Statement和PreparedStatement的区别

最新推荐文章于 2022-08-31 19:46:07 发布
最新推荐文章于 2022-08-31 19:46:07 发布
阅读量87 收藏
点赞数
分类专栏: 笔记 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42609916/article/details/105347395
版权

登录方法,使用Statement实现,会产生sql注入

package demo13;

import utils.JDBCUtils;

import java.sql.Connection;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;
import java.util.Scanner;

public class Demo04Practice {

    /*登录方法   使用密码a' or 'a' = 'a也可以登录成功,叫做sql注入
    * */
    public static void main(String[] args) {
            //1、键盘录入
        Scanner scanner = new Scanner(System.in);
        System.out.println("请输入姓名:");
        String name=scanner.nextLine();
        System.out.println("请输入密码:");
        String password=scanner.nextLine();
        boolean flag = new Demo04Practice().login(name, password);
        if(flag){
            System.out.println("登录成功");
        }else {
            System.out.println("登录失败");
        }


    }

    public boolean login(String name,String password){
        if (name==null||password==null){
            return false;
        }else {
            Connection connection = null;
            Statement statement = null;
            ResultSet resultSet = null;
            try {
                connection = JDBCUtils.getConnection();
                String sql="select * from student where name ='"+ name +"' and password = '"+ password +"'";
                statement = connection.createStatement();
                resultSet = statement.executeQuery(sql);

                return resultSet.next();//直接返回true或者false
                /*if(resultSet.next()){
                    return true;//如果有下一行返回true
                }else{
                    return false;
                }*/
            } catch (SQLException e) {
                e.printStackTrace();
            }finally {
                JDBCUtils.close(resultSet,statement,connection);
            }

        }
        return false;
    }
}

登录方法 使用PreparedStatement实现,不会再产生sql注入

package demo13;

import utils.JDBCUtils;

import java.sql.*;
import java.util.Scanner;

public class Demo05Practice1 {

    /*登录方法   使用PreparedStatement实现
    * */
    public static void main(String[] args) {
            //1、键盘录入
        Scanner scanner = new Scanner(System.in);
        System.out.println("请输入姓名:");
        String name=scanner.nextLine();
        System.out.println("请输入密码:");
        String password=scanner.nextLine();
        boolean flag = new Demo05Practice1().login(name, password);
        if(flag){
            System.out.println("登录成功");
        }else {
            System.out.println("登录失败");
        }


    }

    public boolean login(String name,String password){
        if (name==null||password==null){
            return false;
        }else {
            Connection connection = null;
            PreparedStatement preparedStatement = null;
            ResultSet resultSet = null;
            try {
                connection = JDBCUtils.getConnection();
                String sql="select * from student where name =? and password = ?";
                preparedStatement = connection.prepareStatement(sql);
                //给?赋值
                preparedStatement.setString(1,name);
                preparedStatement.setString(2,password);
                //执行查询
                resultSet = preparedStatement.executeQuery();//不需要传参sql语句

                return resultSet.next();//直接返回true或者false
                /*if(resultSet.next()){
                    return true;//如果有下一行返回true
                }else{
                    return false;
                }*/
            } catch (SQLException e) {
                e.printStackTrace();
            }finally {
                JDBCUtils.close(resultSet,preparedStatement,connection);
            }

