PrepareStatement对象

于 2023-03-07 20:07:32 发布
阅读量108 收藏
点赞数
文章标签: 数据库 sql mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_48803971/article/details/129387039
版权

PrepareStatement可以防止SQL注入。效率更好!

1、新增

package com.yang.lesson03;

import com.yang.lesson02.utils.JdbcUtils;


import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.SQLException;
import java.util.Date;

public class TestInsert {
    public static void main(String[] args) {

        Connection conn = null;
        PreparedStatement st = null;

        try {
           conn = JdbcUtils.getConnection();

           //区别
            //使用?占位符代替参数
            String sql = "INSERT INTO users(`id`,`NAME`,`PASSWORD`,`email`,`birthday`)values(?,?,?,?,?)";

            st = conn.prepareStatement(sql);//预编译SQL,先写sql,然后不执行

            //手动给参数赋值
            st.setInt(1,4);//id
            st.setString(2,"yang");
            st.setString(3,"123456");
            st.setString(4,"1356619932@qq.com");
            //注意点:sql,Date  数据库
            //  util.Date   Java    new Date().getTime()获得时间戳
            st.setDate(5,new java.sql.Date(new Date().getTime()));

            //执行
           int i = st.executeUpdate();
           if (i>0){
               System.out.println("插入成功!");
           }

        } catch (SQLException e) {
            e.printStackTrace();
        }finally {
            JdbcUtils.release(conn,st,null);
        }
    }
}

2、删除

package com.yang.lesson03;

import com.yang.lesson02.utils.JdbcUtils;

import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.SQLException;
import java.util.Date;

public class TestDelete {
    public static void main(String[] args) {
        Connection conn = null;
        PreparedStatement st = null;

        try {
            conn = JdbcUtils.getConnection();

            //区别
            //使用?占位符代替参数
            String sql = "delete from users where id=?";

            st = conn.prepareStatement(sql);//预编译SQL,先写sql,然后不执行

            //手动给参数赋值
            st.setInt(1,4);

            //执行
            int i = st.executeUpdate();
            if (i>0){
                System.out.println("删除成功!");
            }

        } catch (SQLException e) {
            e.printStackTrace();
        }finally {
            JdbcUtils.release(conn,st,null);
        }
    }
}

3、更新

package com.yang.lesson03;

import com.yang.lesson02.utils.JdbcUtils;

import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.SQLException;
import java.util.Date;

public class TestUpdate {
    public static void main(String[] args) {
        Connection conn = null;
        PreparedStatement st = null;

        try {
            conn = JdbcUtils.getConnection();

            //区别
            //使用?占位符代替参数
            String sql = "update users set `NAME` = ? where id = ? ";
            st = conn.prepareStatement(sql);//预编译SQL,先写sql,然后不执行

            //手动给参数赋值
            st.setString(1,"杨");
            st.setInt(2,1);

            //执行
            int i = st.executeUpdate();
            if (i>0){
                System.out.println("更新成功!");
            }

        } catch (SQLException e) {
            e.printStackTrace();
        }finally {
            JdbcUtils.release(conn,st,null);
        }
    }
}

4、查询

package com.yang.lesson03;


import com.yang.lesson02.utils.JdbcUtils;

import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;

public class TestSelect {
    public static void main(String[] args) {

        Connection conn = null;
        PreparedStatement st = null;
        ResultSet rs = null;

        try {
           conn = JdbcUtils.getConnection();

           String sql = "select * from users where id = ?";//编写SQL

            st = conn.prepareStatement(sql);//预编译

            st.setInt(1,1);//传递参数

            //执行
            rs =  st.executeQuery();
            if (rs.next()){
                System.out.println(rs.getString("NAME"));
            }

        } catch (SQLException e) {
            e.printStackTrace();
        }finally {
            JdbcUtils.release(conn,st,rs);
        }
    }
}

5、防止SQL注入

package com.yang.lesson03;

import com.yang.lesson02.utils.JdbcUtils;

import java.sql.*;

public class SQL注入 {
    public static void main(String[] args) {

        //login("lisi","123456");
        login("''or 1=1","123456");

    }

    //登录业务
    public static void login(String username,String password){
        Connection conn = null;
        PreparedStatement st = null;
        ResultSet rs = null;
        try {
            conn = JdbcUtils.getConnection();

