PreparedStatement对象

于 2022-08-08 09:35:07 发布
阅读量85 收藏
点赞数
分类专栏: MySQL 文章标签: 数据库 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46423017/article/details/126221376
版权

目的:

        PreparedStatement可以防止SQL注入,效率更好

(1)增加

package com.gt.lesson03;

import com.gt.lesson02.utils.JdbcUtils;

import java.sql.Connection;
import java.util.Date;
import java.sql.PreparedStatement;
import java.sql.SQLException;

public class Testlnsert {
    public static void main(String[] args) {

        Connection conn = null;
        PreparedStatement st = null;


        try {
            conn = JdbcUtils.getConnection();
            //区别
            //使用?占位符替代参数
            String sql = "INSERT INTO users(id,`NAME`,`PASSWORD`,`email`,`birthday`) values(?,?,?,?,?)";

            st = conn.prepareStatement(sql);//预编译SQL,先写sql,然后不执行

            //手动给参数赋值
            st.setInt(1, 5);//id
            st.setString(2, "gitgfds");
            st.setString(3, "123456");
            st.setString(4, "121654@qq.com");
            //注意点:sql.Date 数据库 java.sql.Date()
            //      util.Date JAVA new Date().getTime() 获得时间戳
            st.setDate(5, new java.sql.Date(new Date().getTime()));

            //执行
            int i = st.executeUpdate();
            if (i > 0) {
                System.out.println("插入成功!");
            }

        } catch (SQLException throwables) {
            throwables.printStackTrace();
        } finally {
            JdbcUtils.release(conn, st, null);
        }
    }
}

输出结果:

(2)删除

package com.gt.lesson03;

import com.gt.lesson02.utils.JdbcUtils;

import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.SQLException;
import java.util.Date;

public class TestDelete {
    public static void main(String[] args) {
        Connection conn = null;
        PreparedStatement st = null;


        try {
            conn = JdbcUtils.getConnection();
            //区别
            //使用?占位符替代参数
            String sql = "delete from users where id=?";

            st = conn.prepareStatement(sql);//预编译SQL,先写sql,然后不执行

            //手动给参数赋值
            st.setInt(1, 4);

            //执行
            int i = st.executeUpdate();
            if (i > 0) {
                System.out.println("删除成功!");
            }

        } catch (SQLException throwables) {
            throwables.printStackTrace();
        } finally {
            JdbcUtils.release(conn, st, null);
        }
    }

}

输出结果:

 

(3)更新

package com.gt.lesson03;

import com.gt.lesson02.utils.JdbcUtils;

import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.SQLException;

public class TestUpdate {
    public static void main(String[] args) {
        Connection conn = null;
        PreparedStatement st = null;


        try {
            conn = JdbcUtils.getConnection();
            //区别
            //使用?占位符替代参数
            String sql = "update users set `NAME`=? where id=?;";

            st = conn.prepareStatement(sql);//预编译SQL,先写sql,然后不执行

            //手动给参数赋值
            st.setString(1,"sanmu");
            st.setInt(2,1);

            //执行
            int i = st.executeUpdate();
            if (i > 0) {
                System.out.println("更新成功!");
            }

        } catch (SQLException throwables) {
            throwables.printStackTrace();
        } finally {
            JdbcUtils.release(conn, st, null);
        }
    }
}

输出结果:

 

(4)查询

package com.gt.lesson03;

import com.gt.lesson02.utils.JdbcUtils;

import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;

public class TestSelect {
    public static void main(String[] args) {
        Connection conn = null;
        PreparedStatement st = null;
        ResultSet rs = null;

        try {
            conn = JdbcUtils.getConnection();
            String sql = "select * from users where id = ?";//编写SQL
            st = conn.prepareStatement(sql);//预编译
            st.setInt(1, 1);//传递参数
            rs = st.executeQuery();//执行
            if(rs.next()){
                System.out.println(rs.getString("NAME"));
            }

        } catch (SQLException throwables) {
            throwables.printStackTrace();
        }finally{
            JdbcUtils.release(conn,st,rs);
        }
    }
}

输出结果: 

(5)防止SQL注入

package com.gt.lesson03;

import com.gt.lesson02.utils.JdbcUtils;

import java.sql.*;

public class SQL注入 {
    public static void main(String[] args) {

              login("sanmu","123456");//正常登录
//        login("''or 1=1", "123456");//非正常登录
    }

