; 查询年龄在[20,35]且性别是女的用户; //创建预编译语句对象 String sql_a = "select * from user where id = ?"; String sql_b = "select * from user where name like ?"; String sql_c = "select * from user where age between ? and ? and sex=?"; PreparedS
SQL调优-使用预编译查询
01-07 526
很多人会使用存储过程把SQL语句预先编译起来,以此来达到优化的目的。有的项目是根据用户的输入来动态执行SQL语句,不管何种方式,都使用参数化的方式来执行,这样不仅可以避免SQL注入漏洞攻击,最重要数据库会对这些参数化SQL执行预编译,这样第一次执行的时候DBMS会为这个SQL语句进行查询优化并且执行预编译,这样以后再执行这个SQL 的时候就直接使用预编译的结果,这样可以大大提高执行的速度。
预编译
qq_35438359的博客
09-17 361
/** * 函数声明整体提升 */ test() //aa function test() { console.log("aa") } /** * 变量声明 变量提升(赋值不提升 */ var a = 123; console.log(a) //123 console.log...
java校验sql语句不得为增删语句
04-21
可以使用正则表达式或者框架中提供的工具类进行校验,其中包含判断语句是否包含关键字,如insert、update、delete等。如果存在这些关键字,则说明该语句增删语句。可以通过抛出异常或者返回特定的错误码来提示用户输入了不合法的sql语句

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值