JDBC--PreparedStatement

最新推荐文章于 2024-04-27 22:32:52 发布
最新推荐文章于 2024-04-27 22:32:52 发布
阅读量703 收藏
点赞数
文章标签: 数据库 sql java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_48508643/article/details/128105812
版权

JDBC–PreparedStatement

SQl注入

用户输入的数据中有SQl关键字或语法并参与了SQl语句的编译

案例

import java.sql.*;

public class TestJdbc4 {
    public static void main(String[] args) throws ClassNotFoundException, SQLException {
        //驱动名
        String driverName = "com.mysql.jdbc.Driver";
        //连接数据库的url
        String url = "jdbc:mysql://localhost:3306/mydbjdbc?useSSL=false";
        //用户名
        String username = "root";
        //密码
        String pass = "root";

        //加载驱动
        Class.forName(driverName);

        //假设用户输入的数据
        String n = "abc' OR 1=1 OR '1=1";
        String p = "123";

        //SQL语句
        String sql = "SELECT * FROM user WHERE username='" + n + "' AND password='" + p + "'";
        System.out.println(sql);
        //建立连接
        Connection connection = DriverManager.getConnection(url, username, pass);

        //System.out.println(connection);
        Statement statement = connection.createStatement();
        //发送SQL语句
        ResultSet resultSet = statement.executeQuery(sql);

        //处理结果
        while(resultSet.next()) {
            System.out.println(resultSet.getString("username"));
            System.out.println(resultSet.getString("password"));
        }

        //释放资源
        resultSet.close();
        statement.close();
        connection.close();
    }
}

如何避免SQl注入 就要使用preparedStatement

PreparedStatement

继承了Statement接口

可以对SQl语句预编译

预编译SQL语句

//SQL语句
String sql = "SELECT * FROM user WHERE username=? AND password=?";

//预编译SQL语句
PreparedStatement statement = connection.prepareStatement(sql);

设置参数

String n = "abc' OR 1=1 OR '1=1";
String p = "123";

//设置参数
statement.setString(1, n);
statement.setString(2, p);

使用JDBC进行增删改查操作 **** 重点掌握

添加

package Jdbc1;

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;

public class MyExercise3{
    // preparedStatement -- 添加

    public static void main(String[] args) throws Exception{

        String driverName = "com.mysql.jdbc.Driver";
        String url ="jdbc:mysql://localhost:3306/mydbjdbc?useSSL=false";
        String username = "root";
        String pass = "1234";

        Class.forName(driverName);
        Connection conn = DriverManager.getConnection(url,username,pass);
        String name ="Peter";
        int age = 10;
        String gender = "male";

        String sql = "insert into `tb_stu`(`sname`, `sage`,`sgender`) values(?,?,?)";
        PreparedStatement pst = conn.prepareStatement(sql);
        //设置参数
        pst.setString(1, name);
        pst.setInt(2, age);
        pst.setString(3, gender);
        //发送SQL语句
        int i = pst.executeUpdate();
        //处理结果
       if(i == 1){
           System.out.println("添加成功");
       }
       // 关闭资源
        pst.close();
        conn.close();

    }

}

删除

package Jdbc1;

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;

public class MyExercise3_2 {
    // preparedStatement -- 删除

    public static void main(String[] args) throws Exception{

        String driverName = "com.mysql.jdbc.Driver";
        String url ="jdbc:mysql://localhost:3306/mydbjdbc?useSSL=false";
        String username = "root";
        String pass = "1234";

        Class.forName(driverName);
        Connection conn = DriverManager.getConnection(url,username,pass);
        String name ="Peter";
        int id = 7;
        String gender = "famale";

        String sql = "delete from `tb_stu` where `sid` = ?";
        PreparedStatement pst = conn.prepareStatement(sql);
        //设置参数
        pst.setInt(1, id);
        //发送SQL语句
        int i = pst.executeUpdate();
        //处理结果
       if(i == 1){
           System.out.println("删除成功");
       }
       // 关闭资源
        pst.close();
        conn.close();

    }

}

修改

package Jdbc1;

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;

public class MyExercise3_1 {
    // preparedStatement -- 修改

    public static void main(String[] args) throws Exception{

        String driverName = "com.mysql.jdbc.Driver";
        String url ="jdbc:mysql://localhost:3306/mydbjdbc?useSSL=false";
        String username = "root";
        String pass = "1234";

        Class.forName(driverName);
        Connection conn = DriverManager.getConnection(url,username,pass);
        String name ="Peter";
        int id = 7;
        String gender = "famale";

        String sql = "Update `tb_stu` set `sname`= ?,`sgender`= ? where `sid` = ?";
        PreparedStatement pst = conn.prepareStatement(sql);
        //设置参数
        pst.setString(1, name);
        pst.setString(2, gender);
        pst.setInt(3, id);
        //发送SQL语句
        int i = pst.executeUpdate();
        //处理结果
       if(i == 1){
           System.out.println("修改成功");
       }
       // 关闭资源
        pst.close();
        conn.close();