    //登录业务
    public static void login(String username, String password) {
        Connection conn = null;
        PreparedStatement st = null;
        ResultSet rs = null;

        //SQL
        try {
            conn = JdbcUtils.getConnection();

            //PreparedStatement防止SQL注入的本质,把传递进来的参数当做字符
            //假设其中存在转义字符,比如说''会被直接转义
            //SQL
            String sql = "SELECT * FROM users WHERE `NAME`= ? AND `PASSWORD` = ?";//Mybatis

            st = conn.prepareStatement(sql);
            st.setString(1,username);
            st.setString(2,password);



            rs = st.executeQuery();//查询完毕会返回一个结果集

            while (rs.next()) {
                System.out.println(rs.getString("NAME"));
                System.out.println(rs.getString("PASSWORD"));
                System.out.println("============================");
            }

        } catch (SQLException throwables) {
            throwables.printStackTrace();
        } finally {
            JdbcUtils.release(conn, st, rs);

        }
    }
}

输出结果:

        错误代码,SQL注入不了,查不到任何结果

        正确密码,SQL注入

 

siiove
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JDBC操作2:PreparedStatement对象、实现获取自动增长的值、批处理以及事务操作
weixin_43498449的博客
05-21 772
Statement对象 1、Statement对象主要作用执行sql语句的 2、Statement对象缺点: (1)sql语句拼接 @Test public void test01() { Connection conn = null; Statement statement = null; ResultSet rs = null; try { Class.forName("com.mysql.jdbc.Driver"); co
PreparedStatement 对象
m0_47087039的博客
07-01 214
SQL注入的相关问题: SQL 注入:用户输入的内容作为了 SQL 语句语法的一部分,改变了原有 SQL 的语义。 假 设有登录案例 SQL 语句如下: SELECT * FROM 用户表 WHERE NAME = 用户输入的用户名 AND PASSWORD = 用户输 的密码 此时,当用户输入正确的账号与密码后,查询到了信息则让用户登录。但是当用户输入的账号 为 xxx密码为:'xxx’ OR ‘1’=1时,则真正执行的代码变为: SELECT * FROM 用户表 WHER...
PreparedStatement对象详解(优于Statement
weixin_45746783的博客
10-09 348
PreparedStatement可以防止SQL注入,比Statement效率更好! PreparedStatement防止SQL注入的本质,把传递进来的参数当作字符,假设其中存在转义字符,比如说' '会被直接转义。 SQL注入的概念可百度查询,注入关键语句:" ' ' or 1=1"(值为空或者1=1为true); preparedStatementStatement的区别: Statement先写好sql语句,然后执行;preparedStatement预编译SQL,先写sql,然后不执...
详解Java的JDBC中Statement与PreparedStatement对象
09-03
主要介绍了详解Java的JDBC中Statement与PreparedStatement对象,PreparedStatement一般来说比使用Statement效率更高,需要的朋友可以参考下
JSP中的PreparedStatement对象操作数据库的使用教程
01-08
PreparedStatement接口继承Statement,并与之在两方面有所不同: PreparedStatement 实例包含已编译...由于 PreparedStatement 对象已预编译过,所以其执行速度要快于 Statement 对象。因此,多次执行的 SQL 语句经常创
使用PreparedStatement访问数据库
12-14
 PrepatredStatement实例包含已编译的SQL语句,由于PreparedStatement对象已预编译过哦哦,所以执行速度快于Statement对象。  包含于PreparedStatement对象中的SQL语句具有一个或多个IN参数。IN参数的值在SQL...
JDBCTM 指南:入门6-PreparedStatement
01-08
6 – PreparedStatement本概述是从《JDBCTM Database Access from JavaTM: A Tutorial and Annotated Reference 》这本书中摘引来的。JavaSoft 目前正在准备这本书。这是一本教程,同时也是 JDBC 的重要参考手册,它...
