Java之PreparedStatement 的使用

最新推荐文章于 2023-09-21 10:11:33 发布
最新推荐文章于 2023-09-21 10:11:33 发布
阅读量1.1k 收藏 1
点赞数
分类专栏: java 文章标签: 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45577911/article/details/110287693
版权

先看一段代码:

    try {
        Statement statement = conn.createStatement();
        statement.executeUpdate("insert into table1(column1,column2) values(101,'xxx')");
    } catch (SQLException e) {
        e.printStackT\frace();
    }

其中,是直接使用了Statement向表中插入数据,则会存在SQL注入的危险。再看下例:

    String id = "5";
    String sql = "delete from tablename where id=" +  id;
    Statement st = conn.createStatement();
    st.executeQuery(sql);//查询到表中将无数据
    //如果用户传入的id为“5 or 1=1”,那么将删除表中的所有记录

为了预防SQL注入,我们可以使用PreparedStatement
。在使用它时,SQL语句在程序运行之前就已经进行了预编译,当运行时把参数传给PreparedStatement,即使参数里有敏感字符,如
‘1=1’,数据库也会作为参数的一个字段属性值来处理,而不会作为一个SQL指令。

我们来结合代码来看一下它的 使用:

String sql="insert into student(id,name,sex,age) values(?,?,?,?),(?,?,?,?),(?,?,?,?)";//此处插入三条记录,在要插入的位置先使用占位符
            statement =conn.prepareStatement(sql);
            statement.setInt(1,1);  //占位符从1开始,此处表示了在第1个占位符处,插入的数据是整数1,也可以使用setObject
            statement.setString(2,"张三");//在第2个占位符处,插入的数据是一个字符串类型的“张三”
            statement.setString(3,"男"); //其它的以此类推
            statement.setInt(4,19);

            statement.setInt(5,2);
            statement.setString(6,"李四");
            statement.setString(7,"女");
            statement.setInt(8,18);
            