            //PreparedStatement防止SQL注入的本质,把传递进来的参数当做字符
            //假设其中存在转义字符,比如说 ' 会被直接转义
            String sql = "select * from users where `NAME` = ? and `PASSWORD` =?";//Mybatis
             st = conn.prepareStatement(sql);
            st.setString(1,username);
            st.setString(2,password);

            //查询完毕会返回一个结果集
            rs = st.executeQuery();
            while (rs.next()){
                System.out.println(rs.getString("NAME"));
                System.out.println(rs.getString("PASSWORD"));
                System.out.println("=========================================");
            }

        } catch (SQLException e) {
            e.printStackTrace();
        }finally {
            JdbcUtils.release(conn,st,rs);
        }


    }

}

使用IDEA连接数据库:

连接成功后可以查看数据库

 双击数据库

更新数据

 

女王彦
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JDBC--PrepareStatement对象-程序
dreamflygril的博客
06-02 594
运行第一个JDBC程序时成功加载到数据库中内容,但程序还有不足之处,具体改进如下: 1.注册驱动 为了避免数据库驱动被重复注册,只需要在程序中加载驱动类即可 Class.forName("com.mysql.jdbc.Driver); 2.释放资源 当数据库资源使用完毕后,一定要释放资源 3.prepareStatement对象 SQL语句的执行时通过Statement对象实现的。S
预编译PrepareStatement
feimeng4s的博客
07-24 840
2020.7.24、(1)PreparedStatement的学习JDBC的标准使用、(2)JDBC事务管理(1)PreparedStatement的学习JDBC的标准使用昨天学习的登录程序竟然出问题了,输入别的密码竟然能登录(2)JDBC事务管理 (1)PreparedStatement的学习JDBC的标准使用 昨天学习的登录程序竟然出问题了,输入别的密码竟然能登录 请输入用户名: dfgdf 请输入密码: a’ or ‘a’ ='a 登录成功 就是上面这个 原来这是因为查询语句的问题 原来的查询语句是这
JDBC的PrepareStatement 对象
你的骑士
12-02 125
1.出现原因(作用) 1.Statement 对象每次执行sql语句时,都会对其进行编译,从而降低了数据库访问效率。 2.其次,statement不安全,会被注入攻击。 例如用户登录的时候查询SQL拼装语句为: String sql = “select * from tb_user where name = '” + username + “’ and passwd = '” + passwor...
prepareStatement对象几个常用的方法
duanniany的博客
11-23 2117
今天撸了一天代码头昏昏,CRU都没问题,倒在了简单的D(Delete)上了,在执行delete的sql语句时调用了PreparedStatement.executeQuery(),然后dao层的sql语句没反应不报错(原因是sql语句在try catch中)... 我翻了几遍逻辑都没问题,到最后才看见,以后头昏去吃饭! 现在说一下常用的prepareStatement中的方法吧。 1). PreparedStatement.execute()方法:...
PreparedStatement对象
weixin_46649583的博客
11-07 231
PreparedStatement对象 第一步:连接数据库(在工具类中) 第二步:编写SQL语句 第三步:预编译SQL,但不执行 第四步:手动为参数赋值 第五步:执行 注意:PreparedStatement可以避免SQL注入,因为他把专递进来的参数当做字符处理。若其中存在转义字符,例如 ’ 会被直接转义 使用方法(增删改) 插入 import com.lb.lesson02.utils.JdbcUtils; import java.sql.*; public class TestInsert
PrepareStatement用法(附源码解析)
Sherlock1020的博客
08-11 5662
PrepareStatement 基本用法 与 SQL注入分析
JDBC PrepareStatement 使用(附各种场景 demo)
最新发布
01-14
连接建立后,可以创建Statement或PrepareStatement对象来执行SQL命令。 PrepareStatement相比Statement的主要优势在于预编译。预编译的SQL语句在首次执行时会被数据库解析并生成执行计划,后续的重复调用只需传入...
prepareStatementStatement的区别
09-23
首先,从创建时的区别开始,Statement 需要通过 Connection 对象的 createStatement() 方法创建,而 PreparedStatement 需要通过 Connection 对象的 prepareStatement() 方法创建,并且需要带有 SQL 语句。...
mybatis - prepareStatementstatement的区别
m0_60309952的博客
01-11 905
