JDBC Preparedstatement执行sql的对象

最新推荐文章于 2023-06-06 17:03:42 发布
最新推荐文章于 2023-06-06 17:03:42 发布
阅读量230 收藏
点赞数
分类专栏: JDBC 文章标签: java 数据库 sql jdbc mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43472877/article/details/105361451
版权

Preparedstatement :执行sql的对象

  1. SQL注入问题:在拼接sq1时,有一些sql的特殊关 键字参与字符串的拼接。会造成安全性问题
    输入用户随便,输入密码: ‘a’ or ‘a’ = ‘a’
    sql : select * from user where username = ’ wdaad’ and password = ‘a’ or ‘a’= ‘a’

  2. 解决sql注入问题:使用preparedstatement对象来解决

  3. 预编译的SQL :参数使用?作为占位符

  4. 步骤:
    1.导入驱动jar包mysql-connector
    2.注册驱动
    3.获取数据库连接对象Connection
    4.定义sql
    注意: sql的参数使用?作为占位符。
    如: select * from user where username = ? and password = ?;

  5. 获取执行sql语句的对象Preparedstatement Connection. preparestatement(String sql)

  6. 给?赋值:
    方法: setxxx(参数1,参数2)
    参数1: ?的位置编号从1开始
    参数2: ?的值

  7. 执行sql, 接受返回结果,不需要传递sql语句

  8. 处理结果

  9. 释放资源

后期都会使用Preparedstatement来完成增删改查的所有操作
1.防止SQL注入
2.效率更高
例如:

    public static boolean check(String name,String password){
        if (name==null||password==null){
            return false;
        }
        Connection conn=null;
        PreparedStatement pstmt=null;
        ResultSet rs=null;
        try {
            conn = JDBCUtils.getConnection();//工具类连接,不是重点

			//重点
            String sql = "select * from user where username= ? and password=? ";
            pstmt = conn.prepareStatement(sql);
            //给?赋值
            pstmt.setString(1,name);
            pstmt.setString(2,password);
            //执行不需要传参
            rs = pstmt.executeQuery();
            return rs.next();
            