            statement.setInt(9,3);
            statement.setString(10,"王五");
            statement.setString(11,"男");
            statement.setInt(12,20);
            statement.executeUpdate();//每执行一个sql语句就需要执行该方法
地平线无际
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JavaJDBC的PreparedStatement用法
午-夜
07-17 6万+
PreparedStatement l  它是Statement接口的子接口; l  强大之处: Ø  防SQL攻击; Ø  提高代码的可读性、可维护性; Ø  提高效率! l  学习PreparedStatement用法: Ø  如何得到PreparedStatement对象: ¨      给出SQL模板! ¨      调用Connection的PreparedState
Java数据库连接PreparedStatement使用详解
08-29
Java 数据库连接 PreparedStatementJava 语言连接数据库的重要组件之一。通过使用 PreparedStatement,可以实现对数据库的 CRUD(Create, Read, Update, Delete)操作。下面将详细介绍 PreparedStatement 的...
JAVA【JDBC】【使用PreparedStatement操作数据库
芊樱烛渊的博客
08-07 4754
这里我们是先连接到了我们上述的数据表,然后将数据表的user和password的内容独取出来,然后编成sql语句,交给我们的mysql,并且如果查询失败就返回用户名不存在或者密码错误,如果查询成功就返回登陆成功。针对于不同的表我们想要获取到的查询数据的结构一定是不同的,所以我们需要在查询的时候将我们查询的结构传入,然后利用反射机制构造出对应的对象,然后将对应的对象返回。原来我们想表达的是 xx and xx是一个并且的关系,也就是我们的use和password同时正确的时候才返回结果。...
JDBCPreparedStatement详解及应用场景介绍
weixin_62079735的博客
03-20 6053
Java,当需要向数据库执行SQL语句并传递参数时,我们通常会使用PreparedStatement接口。PreparedStatement继承自Statement接口,用于预编译SQL语句并执行参数化查询,这样可以提高执行效率并防止SQL注入攻击。
JavaEE基础学习打卡06】JDBC之进阶学习PreparedStatement
编程火箭车(Coding Rocket)专注编程领域
08-24 1195
上篇文章我们学习了JDBC编程基本步骤,步骤使用Statement执行SQL语句。其实还有一个更好的方式,就是PreparedStatement,预编译语句。与Statement相比有诸多优势,目前开发一般使用PreparedStatement。所以我们非常有必要进行学习,而且日后的持久层框架底层也是使用PreparedStatement
Java数据库连接——PreparedStatement使用
anjiukonghe77852的博客
08-14 461
首先了解Statement和PreparedStatement的区别: 由此可见,一般使用PreparedStatement。 操作数据库SU(Course表),其Course属性有Cno,Cname,Cpno,Ccredit。 1 public class Demo_2 { 2 3 public static void main(String[] a...
javaPreparedStatementStatement详细讲解
08-25
Java 的 PreparedStatementStatement 详细讲解 Java 的 PreparedStatementStatement 是两个常用的数据库操作接口,但是它们之间存在着一些关键的区别,特别是在防止 SQL 注入攻击方面。...
Java使用PreparedStatement接口及ResultSet结果集的方法示例
08-27
我们可以这样使用`PreparedStatement`和`ResultSet`来处理查询结果: ```java public static List<CompMember> getAllMembers() throws Exception { Connection conn = null; PreparedStatement pstmt = null; ...
详解Java的JDBCStatement与PreparedStatement对象
09-03
PreparedStatement允许我们在SQL语句使用占位符(问号?),这些占位符会在执行前通过setXXX()方法设置具体的值。这种方式减少了SQL注入的风险,因为参数值在执行时已经转义。 创建PreparedStatement对象的例子...
Java JDBC基本使用方法详解
08-19
Java JDBC基本使用方法详解 Java JDBC是Java语言用于连接数据库的API,提供了统一的接口来访问不同的数据库。下面是Java JDBC基本使用方法的详细解释。 1. 什么是JDBC? JDBC全称Java Database Connectivity,...
JDBC之PreparedStatement的理解
gao_zhennan的博客
06-11 8148
前言:怀着疑惑和痛苦的心情写下这篇文章,其疑惑之一是预编译对象,会把编译之后的整个语句保存在对象,如果保存保存在哪里呢? 注:本文以mysql数据库为基础展开 一、基础知识 1、SQL语句在数据库的执行过程 一条SQL语句从客户端(如: java 程序、navicat工具、cmd命令行)发送到数据库管理系统后,要经历以下过程: 词法和语义的解析 优化SQL语句,制定执行计划 执行并返回结果...
使用 PreparedStatement 插入记录的 Java 程序
allway2的博客
07-23 856
请注意,产品id是主键,因此不能重复,如果我们尝试插入与现有产品id相同的记录,那么Oracle服务器会返回错误ORA-00001违反唯一约束(SCOTT.SYS_C0012404).同样,当我们尝试为产品ID插入太大的值时,我们会收到错误ORA-12899。要插入记录,我们需要一个表,我们也可以使用现有的表。SQL查询将在整个应用程序保持不变,因此,我们通常将SQL查询作为类顶部的字符串常量。在接下来的JDBC程序示例,我们将更新,并显示表的记录。...
PreparedStatement实现对表数据的增删改查操作-详解
mofeigege的博客
11-03 3998
对PreparedStatement使用的插入案例进行封装如下 package com.atmf; import java.io.InputStream; import java.sql.Connection; import java.sql.DriverManager; import java.sql.PreparedStatement; import java.util.Properties; import org.junit.Test; /** * @Describe 操作数据库的工具类.
使用PreparedStatement操作数据库:增删改
最新发布
qq_63377494的博客
09-21 188
我们可以写一个通用的方法来完成增删改操作。
如何用preparedstatement对象执行删除命令
iteye_9815的博客
11-02 1406
Java数据库连接(JDBC)API是一系列能够让Java编程人员访问数据库的接口,各个开发商的接口并不完全相同。在使用多年的Oracle公司的JDBC后,我积累了许多技巧,这些技巧能够使我们更好地发挥系统的性能和实现更多的功能。 Java数据库连接(JDBC)API是一系列能够让Java编程人员访问数据库的接口,各个开发商的接口并不完全相同。在使用多年的Oracle公司的JDBC后,我积累...
间接实现动态传入表名
机器学习菜鸟
01-30 941
问题是这样,想实现select * from ? order  by ?通过对?动态设置参数,实现对不同表的查询 直接利用PreparedStatement st = con.prepareStatement(sql);然后执行 会报表名无效的错误 下面是间接实现这样的操作 利用字符串替换的方法 sql = String.format(sql, table); 这样在sql配置文件
JavaPreparedStatementStatement用法区别
gaochangqing的专栏
10-22 625
1、 PreparedStatement接口继承Statement, PreparedStatement 实例包含已编译的 SQL 语句,所以其执行速度要快于 Statement 对象。 2、作为 Statement 的子类,PreparedStatement 继承了 Statement 的所有功能。三种方法       execute、 executeQuery 和 exec
Java JDBC PreparedStatement详解与案例
"这篇资源主要介绍了Java数据库编程PreparedStatement使用案例,以及JDBC数据库访问技术的基本概念和工作原理。" 在Java数据库编程,PreparedStatement是JDBC提供的一种预编译的SQL语句对象,它允许开发人员...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值