jdbc 学习笔记3(PreparedStatement对象)
rkind的专栏
06-06 5137
二、通过PreparedStatement对象访问数据库前面,我们讨论了用连接对象Connection产生Statement对象,然后用Statement数据库管理系统进行交互。Statement对象在每次执行SQL语句时都将该语句传递给数据库。在多次执行同一语句时,这样做效率较低。解决这个问题的办法是使用PreparedStatement对象。如果数据库支持预编译,可以在创建PreparedS
JDBC之PreparedStatement对象
weixin_43529573的博客
06-09 425
一,PreparedStatement PreparedStatement作用:执行预编译的sql语句对象。 1,SQL注入:在拼接sql时,有一些SQL的特殊性关键字参与字符串拼接,会造成安全性问题。 若输入用户名随意,密码:a’ or ‘a’ = 'a,则有以下sql语句:select * from user where username = 'dfss"and password = “a” or “a” = “a”;查询结果一定存在。 2,解决SQL注入问题: 采用预编译的SQL语句,参数使用?作为
JDBC之PreparedStatement对象使用
weixin_44594041的博客
09-02 1387
文章目录前言一、为什么选择PreparedStatement?二、创建PreparedStatement对象三、带参数的SQL语句2.读入数据总结 前言 这里大概整理一下对于PreparedStatement的理解 一、为什么选择PreparedStatementStatement对象在每次执行SQL语句时都将该语句传给数据库。这样,多次执行同一个语句时效率较低。为了提高语句的执行效率,可以使用PreparedStatement接口对象。 二、创建PreparedStatement对象 使用Prepa
JDBC (三) --- PreparedStatement对象介绍
但行好事 莫问前程
07-20 1100
1:PreperedStatementStatement的子类,它的实例对象可以通过Connection.preparedStatement()方法获得,相对于Statement对象而言:PreperedStatement可以避免SQL注入的问题。 2:Statement会使数据库频繁编译SQL,可能造成数据库缓冲区溢出。PreparedStatement可对SQL进行预编译,从而提高数据库的执...
25.【批处理及PreparedStatement对象
一介书生
10-06 768
批处理 当向数据库发送多条不同的SQL语句时,可以使用Statement实现批处理。Statement通过addBatch()方法添加一条SQL语句,通过executeBatch()方法批量执行SQL语句。 public static void main(String[] args) { Connection conn=null; Statement stmt=null; try { c...
javaStatement对象和PreparedStatement对象
流年逝2011
04-12 4008
使用Connection的createStatement()来建立Statement对象,如 Statement st = conn.createStatement(); Statement对象主要执行静态的SQL语句,也就是在执行executeQuery()或者executeUpdate()时指定的是内容固定不变的SQL语句字符串,每一句都已经写好了. 如:st.executeUpdate
Statement 和 PreparedStatement之间的关系和区别
热门推荐
suwu150
10-06 6万+
关系:PreparedStatement继承自Statement,都是接口 区别:PreparedStatement可以使用占位符,是预编译的,批处理比Statement效率高表示预编译的 SQL 语句的对象。 接口:public interface PreparedStatement extends Statement之间的继承关系 SQL 语句被预编译并存储在 PreparedStatement 对象中。然后可以使用此对象多次高效地执行该语句。 注:用于设置 IN 参数值的设置方法(setShort
PreParedStatement对象的执行方法
C_suixin的博客
12-09 948
PreParedStatement对象 PreParedStatement对象是sql的预编译语句对象,它的执行方法有3种 execute:可以执行任何crud语句,返回结果为true或false 代表是否有结果集。 executeQuery:只能执行select语句 ,返回结果为查询的结果集。 executeUpdate:能执行cud语句,返回结果为受影响的行数。 ...
JSP基础(十四)——使用JDBC的Statement对象和PreparedStatement对象数据库进行CRUD
zl_StepByStep的博客
10-24 1810
JDBC 中的Statement对象用于向数据库发送SQL语句,想完成对数据库的增删改查,只需要通过这个对象数据库发送增删改查语句即可。     Statement对象的executeUpdate方法,用于向数据库发送增、删、改的SQL语句,executeUpdate执行完后,将会返回一个整数(即增删改语句导致了数据库几行数据发生了变化)。      Statement.executeQue
preparedstatement对象
最新发布
03-16
PreparedStatement对象Java编程语言中的一个接口,它是一种预编译的SQL语句对象。它可以在执行SQL语句之前进行编译,并且可以使用占位符来代替参数,从而提高了SQL语句的执行效率和安全性。PreparedStatement对象...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值