JAVA-JDBC之prepareStatement和statement区别

最新推荐文章于 2024-01-05 20:58:51 发布
最新推荐文章于 2024-01-05 20:58:51 发布
阅读量333 收藏
点赞数
文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_50616415/article/details/132148080
版权

prepareStatement 是预编译方式的创建对象时就会传递sql,可以很好的防止sql注入,可以理解为在sql内部进行替换

statement是字符串替换方式的,他会产生sql注入,比如输入query(”‘skd“,”+wwe“)这样的形式就会匹配到’‘两个’会造成sql语句错误

     

  public static void query(String username,String password) {

             Statement statement=null;

             Connection  connection=null;

             

             /*

              * 1、加载驱动

              * */

             String urlString="jdbc:mysql://localhost:3306/emp?serverTimezone=Asia/Shanghai";

             /*

              * 用statement 字符串拼接的的方式容易造成sql注入,比如输入query(”‘skd“,”+wwe“)这样的形式就会匹配到’‘两个’会造成sql语句错误

              * */

             String sqlString = "select id,username,password,status from emp where username='"+username+"'and password='"+password+"' ";

             System.out.println(sqlString);

             ResultSet rs=null;

             /*

              * 反射方式加载驱动

              * */

             

             try {

                    Class.forName("com.mysql.cj.jdbc.Driver");

                    try {

                          /*

                           * 创建连接

                           * */

                          connection = DriverManager.getConnection(urlString,"root","root");

                          statement = connection.createStatement();

                          /*

                           * 返回对象

                           * */

                          

                          rs=statement.executeQuery(sqlString);

                          

//                        while(rs.next()) {//移动到下一行

//                               int id= rs.getInt(1);//取出当前行的第一列

//                               String username1=rs.getString(2);//取出当前行的第二列,这里因为第一列是int型第二列是String型

//                               String password1=rs.getString(3);

//                               System.out.println(id);

//                               System.out.println(username1);

//                               System.out.println(password1);

//                        }

                          if(rs.next()) {//移动到下一行

                                 int id= rs.getInt(1);//取出当前行的第一列

                                 String username1=rs.getString(2);//取出当前行的第二列,这里因为第一列是int型第二列是String型

                                 String password1=rs.getString(3);

                                 System.out.println(id);

//                               System.out.println(username1);

//                               System.out.println(password1);

                                 System.out.println("登陆成功!");

                          }else {

                                 System.out.println("用户不存在或用户名密码错误!");

                          }

                          

                          

                          

                    } catch (SQLException e) {

                          // TODO Auto-generated catch block

                          e.printStackTrace();

                    }

             } catch (ClassNotFoundException e) {

                    // TODO Auto-generated catch block

                    e.printStackTrace();

             }finally {

//                  先创建后关闭

                    if(rs!=null) {

                          try {

                                 rs.close();

                          } catch (SQLException e) {

                                 // TODO Auto-generated catch block

                                 e.printStackTrace();

                          }

                    }

                    if(statement!=null) {

                          try {

                                 statement.close();

                          } catch (SQLException e) {

                                 // TODO Auto-generated catch block

                                 e.printStackTrace();

                          }

                    }

                    if(connection!=null) {

                          try {

                                 connection.close();

                          } catch (SQLException e) {

                                 // TODO Auto-generated catch block

                                 e.printStackTrace();

                          }

                    }

                    

             }

             

       }

       public static void query1(String username,String password) {

             PreparedStatement  pStatement=null;

             Connection  connection=null;

             

             /*

              * 1、加载驱动

              * */

             String urlString="jdbc:mysql://localhost:3306/emp?serverTimezone=Asia/Shanghai";

             /*

              * 用statement 字符串拼接的的方式容易造成sql注入,比如输入query(”‘skd“,”+wwe“)这样的形式就会匹配到’‘两个’会造成sql语句错误

              * */

             String sqlString = "select id,username,password,status from emp where username= ? and password= ? ";

             System.out.println(sqlString);

             ResultSet rs=null;

       

             try {

                    Class.forName("com.mysql.cj.jdbc.Driver");

                    try {

                          /*

                           * 创建连接

                           * */

                          connection = DriverManager.getConnection(urlString,"root","root");

                          /*

                           * 预编译sql,创建对象时就传递sql,拼接字符串方式不需要

                           * */

                          pStatement = connection.prepareStatement(sqlString);

//                        pStatement.setString(1, "lili");//在jdbc中所有的索引都是从1开始

//                        pStatement.setString(2, "123456");

                          pStatement.setString(1, username);//在jdbc中所有的索引都是从1开始,--1表示第一个问好?