    }

}

查询

package Jdbc1;

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.ResultSet;

public class MyExercise3_3 {
    // preparedStatement -- 查询

    public static void main(String[] args) throws Exception{

        String driverName = "com.mysql.jdbc.Driver";
        String url ="jdbc:mysql://localhost:3306/mydbjdbc?useSSL=false";
        String username = "root";
        String pass = "1234";

        Class.forName(driverName);
        Connection conn = DriverManager.getConnection(url,username,pass);
        String name ="o";

        String sql = "select * from `tb_stu` where `sname` like ?";
        PreparedStatement pst = conn.prepareStatement(sql);
        //设置参数
        pst.setString(1, "%" +name + "%");
        //发送SQL语句
        ResultSet resultSet = pst.executeQuery();
        //处理结果
        while (resultSet.next()) {
            int sid = resultSet.getInt(1);
            String sname = resultSet.getString(2);
            int sage = resultSet.getInt(3);
            String sgender = resultSet.getString(4);
            System.out.println(sid + ";" + sname + ";" + sage + ";" + sgender);

        }
       // 关闭资源
        pst.close();
        conn.close();

    }

}
愉悦的周先生
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
javastatement对象的作用_javaStatement 对象
weixin_42412524的博客
02-13 2748
1、创建Statement对象建立了到特定数据库的连接之后,就可用该连接发送 SQL 语句。Statement对象用 Connection 的方法 createStatement 创建,如下列代码段中所示:Connection con = DriverManager.getConnection(url, "sunny", "");Statement stmt = con.createStatem...
JDBC中的PreparedStatement
weixin_40273144的博客
04-21 256
使用Statement需要进行拼写SQL语句,很麻烦而且容易出错,这就用到了PreparedStatement。PreparedStatementStatement的子接口,可以传入带占位符的SQL语句,并且提供了补充占位符变量的方法。 1.使用PreparedStatement 1.1 创建PreparedStatement; String sql="INSERT INTO EXAMS...
浅谈PreparedStatement
m0_74570541的博客
04-28 866
Statement接口不同的是,PreparedStatement对象可以预编译SQL语句,并且可以动态地设置参数值,从而避免了SQL注入攻击,并提高了SQL语句的执行效率。在这个例子中,创建了一个PreparedStatement对象,用于执行SELECT语句,并且使用了一个参数来限定查询结果。注意,这里的SQL语句中使用了一个问号作为参数占位符。总的来说,PreparedStatement对象可以预编译SQL语句,并且可以动态地设置参数值,从而提高了SQL语句的执行效率,并避免了SQL注入攻击。
PreparedStatement的基本介绍与使用
薯条和番茄酱的博客
10-25 3381
1.PreparedStatement执行的SQL语句中的参数用?表示,调用PreparedStatement对象的setXxx()方法设置这些参数。setXxx()有两个参数,第一个参数是要设置SQL语句中的参数的索引从1开始,第二个是设置SQL语句中的参数的值例如:2.调用,返回ResultSet对象3.调用,执行更新,包括增删改查。
如何使用PreparedStatement来执行参数化查询,并解释其好处。
最新发布
fishlovejavaa的博客
04-27 463
2. **创建 `PreparedStatement` 对象**:使用 `Connection` 对象的 `prepareStatement` 方法创建 `PreparedStatement` 对象。4. **执行查询**:根据需要执行 `execute`, `executeQuery` 或 `executeUpdate`。3. **设置参数**:使用 `PreparedStatement` 对象的 `set` 方法设置参数。4. **代码清晰**:使用参数化查询可以使代码更加清晰,易于维护。
JDBC PreparedStatement 的命名参数实现
allway2的博客
08-01 1488
在我的计算机上针对一张小表对上述查询进行的测试给出了NamedParameterStatement的352微秒、AttachableNamedParameterStatement(无同步)的325微秒和原始PreparedStatement的332微秒的时间。但是,对于较大的查询,跟踪索引变得非常困难。很明显,如果参数接近语句的开头并且有多个参数,或者如果查询被重组以使参数以不同的顺序出现,这可能会出现问题。与执行查询所需的时间相比,翻译查询和查找参数索引所花费的时间实际上是最少的。......
