JDBC值Statement和PreparedStatement

最新推荐文章于 2024-09-25 10:59:43 发布
最新推荐文章于 2024-09-25 10:59:43 发布
阅读量114 收藏 1
点赞数 2
分类专栏: sql 连接数据库 常见类 文章标签: java 数据库 mysql jdbc sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43336579/article/details/109690752
版权

PreparedStatement SQL注入 安全性 预编译 登录验证
关键词由CSDN通过智能技术生成
常见类 同时被 3 个专栏收录
11 篇文章 0 订阅
订阅专栏
sql
7 篇文章 0 订阅
订阅专栏
连接数据库
4 篇文章 0 订阅
订阅专栏

引入PreparedStatement

需求:

  • 键盘录入用户名和密码,模拟用户登录操作
  • 后台—有一张user表:用户表
  • 如果键盘录入的用户名和密码和数据库中user表中用户名和密码一致,登录成功!否则,“用户名或者密码错误”

使用Statement

public class StatementTest {
	
	public static void main(String[] args) {
		
		//创建键盘录入对象
		Scanner sc  = new Scanner(System.in) ;
		
		//提示并录入数据
		System.out.println("请输入用户名:");
		String username = sc.nextLine() ;
		System.out.println("请输入密码:");
		String password = sc.nextLine() ;
		
		//调用方法
		boolean flag= isLogin(username,password) ;
		if(flag) {
			System.out.println("恭喜您,登录成功!");
		}else {
			System.out.println("登录失败,您的用户名或者密码有误!");
		}
	}

	private static boolean isLogin(String username, String password) {
		Connection conn = null ;
		Statement stmt = null ;
		ResultSet rs = null ;
		try {
			//获取数据库的链接对象
			conn = JdbcUtils.getConnection() ;
			//准备sql
			//通过用户名和密码查询用户---查询某一条件记录---如果有内容:存在
			String sql = "select * from user where username = '"+username+"' and password = '"+password+"'    " ;
			System.out.println(sql);
			//获取执行对象:Statement
			stmt = conn.createStatement() ;
			//执行查询
			rs = stmt.executeQuery(sql) ;
			return rs.next(); //有有记录:返回true
		} catch (SQLException e) {
			e.printStackTrace();
		}finally {
			JdbcUtils.close(rs, stmt, conn);
			
		}
		
		return false;
	}
}

在这里插入图片描述

在这里插入图片描述
如图所示,用户密码严重不符合数据库的用户名和密码,但是还是登陆成功了

  • 存在严重问题:SQL注入: 不安全的行为
  • 用户名和密码完全不一致,依然可以登录成功!

Statement的弊端

  • 执行效率差
    每一次发送sql语句之前,获取Statement
    executeUpdate(String sql)
    executeQuery(String sql)
  • 存在安全漏洞:sql注入 存在字符串拼接导致的!
    一旦后台被攻击,可以sql注入行为篡改数据!

使用PreparedStatement

public class PreparedStatementTest {
	public static void main(String[] args) {
		//创建键盘录入对象
		Scanner sc  = new Scanner(System.in) ;
		
		//提示并录入数据
		System.out.println("请输入用户名:");
		String username = sc.nextLine() ;
		System.out.println("请输入密码:");
		String password = sc.nextLine() ;
		
		//调用方法
		boolean flag= isLogin(username,password) ;
		if(flag) {
			System.out.println("恭喜您,登录成功!");
		}else {
			System.out.println("登录失败,您的用户名或者密码有误!");
		}
	}
	private static boolean isLogin(String username, String password) {
		Connection conn = null ;
		PreparedStatement stmt = null ; //预编译对象
		ResultSet rs = null ;
		try {
			