首先看两段代码: 首先是使用prepareStatement: public void add(Config config){ String sql = "insert into category values(null,?,?)"; try { Connection c = DBUtil.getConnection(); PreparedStatement ps = c.prepareStatement(sql)
java preparedstatement insert_获取最后一个插入的id--JDBC中Preparedstatement使用小结 及JDBC插入数据后获得Last insert ID...
weixin_34053992的博客
02-23 735
编写SQL语句, 尤其是要插入多个Filed时, 是一件非常BT的事情, 至少让我很不爽,使用preparedstatement可以使代码变得更优雅一些, 虽然会有些长, 但会更条理,而且preparedstatement更高于SQL语句 – 相对来说不太容易随着数据库版本改变而变动.另外preparedstatement效率更高, 安全性更好下面是恐怖的SQL:Statement stateme...
PrepareStatement对象(新增、删除、更新、查询、防止SQL注入)
...
08-02 945
MySQL三十三:PrepareStatement对象 PrepareStatement 可以防止SQL注入,并且效率高! 1、新增 package lesson03; import lesson02.utils.JdbcUtils; import java.sql.*; public class TestInsert { public static void main(String[] args) { Connection conn =null; Prepar
properties mysql转义_Java-JDBC-操作MySQL,Properties,MySQL的存储过程和函数
weixin_32103331的博客
01-19 241
数据库基本操作数据库RDBMS,relation database management system,关系型数据库管理系统。存放的是结构化数据SQL:Structured Query Language,结构化查询语言CRUDinsert into table_name(field_name,...) values(value,...)select id,... from table_name w...
PreparedStatement对象来实现JDBC增删改查
weixin_39944884的博客
07-19 1800
一. PreparedStatementStatement的区别 1.不需要sql语句拼接,防止sql注入,更加安全 2.用占位符的方式写sql,便于后期维护,提高代码可读性,可以自动对类型进行转换 3.有预编译功能,可以大批量处理sql,(mysql不明显,Oracle很明显) 4.向数据库中添加一条数据 5.PreparedStatement:用于执行sql语句的对象 6.用co...
JDBC (三) --- PreparedStatement对象介绍
但行好事 莫问前程
07-20 1122
1:PreperedStatementStatement的子类,它的实例对象可以通过Connection.preparedStatement()方法获得,相对于Statement对象而言:PreperedStatement可以避免SQL注入的问题。 2:Statement会使数据库频繁编译SQL,可能造成数据库缓冲区溢出。PreparedStatement可对SQL进行预编译,从而提高数据库的执...
Statement 和 PreparedStatement之间的关系和区别
suwu150
10-06 6万+
关系:PreparedStatement继承自Statement,都是接口 区别:PreparedStatement可以使用占位符,是预编译的,批处理比Statement效率高表示预编译的 SQL 语句的对象。 接口:public interface PreparedStatement extends Statement之间的继承关系 SQL 语句被预编译并存储在 PreparedStatement 对象中。然后可以使用此对象多次高效地执行该语句。 注:用于设置 IN 参数值的设置方法(setShort
JDBC入门(二):PrepareStatement对象
qq_42423373的博客
12-19 242
1.Statrment存在的问题: 存在sql注入问题:拼接sql时,有一些sql的特殊关键字符与字符串的拼接,会造成的安全性问题,如 任意用户,输入密码:a’ or ‘a’ = 'a,存在恒等式,不能判断有错误。 2.解决办法: 引入prepareStatement对象。 3.使用区别: 定义sql语句时使用占位符?来代替具体数据; 执行sql语句前需要填充占位符。 //2.定义sql String sql = "select * from user where username = ? and pass
Java数据库JDBC——prepareStatement的用法和解释
热门推荐
nnzhuilian的博客
01-10 14万+
转自:http://blog.csdn.net/QH_JAVA/article/details/48245945 一、prepareStatement 的用法和解释 1.PreparedStatement是预编译的,对于批量处理可以大大提高效率. 也叫JDBC存储过程 2.使用 Statement 对象。在对数据库只执行一次性存取的时侯,用 Statement 对象进行处理。Prepared...
PrepareStatement
05-28
1. 创建PrepareStatement对象,通过Connection的prepareStatement方法实现。 2. 设置SQL语句的参数,通过PrepareStatement的setXXX方法实现,其中XXX表示参数的类型,如setString、setInt等。 3. 执行SQL语句,通过...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值