JDBC之PreparedStatement的用法
shuo_Java的博客
04-21 1015
JDBC之PreparedStatement的用法
JDBC--PrepareStatement对象-程序
dreamflygril的博客
06-02 584
运行第一个JDBC程序时成功加载到数据库中内容,但程序还有不足之处,具体改进如下: 1.注册驱动 为了避免数据库驱动被重复注册,只需要在程序中加载驱动类即可 Class.forName("com.mysql.jdbc.Driver); 2.释放资源 当数据库资源使用完毕后,一定要释放资源 3.prepareStatement对象 SQL语句的执行时通过Statement对象实现的。S
clickhouse-jdbc-bridgeRPM安装包适应于centos678
09-19
3. **执行SQL**:通过`Statement`或`PreparedStatement`对象执行SQL查询、插入、更新等操作。 五、注意事项 - 确保ClickHouse服务器正常运行且允许JDBC连接。 - 检查防火墙设置,确保8123端口(默认JDBC端口)对桥...
jdbc-odbc.zip_jdbc-odbc download
09-19
5. **执行SQL语句**:解释如何使用`Statement`或`PreparedStatement`对象来执行SQL查询、插入、更新和删除操作。 6. **结果集处理**:阐述如何遍历和处理`ResultSet`对象,获取并操作查询结果。 7. **异常处理**:...
jdbc.rar_jdbc_jdbc-odbc
09-23
**JDBC基础与JDBC-ODBC桥接详解** JDBCJava Database Connectivity)是Java编程语言中用于规范客户端程序如何访问数据库的应用程序接口,它提供了标准的API,使得Java开发者能够连接到各种类型的数据库系统。JDBC...
clickhouse-jdbc
11-30
3. **执行SQL查询**:获取到连接后,可以创建`Statement`或`PreparedStatement`对象来执行SQL语句。例如,查询一个表: ```java Statement stmt = conn.createStatement(); ResultSet rs = stmt.executeQuery(...
clickhouse-jdbc(从0.2.4到0.3.2版本).zip
01-12
2. **JDBC接口**:点击house-JDBC遵循JDBC规范,提供`java.sql.Connection`, `Statement`, `PreparedStatement`和`ResultSet`等接口,使得Java开发者可以使用熟悉的API进行数据库操作。例如,你可以创建连接(`...
PrepareStatement用法(附源码解析)
Sherlock1020的博客
08-11 5544
PrepareStatement 基本用法 与 SQL注入分析
jdbc statement
yyyycccm的博客
07-20 673
jdbc statement的三种查询方式区别
jdbc环境配置及操作步骤
xy199931的博客
12-07 5133
jdbc环境配置及操作步骤
JDBC核心技术(获取数据库链接、数据库事务、数据库链接池)
SixFeet Under的博客
05-22 1739
文章目录前言数据的持久化Java数据存储技术JDBC介绍JDBC体系结构获取数据库链接Driver接口加载注册JDBC驱动获取数据库链接数据库链接方式(实例)方式一:代码中显示出现了第三方数据库API(不推荐)方式二:代码中不体现第三方数据库API(推荐)PreparedStatement实现CRUD操作两种技术PreparedStatement介绍使用Statement操作数据表的弊端(不推荐)PreparedStatement的使用PreparedStatement介绍PreparedStatement
JDBC笔记
weixin_42094659的博客
09-18 258
今日内容     1. JDBC基本概念     2. 快速入门     3. 对JDBC中各个接口和类详解 JDBC: 1. 概念:Java DataBase Connectivity Java 数据库连接, Java语言操作数据库     JDBC本质:其实是官方(sun公司)定义的一套操作所有关系型数据库的规则,即接口。各个数据库厂商去实现这套接口,提供数据库驱动jar包。我们可以使用这套...
sqlite-jdbc-3.34.0.jar
01-19
sqlite-jdbc-3.34.0.jar是一个用于在Java应用程序中连接和操作SQLite数据库JDBC驱动程序。SQLite是一个轻量级的嵌入式数据库,可以在没有服务器的环境中使用。 JDBCJava Database Connectivity)是Java平台上用于与数据库进行交互的API。通过使用JDBC驱动程序,我们可以在Java应用程序中使用标准的SQL语句来执行数据库操作,例如创建表、插入数据、查询数据等。 sqlite-jdbc-3.34.0.jar是SQLite JDBC驱动程序的版本号。这个JAR文件包含了驱动程序的所有必要文件和类库。可以将它添加到Java项目的classpath中,以便在项目中使用SQLite数据库。 使用sqlite-jdbc-3.34.0.jar,我们可以通过创建一个Connection对象与SQLite数据库建立连接。通过这个连接对象,我们可以创建Statement对象来执行SQL查询和更新语句。同时,还可以使用PreparedStatement和ResultSet对象来处理带参数SQL语句和查询结果。 为了使用sqlite-jdbc-3.34.0.jar,我们需要导入驱动程序的类库,并通过Class.forName()方法加载驱动程序。然后,可以通过DriverManager.getConnection()方法来获取与数据库的连接对象。 总结来说,sqlite-jdbc-3.34.0.jar是一个用于在Java应用程序中连接和操作SQLite数据库JDBC驱动程序。它提供了必要的类库和API,使得我们可以在Java项目中使用SQLite数据库
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值