JDBC入门(二):PrepareStatement对象

最新推荐文章于 2022-10-07 11:58:07 发布
最新推荐文章于 2022-10-07 11:58:07 发布
阅读量242 收藏
点赞数
分类专栏: Java JDBC
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42423373/article/details/111409551
版权
Java 同时被 2 个专栏收录
5 篇文章 0 订阅
订阅专栏
JDBC
4 篇文章 0 订阅
订阅专栏

1.Statrment存在的问题:
存在sql注入问题:拼接sql时,有一些sql的特殊关键字符与字符串的拼接,会造成的安全性问题,如 任意用户,输入密码:a’ or ‘a’ = 'a,存在恒等式,不能判断有错误。
2.解决办法:
引入prepareStatement对象。
3.使用区别:
定义sql语句时使用占位符?来代替具体数据;
执行sql语句前需要填充占位符。

//2.定义sql
String sql = "select * from user where username = ? and password = ?";
//3.获取执行sql语句的对象PrepareStatement
PrepareStatement preparedStatement = connection.prepareStatement(sql);
//4.填充占位符
preparedStatement.setString(1,username);
preparedStatement.setString(2,password);
 //5.执行sql
resultSet = preparedStatement.executeQuery();
大名叫钟英俊
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
JDBC--PrepareStatement对象-程序
dreamflygril的博客
06-02 592
运行第一个JDBC程序时成功加载到数据库中内容,但程序还有不足之处,具体改进如下: 1.注册驱动 为了避免数据库驱动被重复注册,只需要在程序中加载驱动类即可 Class.forName("com.mysql.jdbc.Driver); 2.释放资源 当数据库资源使用完毕后,一定要释放资源 3.prepareStatement对象 SQL语句的执行时通过Statement对象实现的。S
JDBC入门七:SQL注入攻击:SQL注入攻击的解决策略:PreparedStatement预编译SQL;
小枯林的博客
04-11 582
的粉红色倒海翻江 1.PreparedStatemen简介 PreparedStatement:预编译Statement,其目的是解决SQL注入攻击的问题。 PreparedStatement: (1)PreparedStatement本质也是一个接口,只是其继承自Statement接口;专用于对SQL语句进行预处理以后再去执行; (2)在实际工作中,推荐使用PreparedStatement; 2.PreparedStatement和Sta...
MySQL-15-SQL注入和PrepareStatement对象
Void的博客
03-11 201
MySQL-15-SQL注入和PrepareStatement对象 SQL注入 sql存在漏洞,会被攻击导致数据泄露(sql会被拼接主要由于sql语句中or运算符的存在) 本例工具类,接上篇文章 package com.cmy.lesson2; import com.cmy.lesson2.utils.JdbcUtils; import java.sql.Connection; import java.sql.ResultSet; import java.sql.SQLException; impo
JDBC的PrepareStatement 对象
你的骑士
12-02 125
1.出现原因(作用) 1.Statement 对象每次执行sql语句时,都会对其进行编译,从而降低了数据库访问效率。 2.其次,statement不安全,会被注入攻击。 例如用户登录的时候查询SQL拼装语句为: String sql = “select * from tb_user where name = '” + username + “’ and passwd = '” + passwor...
JDBC中使用PreparedStatement语句
血色残阳的专栏
12-22 842
import java.sql.Connection;import java.sql.DriverManager;import java.sql.ResultSet;import java.sql.SQLException;import java.sql.Statement;import java.sql.PreparedStatement;public class TestDML2 ...{
PreparedStatement:执行sql的对象
weiyoo55的博客
08-31 371
PreparedStatement:执行sql的对象 ​ 1.SQL注入问题:在拼接sql时,在一些sql的关键字参与字符串的拼接。会造成安全性问题 ​ 1)输入用户随便,输入密码: a’ or ‘a’ = 'a; ​ 2)sql:select * from user where username = ‘fghsasdfd’ and passwprd = a’ or ‘a’ =
JDBC入门九:JDBC实现事务(十分重要!!!)
小枯林的博客
04-12 1348
事务 事务 一:JDBC事务介绍 MySQL之所以能在实际中使用,就是因为其有事务机制。MySQL,Oracle这样的关系型数据库都是支持事务的;也有很多小众的数据库是不支持事务的。 1.事务及事务区: (1)【commit提交】 ●应用程序在写入数据时,并不是直接把数据放入到表中,而是先把数据放在事务区中; ●事务区是MySQL自带的;如果数据很小的时候,事务区中的数据放在内存中,以加快处理速度;如果数据比较大的时候,其会用一块硬盘空间作为事务缓冲; 以A借给B100元...