        } catch (SQLException e) {
            e.printStackTrace();
        }finally{
        	//记得最后释放资源,工具类,不是重点
            JDBCUtils.close(rs,pstmt,conn);
        }
        return false;
    }
}
_七七
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
如何获得PreparedStatement最终执行sql语句
03-24
NULL 博文链接:https://huiminchen.iteye.com/blog/1097332
基于PreparedStatement抓取带参最终SQL(oracle,mysql,PostgreSQL等通用)
大吉的博客
08-25 2251
在日志中打印所有数据库通用的不带?的原生SQL,放在navicat就能直接执行
PreparedStatement
shkstart的博客
09-13 603
一、PreparedStatement概述 可以通过调用 Connection 对象的 preparedStatement(String sql) 方法获取 PreparedStatement 对象。PreparedStatement 接口是 Statement 的子接口,它表示一条预编译过的 SQL 语句。PreparedStatement 对象所代表的 SQL 语句中的参数用问号(?)来表示,调用 PreparedStatement 对象的 setXxx() 方法来设置这些参数. setXxx(...
preparestatment获取sql_如何从Oracle, MySql, PostgreSQL的PreparedStatement获得所执行sql语句?...
weixin_39630771的博客
12-19 1711
一、问题提出从且只从一个PreparedStatement获取执行sql语句(包括运行时绑定的参数值),是实际工作中经常遇到的一个问题。网上很多文章提到用自定义的增强类或中间件(p6spy, log4jdbc)来实现,但这需要对现有代码进行修改,工作量很大,能不能有更直接的办法?由于java.sql.PreparedStatement并没有提供相应接口,此功能是否实现及如何实现,不同数据库的J...
jdbc获取PreparedStatement最终执行sql语句
ilove_story的博客
08-16 3433
//直接打印PreparedStatement对象 System.out.println(ps); 输出结果: com.mysql.jdbc.JDBC42PreparedStatement@5f205aa: select * from easybuy_product where name like '%%' order by price asc limit 0,20
详解JavaJDBCStatement与PreparedStatement对象
09-03
JavaJDBCJava Database Connectivity)中,与数据库交互的核心接口是Statement和PreparedStatement。这两个接口都是用于执行SQL语句的,但它们在特性和效率上有所不同。 Statement接口是最基本的SQL执行方式...
sqljdbc4,SQLserver架包
07-26
3. **批处理操作**:通过PreparedStatement对象,可以使用批处理来执行多个SQL语句,从而减少网络往返次数,提高整体性能。 4. **预编译SQL语句**:预编译语句(PreparedStatement)能防止SQL注入攻击,并且在多次...
JDBC执行SQL操作.docx
06-26
在本文中,我们将深入探讨如何利用JDBC执行SQL操作,包括数据查询、操纵、定义和控制。 首先,SQL语句分为四大类: 1. 数据查询语言(DQL):用于检索数据,如`SELECT`语句。 2. 数据操纵语言(DML):涉及数据的...
适用SQL Server 2016版本的数据库加载驱动包jdbc
最新发布
03-19
4. **执行SQL语句**:一旦连接建立,你就可以通过`Statement`或`PreparedStatement`对象执行SQL查询或命令,如下: ```java Statement stmt = conn.createStatement(); ResultSet rs = stmt.executeQuery(...
得到PrepareStatement最终执行sql语句的方法
06-02 9919
得到PrepareStatement最终执行sql语句的方法   在CSDN的JAVA基础版,常常有人问及如何得到PreparedStatement最终执行SQL语句;或者如何在控制台输出占位符的真实值..... 原因就是PreparedStatement执行sql语句有大量的占位符?.... 问题诸如JDBC中: 如何得到 conn.prepareSta
JDBC详解
斯文~
07-05 1579
详解讲解JDBC的使用及其API。 1.编写Java代码; 2.Java代码将SQL发送到MySQL服务端; 3.MySQL服务端接收到SQL语句执行SQL语句; 4.将SQL语句执行的结果返回给Java代码;JDBC具体实现流程 1.创建工程,导入驱动jar包; 2.注册驱动: 3.获取连接: Java代码需要发送SQLMySQL服务端,就需要先建立连接; 4.定义SQL语句:; 5.获取执行SQL对象执行SQL语句需要SQL执行对象,而这个执行对象就是Stateme...
preparestatment获取sql_如何获取PreparedStatementSQL
weixin_39603117的博客
12-19 2474
它在JDBC API合同中没有任何定义,但是如果你很幸运,有问题的JDBC驱动程序可以通过调用返回完整的SQLPreparedStatement#toString()。即System.out.println(preparedStatement);至少MySQL 5.x和PostgreSQL 8.x JDBC驱动程序支持它。但是,大多数其他JDBC驱动程序不支持它。如果你有这样的,那么你最好的选择...
Mybatis 获取最终可执行SQL语句
阿鹏的博客
07-26 8741
Mybatis 获取参数解析后,最终的可执行SQL
MySQL中PreparedStatement 获得SQL语句的方法
frivol的专栏
01-21 1610
关于PreparedStatement 获得SQL语句的方法,没有直接的API可用,往往要自己实现或采用SQL profiler之类的工具,但在MySQL中有一个简便的方法: if (statement instanceof com.mysql.jdbc.PreparedStatement) { com.mysql.jdbc.PreparedState
JDBC进阶之PreparedStatement执行SQL语句(MySQL)
10-13 6621
从上一篇文章《JDBC连接MySQL数据库及示例》(前往该文章)的示例中,我们提到,使用Statement执行SQL语句,例如: Connection connection; Statement statement ; ... ... statement
JDBC笔记(简练)
m0_72884704的博客
06-06 149
JDBC学习笔记
PreparedStatement执行sql对象
weiyoo55的博客
08-31 368
PreparedStatement执行sql对象 ​ 1.SQL注入问题:在拼接sql时,在一些sql的关键字参与字符串的拼接。会造成安全性问题 ​ 1)输入用户随便,输入密码: a’ or ‘a’ = 'a; ​ 2)sql:select * from user where username = ‘fghsasdfd’ and passwprd = a’ or ‘a’ =
课堂笔记【java JDBC
主神的博客
04-14 573
JDBC简介 JDBCJDBC在应用程序与数据库之间起到了一个桥梁作用,当应用程序使用JDBC访问特定的数据库时,只需要通过不同的数据库驱动与其对应的数据库进行连接,连接后即可对该数据库进行相应的操作。 工作原理: 工作过程: JDBC驱动与连接 JDBC驱动 由JDBC驱动直接访问数据库 优点:纯java,快,跨平台 缺点:访问不同的数据库需要下载专用的JDBC驱动...
JDBC PreparedStatement SQL IN条件
06-09
JDBC PreparedStatement 可以使用 SQL IN 条件通过一个参数传递多个值,具体操作步骤如下: 1. 构建 SQL 语句,使用问号占位符代替需要传递的参数。例如:SELECT * FROM table_name WHERE column_name IN (?, ?, ?)...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值