			//获取数据库的链接对象
			conn = JdbcUtils.getConnection() ;
			//准备sql
			//通过用户名和密码查询用户---查询某一条件记录---如果有内容:存在
			//准备参数化的sql语句
			//?:表示占位符号
			String sql = "select * from user where username = ? and password = ?" ;
			System.out.println(sql);
			//获取预编译对象
			//Connection
			//PreparedStatement prepareStatement(String sql)
			//将参数化的sql语句发送数据库进行预编译
			 stmt = conn.prepareStatement(sql) ;
			 //给占位符号赋值:参数赋值
			 //void setXXX(int parameterIndex,实际参数)
			 //参数1:?是第几个占位符
			 //参数2:实际参数
			 stmt.setString(1, username);
			 stmt.setString(2, password); 
			 
			 //执行查询/更新
			 //PreparedStatement:接口
			 //int executeUpdate()
			 //ResultSet executeQuery()
			 
			rs =  stmt.executeQuery() ;
			//执行查询
			return rs.next(); //有有记录:返回true
		} catch (SQLException e) {
			e.printStackTrace();
		}finally {
			JdbcUtils.close(rs, stmt, conn);
			
		}
		
		return false;
	}
	
}

在这里插入图片描述
在这里插入图片描述

在这里插入图片描述
如图,使用PreparedStatement有效防止sql注入/可以提高开发效率

JDBC入门教程(三) PreparedStatement的使用
JiaoShou_Ma的博客
05-13 1681
前两章我们写了一个 DBTools 工具类,可以进行简单的数据库操作,但是有很大的局限性,今天就来改善一下这个类,学习一个新的对象 PreparedStatement为什么要使用PreparedStatement 前面我们建立了一个store数据库,并且建立了一个user数据表,表里包含字段 id ,account ,password ,role。而且还向里面加入了一条数据 sql 语句是这样写的
JDBC PreparedStatement的使用
qq_57389269的博客
08-03 683
PreparedStatement: 可以通过调用 Connection 对象的 preparedStatement(String sql) 方法获取PreparedStatement 对象。 PreparedStatement 接口是 Statement 的子接口,它表示一条预编译过的 SQL 语句 PreparedStatement 对象所代表的 SQL 语句中的参数用问号(?)来表示,调用PreparedStatement 对象的 setxxx() 方法来设置这些参数.。se
MyBatis源码的学习(18)---如何对statement对象进行参数赋值操作的?
itw_zhangzx02的博客
12-31 859
前面说过,我们建立连接,创建statement对象,接下来我们看看如何进行赋值操作 private Statement prepareStatement(StatementHandler handler, Log statementLog) throws SQLException { Statement stmt; Connection connection = getConn...
JDBC】使用PreparedStatement实现增删改查操作
愿万事胜意
03-11 5113
操作和访问数据库 数据库连接被用于向数据库服务器发送命令和 SQL 语句,并接受数据库服务器返回的结果。其实一个数据库连接就是一个Socket连接。 在 java.sql 包中有 3 个接口分别定义了对数据库的调用的不同方式: Statement:用于执行静态 SQL 语句并返回它所生成结果的对象。 PrepatedStatementSQL 语句被预编译并存储在此对象中,可以使用此对...
jdbc statement三种方式的比较
加金开发
03-20 1850
我在整理jdbc打包写一个集合方便以后用的时候发现了这个问题,以前也没有注意到下来研究了一翻 共同点 Statement,PreparedStatement和CallableStatement都是接口(interface)。 Statement继承自Wrapper、PreparedStatement继承自Statement、CallableStatement继承自PreparedStatem...
JDBCStatement和PreparedStatement的总结
weixin_43961117的博客
10-23 519
JDBCStatement和PreparedStatement Statement 和 PreparedStatement之间的关系和区别. 关系:PreparedStatement继承自Statement,都是接口 区别:PreparedStatement可以使用占位符,是预编译的,批处理比Statement效率高 Statement可以正常访问数据库,适用于运行静态 SQL 语句。 Statement 接口不接受参数。 PreparedStatement计划多次使用 SQL 语句, Prepared