        }
        return false;
    }
}
诗里有清风
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java PreparedStatementStatement
Outengteng的博客
08-24 374
Statement 什么是StatementStatementjava执行数据库操作的一个重要方法,用于在已经建立数据库连接的基础上,向数据库发送要执行的SQL语句。 具体步骤:①首先导入java.sql.*;这个包。②然后加载驱动,创建连接,得到Connection接口的的实现对象,比如对象名叫做conn。③然后再用conn对象去创建Statement的实例,方法是:Statement stmt = conn.creatStatement(“SQL语句字符串”); Statement 对象用于将
Statement和PreparedStatement之间的区别
01-14
Statement和PreparedStatement之间的区别 Statement和PreparedStatement是JDBC中的两种不同的语句对象,用于执行数据库操作。虽然它们都可以执行SQL语句,但是它们之间存在着很大的区别。 首先, Statement对象...
PreparedStatementStatement 的使用
快意人生
06-30 676
本文分两部分,一部分是实战,一部分是理论。   1.理论   java.sql.Connection类,利用“Statement stmt=con.createStatement();”可以创建用于执行 sql语句的statement对象。   java.sql.PreparedStatement类,利用” PreparedStatement pstmt=con.prepareStatem
PreparedStatement用法以及与Statement区别,很重要的知识点!!!
sinat_42698442的博客
08-12 720
PreparedStatementStatement的子接口,相比Statement,PreparedStatement具备更高的效率以安全性,使用Statement时,其原理为先创建对象,然后将sql语句发送到数据库执行,这个过程中可将用户输入的数据拼接到sql语句中,存在sql注入风险;因此使用PreparedStatement替代Statement成为了一个选择,PreparedState...
Statement与PreparedStatement的使用
你的调料包
05-27 423
1、Statement的使用 (1)Statement:执行静态SQL语句 (2)PreparedStatement:执行动态SQL语句 (3)CallableStatement:执行数据库存储过程 PreparedStatement的好处 ①可维护性:虽然用PreparedStatement来代替Statement会使代码多出几行, 但这样的代码无论从可读性还是可维护性...
PreparedStatementStatement区别
jamesge的博客
03-02 272
1>PreparedStatement用于处理动态SQL语句,在执行前会有一个预编译过程,这个过程是有时间开销的,虽然相对数据库的操作,该时间开销可以忽略不计,但是PreparedStatement的预编译结果会被缓存,下次执行相同的预编译语句时,就不需要编译,只要将参数直接传入编译过的语句执行代码中就会得到执行,所以,对于批量处理可以大大提高效率。 2>Statement每次都会执行SQL语句
java中PreparedStatementStatement详细讲解
08-25
Java 中的 PreparedStatementStatement 是两个常用的数据库操作接口,但是它们之间存在着一些关键的区别,特别是在防止 SQL 注入攻击方面。PreparedStatement 对象可以防止 SQL 注入,而 Statement 对象则不能...
详解Java的JDBC中Statement与PreparedStatement对象
09-03
Java的JDBC(Java Database Connectivity)中,与数据库交互的核心接口是Statement和PreparedStatement。这两个接口都是用于执行SQL语句的,但它们在特性和效率上有所不同。 Statement接口是最基本的SQL执行方式...
PreparedStatementStatement
03-22
这个项目可能包含了使用`PreparedStatement`和`Statement`的例子,通过分析这些代码,你可以更好地理解两者的应用和区别。 总结,`PreparedStatement`和`Statement`在Java数据库操作中各有优势。在追求性能、安全性...
prepareStatementStatement区别
09-23
prepareStatementStatement区别 prepareStatementStatementJava 中两个常用的数据库操作接口,它们都可以用来执行 SQL 语句,但是它们之间有着明显的区别。 首先,从创建时的区别开始,Statement 需要...
Statement 和 PreparedStatement用法比较
北冥的博客
10-19 383
在使用jdbc进行两节数据库时,会用到 Statement 和 PreparedStatement两个不同的对象进行执行sql语句的步骤,不过两个对象之间有着相同和不同点,一起来看看吧 相同点 1、首先要说的是 他们两个都是接口,PerparedStatement 接口继承于 Statement 接口,显而易见,PreparedStatement会比Statement 相对来说功能更完备。 2、他...