MySQL入门教程:JDBC事务&API阅读&DAO模式
最新发布
zqy_zq_zxl的博客
10-07 722
JDBC事务&API阅读&DAO模式&BaseDao抽取
JDBC入门十:基于JavaBean实体类,实现分页数据封装;
小枯林的博客
04-12 656
对员工数据进行分页查询,分页获取的数据进行封装,包装成一个一个的员工实体对象。(JavaBean) (废话:)
JDBC入门十一:JDBC中的Date日期的处理方式;(包括读取和更新)&(这是一个零散的知识点,较重要!)
小枯林的博客
04-13 6362
本篇博客的代码沿用上篇博客JDBC入门十:基于JavaBean实体类,实现分页数据封装;中的代码; 一.数据库中日期类型说明: (1)MySQL中date和datetime类型是可兼容的;(2)java程序给数据库的日期字段赋值的时候,只有setDate()方法,而没有setDateTime()方法; :从数据库中读取日期数据 1.首先,在JavaBean:Employee类中,添加日期属性hiredate:类型是java.util.Date 2.然后,在PaginationC.
JDBC--使用PrepareStatement
weixin_34174322的博客
07-01 107
2019独角兽企业重金招聘Python工程师标准>>> ...
JDBCstatement 和preparestatement区别
LiangEdward的博客
07-25 665
https://www.cnblogs.com/weiyi1314/p/6638483.html 个人总结:
07. JDBC基础 — 通过PreparedStatement执行查询操作
散场前的温柔的博客
03-25 876
JDBC基础   —— 通过PreparedStatement执行查询操作 本章目的和提示 使用PreparedStatement实现占位符查询 本文基于第五章的代码基础上结合第六章进行更新 本章以下内容保持和第五章相同: 数据库结构和数据 项目结构 User类 pom.xml database.properties PropertiesUtils类 本章更新的内容: JDBCUtils类 ...
PreparedStatement对象
qq_44336097的博客
11-14 683
5.PreparedStatement: 执行sql的对象,但是功能更强大 1.SQL注入问题:在拼接sql时,有一些sql的特殊关键字参与字符串的拼接。会造成安全性问题 1.输入用户随便,输入密码:a’ or ‘a’ = ‘a 2.sql: select * from user where username = ‘sadfgds’ and password = ‘a’ or ‘a’ = ‘a’ 2.解决sql注入问题:使用PreparedStatement对象来解决 3.预编译的SQL:参数
PrepareStatement对象
weixin_45723046的博客
03-05 312
PrepareStatement对象 PrepareStatement 可以防止SQL注入,效率更好。 里面的一些封装类是用的上一篇博客: https://blog.csdn.net/weixin_45723046/article/details/123302467 操作步骤: 1: 编写SQL 2:预编译 3:传递参数 4:执行 1:新增: public static void main(String[] args) { Connection coon = null; Prepa
JDBC预处理对象prepareStatement
L-李俊漩的博客
04-05 1220
JDBC预处理对象prepareStatement概述 一、SQL注入问题 SQL注入:用户输入的内容作为了SQL语句语法的一部分,改变了原有SQL真正的意义。 假设有登录案例SQL语句如下: SELECT * FROM 用户表 WHERE NAME = 用户输入的用户名 AND PASSWORD = 用户输的密码; 此时,当用户输入正确的账号与密码后,查询到了信息则让用户登录。但是当用户输入的账...
prepareStatement 占位符(?)的使用
weixin_49066429的博客
08-26 2182
public void PrepareStatementInsertTest(){ Scanner input = new Scanner(System.in); System.out.println("请输入姓名"); String name = input.next(); System.out.println("请输入年龄"); int age = input.nextInt(); try { ..
7.PreparedStatement使用占位符
T_P_F的博客
10-31 1131
各种字段对应的set方法 PreparedStatement stat = conn.preparedStatement(sql); 1.VARCHAR2 stat.setString(); 2.NUMBER stat.setString(); 3.TIMESTAMP stat.setTimestamp(int, timestamp); 4.DATE stat.setDate(i...
prepareStatement进行增删改查---填充占位符(防止sql注入)
全干工程师
09-27 3591
首先创建表 然后构造一个实体类–封装数据库字段 Studentpackage com.godinsec;public class Student { private int id; private String name; private String address; private int phone; public int getId() {
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值