                          pStatement.setString(2, password);//可以理解为在mysql内部进行替换,可以很好的防止sql注入

                          /*

                           * 返回对象

                           * */

                          rs=pStatement.executeQuery();

                          if(rs.next()) {//移动到下一行

                                 int id= rs.getInt(1);//取出当前行的第一列

                                 String username1=rs.getString(2);//取出当前行的第二列,这里因为第一列是int型第二列是String型

                                 String password1=rs.getString(3);

                                 System.out.println(id);

//                               System.out.println(username1);

//                               System.out.println(password1);

                                 System.out.println("登陆成功!");

                          }else {

                                 System.out.println("用户不存在或用户名密码错误!");

                          }

                          

                          

                          

                    } catch (SQLException e) {

                          // TODO Auto-generated catch block

                          e.printStackTrace();

                    }

             } catch (ClassNotFoundException e) {

                    // TODO Auto-generated catch block

                    e.printStackTrace();

             }finally {

//                  先创建后关闭

                    if(rs!=null) {

                          try {

                                 rs.close();

                          } catch (SQLException e) {

                                 // TODO Auto-generated catch block

                                 e.printStackTrace();

                          }

                    }

                    if(pStatement!=null) {

                          try {

                                 pStatement.close();

                          } catch (SQLException e) {

                                 // TODO Auto-generated catch block

                                 e.printStackTrace();

                          }

                    }

                    if(connection!=null) {

                          try {

                                 connection.close();

                          } catch (SQLException e) {

                                 // TODO Auto-generated catch block

                                 e.printStackTrace();

                          }

                    }

                    

             }

             

