Statement 的弊端

最新推荐文章于 2022-11-05 01:41:50 发布
最新推荐文章于 2022-11-05 01:41:50 发布
阅读量258 收藏 1
点赞数
分类专栏: 概念理解 文章标签: jdbc
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44125965/article/details/107531623
版权

弊端:
Scanner scan = new Scanner(System.in);
String name = scan.next();

拼串

String sql = “insert into customers(name,email,birth)values(’” + name +"’,’"+email+"’,’"+birth+"’)";
**注释:**经常使用拼接符,繁琐

SQL注入:

SELECT user,password FROM user_table WHERE user = ‘1’ or ’ AND password = '=1 or ‘1’ = ‘1’
**注释:**即使密码输入不正确,通过非法的SQL语句操作同样可以登录成功

其他问题:
Statement没办法操作Blob类型变量
Statement实现批量插入时,效率较低

如何避免出现sql注入:

只要用PreparedStatement (从Statement扩展而来)取代Statement即可解决问题

柒安9527
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用Statement操作数据表的弊端
七一
07-27 507
使用Statement操作数据表的弊端 通过调用 Connection 对象的 createStatement() 方法创建该对象。该对象用于执行静态的 SQL 语句,并且返回执行结果。 Statement 接口中定义了下列方法用于执行 SQL 语句: int excuteUpdate(String sql):执行更新操作INSERT、UPDATE、DELETE ResultSet executeQuery(String sql):执行查询操作SELECT 但是使用Statement操作数据表
Statement操作数据库的弊端 [Java][JDBC]
m0_57001006的博客
03-29 355
Statement操作数据库的弊端 数据库连接被用于向数据库服务器发送命令和SQL语句,并接受数据库服务器返回的结果 其实一个数据库连接就是一个Socket连接 在java.sql包中有三个接口分别定义了对数据库的调用的不同方式: Statement: 用于执行静态SQL语句,并返回它所生成结果的对象 PreparedStatement: 预编译SQL语句并将SQL语句存储在此对象中,可以使用此对象多次高效的执行该语句 CallableStatement: 用于执行SQL存储过程 这个接口
JDBC-使用Statement操作数据库的弊端
weixin_49984174的博客
08-10 337
使用Statement操作数据库的弊端 问题一:存在拼串操作 假设情景如下:当从控制台输入需要在数据库查询的用户名密码时,此时存在拼串操作操作繁琐且可读性差 问题二:sql注入问题 所以为了避免sql注入问题,用PrepareStatement取代Statement ...
JDBC-02:操作访问数据库时使用Statement操作数据表的弊端
小贺想改变
11-05 381
JDBC-02:操作访问数据库时使用Statement操作数据表的弊端
Statement的安全问题
qq_40148447的博客
01-24 835
Statement的安全问题 ->使用Statement开发步骤: Connection conn = DriverManager.getConnection("jdbc:mysql://localhost/day06", "root", "247436"); //3.创建statement , 跟数据库打交道一定需要这个对象, 一种提供操作sql语句的接口; Sta
HSBC-Bank-statement_statement_template_
09-29
hsbc statement template
mux.rar_statement
09-14
标题 "mux.rar_statement" 暗示我们关注的是一个与 VHDL 编程相关的项目,具体来说是一个4-to-1复用器(MUX)的设计,其中使用了“generic statement”。在 VHDL 中,generics 是一种参数化机制,允许我们在设计模块...
Statement Tracer for Oracle
01-10
《Oracle语句追踪器——Statement Tracer for Oracle详解》 在Oracle数据库的管理和优化工作中,Statement Tracer for Oracle是一款至关重要的工具。它以其强大的功能和直观的用户界面,为DBA(数据库管理员)和...
StatementEventListener.rar_statement
09-20
An object that registers to be notified of events that occur on PreparedStatements that are in the Statement pool.
JDBC使用Statement修改数据库
08-27
JDBC 使用 Statement 修改数据库 JDBC(Java Database Connectivity,Java 数据库连接)是 Java 语言中用来连接数据库的 API,StatementJDBC 中的一种接口,用于执行 SQL 语句以修改数据库中的数据。下面是对 ...
statement 和 preparedStatement 优缺点
weixin_33796205的博客
08-22 1020
statement:   优点:在一次批处理中,SQL表现形式灵活;   缺点:不能防止SQL注入,效率较低; preparedStatement:   优点:安全防止SQL注入;   缺点:在一次批处理中,SQL表现形式不太灵活; 总结: 使用了批处理,程序的执行效率不一定会快,这跟数据库版本,jar包版本,电脑配置,网络传输速度有关系。 建议使用JDBC批处理时结合着事务优...
Statement及其漏洞
weixin_43654274的博客
03-12 309
1、查询操作 SQL: select * from 表名 --> 原始数据表 --> 结果集 JDBC: 发送查询SQL语句 --> 数据库实现数据检索 —> 数据库将结果集反馈给java应用程序 --> 将结果集实现封装 API: ResultSet对象:结果集对象(数据表-记录、字段) 2、SQL注入攻击 在javaJDBC操作中Statemen...
Statement操作sql语句的弊端
pison007的博客
01-31 389
Statement操作SQL语句的弊端 在学习JDBC的时候,提到了用Statement进行数据库的增删改查的弊端,主要有两点。 拼写sql语句涉及字符串的拼接,太痛苦 sql注入 . 下面通过一个登录情景说明这两个弊端 登录的过程: 简单的登录实现,用户输入用户名和密码。获取用户名和密码的信息后去数据库的表中对比,如果发现有匹配的用户名和密码,就表明登录成功,没有匹配的用户信息说明匹配失败。 我写了一个get方法,该方法可以去数据表中查看是否有对应的用户信息,如果有就返回相应的User对象,没有则返回
相对于Statement,PreparedStatement的优点
gufachongyang02的专栏
03-19 2418
转载自http://it.deepinmind.com/jdbc/2014/03/18/JDBC%E5%B8%B8%E8%A7%81%E9%9D%A2%E8%AF%95%E9%A2%98%E9%9B%86%E9%94%A6%28%E4%B8%80%29.html PreparedStatement有助于防止SQL注入,因为它会自动对特殊字符转义。PreparedStatement可以用来进行
Statement和PreparedStatement的区别
热门推荐
不羁朔风的博客
11-05 1万+
Statement执行不带参数的简单SQL语句,并返回它所生成结果的对象,每次执行SQL语句时,数据库都要编译该sql语句 PreparedStatement用来执行带参数的预编译的SQL语句 PreparedStatement的优点: ①效率高. 使用PreparedStatement执行SQL命令时,命令会被数据库编译和解析,并放到命令缓冲区.以后每当执行同一个PreparedStat...
java Statement详细用法
yaomenglan69的专栏
11-02 467
preparestatementstatement
最新发布
03-16
prepareStatementStatement 都是 Java 中用于执行 SQL 语句的接口,但它们之间有一些区别。 Statement 是最基本的 SQL 执行接口,通过 Statement 可以执行一条静态的 SQL 语句,例如 SELECT、INSERT、UPDATE、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值