PreparedStatementStatement区别和使用
qq_34014347的博客
03-08 274
在执行SQL命令时,我们有二种选择:可以使用PreparedStatement对象,也可以使用Statement对象。无论多少次地使用同一个SQL命令,PreparedStatement都只对它解析和编译一次。当使用Statement对象时,每次执行一个SQL命令时,都会对它进行解析和编译。 使用PreparedStatement的优势: 1、PreparedStatement可以写动态参数化...
preparedStatementStatement区别及联系
一枚数学专业的小码农的博客
08-31 7217
JDBC中preparedstatementstatement中的区别
Java中PreparedStatementStatement用法区别
gaochangqing的专栏
10-22 628
1、 PreparedStatement接口继承Statement, PreparedStatement 实例包含已编译的 SQL 语句,所以其执行速度要快于 Statement 对象。 2、作为 Statement 的子类,PreparedStatement 继承了 Statement 的所有功能。三种方法       execute、 executeQuery 和 exec
Statement 和 PreparedStatement之间的关系和区别
热门推荐
suwu150
10-06 6万+
关系:PreparedStatement继承自Statement,都是接口 区别:PreparedStatement可以使用占位符,是预编译的,批处理比Statement效率高表示预编译的 SQL 语句的对象。 接口:public interface PreparedStatement extends Statement之间的继承关系 SQL 语句被预编译并存储在 PreparedStatement 对象中。然后可以使用此对象多次高效地执行该语句。 注:用于设置 IN 参数值的设置方法(setShort
PreparedStatement 的 execute方法和executeUpdate方法区别
拼老命的程序猿
04-12 3万+
方法executeUpdate    用于执行 INSERT、UPDATE 或 DELETE 语句以及 SQL DDL(数据定义语言)语句,例如 CREATE TABLE 和 DROP TABLE。INSERT、UPDATE 或 DELETE 语句的效果是修改表中零行或多行中的一列或多列。executeUpdate 的返回值是一个整数(int),指示受影响的行数(即更新计数)。对于 CR
statement 、prepareStatement用法和解释
bit-cafe
09-06 2万+
一、prepareStatement用法和解释 1.PreparedStatement是预编译的,对于批量处理可以大大提高效率. 也叫JDBC存储过程 2.使用 Statement 对象。在对数据库只执行一次性存取的时侯,用 Statement 对象进行处理。PreparedStatement 对象的开销比Statement大,对于一次性操作并不会带来额外的好处。 3.stateme
Statement与preparedStatement用法深入之批处理
lijizh1013的专栏
09-10 1万+
我们可以通过使用 Statement或preparedStatement的对象来执行相应的sql语句,但是有时,当我们需要向数据库发送一批SQL语句执行时,为了避免向数据库一条条的发送执行,我们就应该采用JDBC的批处理机制,以提升执行效率。   实现批处理有两种方式,第一种方式:Statement对象 Statement.addBatch(sql)         例如:我们在在向一
PreparedStatementStatement用法区别,加和不加转义字符
hlxstc_xly的专栏
09-11 1195
String hidden = request.getParameter("action"); if(hidden != null && hidden.trim().equals("post")) { String userId = request.getParameter("userId") ; String userName = request.getParameter("userNam
写出jdbc中Statement和PreparedStatement区别?
最新发布
06-01
在JDBC中,Statement和PreparedStatement都是执行SQL语句的接口,但是它们之间有以下几个区别: 1. 预编译:PreparedStatement在执行前会先进行编译,这意味着它可以重复执行,而不需要每次都编译一遍,因此可以提高执行效率。 2. 参数绑定:PreparedStatement支持参数绑定,可以使用问号(?)占位符来代替具体的参数值,这样可以避免SQL注入攻击,并且也可以提高执行效率。 3. 可读性:使用PreparedStatement可以使SQL语句更加易读和易于维护,因为它的语法更加清晰,而且可以将SQL语句和代码分离开来,使代码更加模块化。 4. 执行效率:由于PreparedStatement在编译时就已经准备好了执行计划,因此在执行时可以直接使用已经编译好的计划,相对于Statement可以提高执行效率。 总之,PreparedStatementStatement更加安全、高效、易读和易于维护,因此在实际开发中应该优先考虑使用PreparedStatement。但是在一些简单的查询场景下,使用Statement也是可以的。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值