       }

希小晨
关注
利用JDBC的PrepareStatement打印真实SQL的方法详解
08-29
PreparedStatement ps = connection.prepareStatement(sql); ps.setInt(1, 10); ``` 在这个例子,我们想知道实际执行的SQL语句是"SELECT * FROM table WHERE id = 10"。为了实现这个需求,我们可以自定义一个辅助...
Statemnet和PerparedStstemnent有哪些区别
weixin_33981932的博客
04-24 184
Statement 和 PreparedStatement之间的关系和区别. 关系:PreparedStatement继承自Statement,都是接口 区别:PreparedStatement可以使用占位符,是预编译的,批处理比Statement效率高 详解: 1、PreparedStatement:表示预编译的 SQL 语句的对象。 接口:public ...
Java--Statement和PrepareStatement区别
MinggeQingchun的博客
10-26 986
一、语法 两者的语法区别 Statement语法 Statement stmt = connect.createStatement(); String sql= "SELECT * FROM cg_user WHERE userId=10086 AND name LIKE 'xiaoming'"; ResultSet rs = stmt.executeUpdate(sql); PrepareStatement PreparedStatement preparedStatement = conne
数据库系列- JDBC 的三种 Statement 是什么?它们有什么区别
Dakaring的专栏
05-09 2092
参数化的 SQL 语句可以让数据库区分哪些是数据,哪些是命令,从而避免被恶意篡改。上面的代码创建了一个 PreparedStatement 对象,然后调用了 setString 方法,为第一个参数赋值为 “Tom”,然后调用了 executeQuery 方法,执行预编译的 SQL 语句,返回了一个 ResultSet 对象。上面的代码创建了一个 Statement 对象,然后调用了 executeQuery 方法,传入了一个 SQL 查询语句,返回了一个 ResultSet 对象,表示查询结果集。
JavaJDBC 之 PreparedStatementStatement区别和理解【转载并梳理】
weixin_50223520的博客
11-29 3590
JDBC 之 PreparedStatementStatement区别和理解【转载并梳理】
Java JDBC整合(概述,搭建,PreparedStatementStatement,结果集处理)
2303_77522514的博客
01-05 1044
JDBC:是一种执行sql语句的Java APL,可以为多种关系类型数据库提供统一访问,它由一组用Java语言编写的类和接口组成。有了JDBCJava人员只需要编写一次程序就可以访问不同的数据库。JDBC APL:供程序员调用的接口与类,集成在Java.sql包DriverManager类:管理不同的JDBC驱动Connection接口:与特定数据库连接Statement接口:执行sqlPreparedStatement接口:执行sql初始化驱动程序,这人样就可以打开与数据库的通信信道或者。
JDBC PrepareStatement 使用(附各种场景 demo)
最新发布
01-14
PrepareStatementJDBC提供的一种预编译的SQL语句,它可以提高数据库操作的效率和安全性。本资源主要涵盖了使用JDBC PrepareStatement进行MySQL数据库操作的各种场景,包括基本的查询、更新以及批量处理。 首先,...
java-JDBC连接数据库代码大全.doc
04-12
例如,`createStatement()`用于创建一个普通的SQL语句执行器,`prepareStatement()`用于创建预编译的SQL执行器。 - `Statement`:用于执行DML(Data Manipulation Language)SQL语句,如INSERT、UPDATE、DELETE。`...
Java-Java JDBC编程教程
11-14
Java JDBCJava Database Connectivity)是Java编程语言用于与数据库交互的一组接口和类,它提供了标准的方法来连接、查询和操作数据库。本教程将深入探讨Java JDBC编程的基础和实践,帮助你掌握如何在Java应用...
详解JavaJDBCStatement与PreparedStatement对象
09-03
JavaJDBCJava Database Connectivity),与数据库交互的核心接口是Statement和PreparedStatement。这两个接口都是用于执行SQL语句的,但它们在特性和效率上有所不同。 Statement接口是最基本的SQL执行方式...
JDBC的PreparedStatementStatement
m0_59555392的博客
07-21 218
Statement 和 PreparedStatement 都是JDBC用于执行静态SQL语句并返回其生成的结果的对象,他们之间的关系是什么?在使用上有哪些差别?
JDBCStatement和PrepareStatement区别
yanguz的专栏
08-31 245
主要区别:     Statement执行一条sql就得编译一次,PrepareStatement只编译一次;常用后者原因在于参数设置非常方便;执行一条sql就得编译一次,后者只编译一次;还有就是sql放置的位置不同; 常用后者原因在于参数设置非常方便;     特性:     jdbc的api的主要的四个类之一的java.sql.statement要求开发者付出大量的时间和精力。在...
JDBCStatement和PreparedStatement区别
qpzkobe的博客
02-07 1万+
以Oracle为例吧Statement为一条Sql语句生成执行计划,如果要执行两条sql语句select colume from table where colume=1;select colume from table where colume=2;会生成两个执行计划一千个查询就生成一千个执行计划!PreparedStatement用于使用绑定变量重用执行计划select colume from...
浅谈 JDBC CreateStatement 和 PrepareStatement区别与优劣。
热门推荐
雏鹰
09-12 5万+
微信搜索 程序员的起飞之路 可以加我公众号,保证一有干货就更新~ 本人的几点浅见,各位大大不喜勿喷。 先说下这俩到底是干啥的吧。其实这俩干的活儿都一样,就是创建了一个对象然后去通过对象调用executeQuery方法来执行sql语句。说是CreateStatement和PrepareStatement区别,但其实说的就是Statement和PrepareStatement区别,相信大家在网上已经看到过不少这方面的资料和博客,我在此处提几点,大家看到过的,就当重记忆,没看到就当补充~下面开始谈谈他.
JDBCStatement与PrepareStatement区别
chengmi6360的博客
04-25 388
PrepareStatement的优点: ①效率高. 使用PreparedStatement执行SQL命令时,命令会被数据库编译和解析,并放到命令缓冲区.以后每当执行同一个PreparedStatement对象时,预编译的命令就可以重复使用 ②代码可读性和可维护性好 ③安全性好. 使...
JDBC statement 和preparestatement区别
LiangEdward的博客
07-25 684
https://www.cnblogs.com/weiyi1314/p/6638483.html 个人总结:
浅谈 JDBC CreateStatement 和 PrepareStatement区别与优劣
machinecat0898的专栏
04-23 1738
本人的几点浅见,各位大大不喜勿喷。 先说下这俩到底是干啥的吧。其实这俩干的活儿都一样,就是创建了一个对象然后去通过对象调用executeQuery方法来执行sql语句。说是CreateStatement和PrepareStatement区别,但其实说的就是Statement和PrepareStatement区别,相信大家在网上已经看到过不少这方面的资料和博客,我在此处提几点,大家看到过的,就
JDBCStatement和 PreparedStatement区别
仅仅是个学习笔记
08-28 1409
关系:PreparedStatement继承自Statement,两者都是接口 区别:PreparedStatement是预编译的,比Statement效率高,可以使用占位符,可防止SQL注入 import java.sql.Connection; import java.sql.DriverManager; import java.sql.SQLException; import java....
JDBCStatement和PrepareStatement区别及特性
且听风吟的专栏
08-06 1万+
主要区别:     Statement执行一条sql就得编译一次,PrepareStatement只编译一次;常用后者原因在于参数设置非常方便;执行一条sql就得编译一次,后者只编译一次;还有就是sql放置的位置不同; 常用后者原因在于参数设置非常方便; 特性:     jdbc的api的主要的四个类之一的java.sql.statement要求开发者付出大量的时间和精力。在使
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值