详解JavaJDBCStatement与PreparedStatement对象
09-03
JavaJDBCJava Database Connectivity)中,与数据库交互的核心接口是Statement和PreparedStatement。这两个接口都是用于执行SQL语句的,但它们在特性和效率上有所不同。 Statement接口是最基本的SQL执行方式...
Java JDBC中的Statement和PreparedStatement
伏虎游侠的博客
05-04 3658
以Oracle为例吧 Statement为一条Sql语句生成执行计划, 如果要执行两条sql语句 select colume from table where colume=1; select colume from table where colume=2; 会生成两个执行计划 一千个查询就生成一千个执行计划! PreparedStatement用于使用绑定变量重用执行计划
jdbc中PreparedStatementStatement
qq_42902470的博客
01-09 1595
1.PreparedStatement原理 Statement主要用于执行静态SQL语句,即内容固定不变的SQL语句。Statement每执行一次都要对传入的SQL语句编译一次,效率较差。 某些情况下,SQL语句只是其中的参数有所不同,其余子句完全相同,适合使用PreparedStatement PreparedStatement的另外一个重要好处就是预防sql注入攻击。 PreparedStat...
Statement和PreparedStatement之间的区别
01-14
Statement和PreparedStatementJDBC中的两种不同的语句对象,用于执行数据库操作。虽然它们都可以执行SQL语句,但是它们之间存在着很大的区别。 首先, Statement对象执行的SQL语句是直接编译的,而...
JDBCStatement和Preparement的使用讲解
08-26
JDBCStatement 和 PrepareStatement 的使用讲解 Statement 对象是用来执行 SQL 语句的接口,提供了基本的 SQL 语句执行功能。PrepareStatementStatement 的子接口,提供了预编译的功能,可以提高性能和安全...
JDBC要点总结、SQL注入示例(Statement和PreparedStatement
厚积而薄发,谋定而后动
03-23 8083
一、三个重要对象:    a.Connection   代表着Java程序与数据库建立的连接。    b.Statement   代表SQL发送器,用于发送和执行SQL语句。    c.ResultSet   代表封装的数据库返回的结果集,用于获取查询结果。 二、编程步骤:          1、加载驱动(需要事先将驱动程序对应的jar文件放到classpath对应的
JDBC连接数据库中的Statement对象
Coder Yasmine
03-06 7213
前言     上篇博客说到JDBC连接数据库的步骤,其中涉及到一个很重要的对象,就是Statement。它是Java执行数据库操作的一个重要步骤,可以执行一些简单的SQL语句,从而完成对数据库的操作。它有两个子接口,分别是PreparedStatement和CallableStatementStatement     Statement用于执行静态SQL语句,并返
原生JDBC操作;Statement与PreparedStatement;动态代理
dis_1illusion的博客
06-21 299
原生JDBC操作;Statement与PreparedStatement;动态代理
jdbc PrepareStatement 设置下表从1开始
23号员工的博客
08-11 1475
工厂模式的介绍及实现
最新发布
户伟伟的博客
09-25 94
工厂模式(Factory Pattern)是一种创建型设计模式,提供了一种创建对象的接口,而无需显式指定对象的具体类。在这种模式中,我们通过定义一个工厂类,专门负责生产各种类型的对象,这样我们可以避免直接在代码中实例化具体类,使代码更具扩展性、灵活性和维护性。解耦:客户端代码与具体的类解耦,避免了对象创建逻辑的重复。简化对象创建:通过工厂统一管理对象的创建逻辑,使代码更清晰易懂。扩展性强:新增类时,只需在工厂中增加创建逻辑,而不必修改现有的业务代码。
Java Stream流编程入门
2301_77207909的博客
09-21 554
Java StreamAPI的使用与常用方法
智能BI平台项目
2302_79400545的博客
09-22 221
BI商业智能:数据可视化、报表可视化系统。
Android系统:系统架构
liufeismart2024的博客
09-23 438
Android的系统结构的设计混合了分层设计和分块设计。
写出jdbcStatement和PreparedStatement区别?
06-01
JDBC中,Statement和PreparedStatement都是执行SQL语句的接口,但是它们之间有以下几个区别: 1. 预编译:PreparedStatement在执行前会先进行编译,这意味着它可以重复执行,而不需要每次都编译一遍,因此可以...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值