Statement对象执行SQL语句时,对SQL进行参数拼接时 因为空格产生的bug演示

已于 2022-03-06 19:22:16 修改
阅读量466 收藏
点赞数 1
分类专栏: mybatis 文章标签: mysql java
于 2022-03-06 19:20:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51986648/article/details/123315161
版权

模拟登陆功能,通过名称和地区进行登录

先看一下运行效果:
在这里插入图片描述

这是我数据库的数据:
在这里插入图片描述
为什么会登录失败呢?
dname和loc字段的输入都是一模一样的
但仔细看我们打印的SQL语句会发现被单引号括起来的字段好像是多了个空格,既然如此我们拿到SQL语句到查询编辑器里面运行看看效果
在这里插入图片描述
果不其然,是字符串里面的空格在作怪,我当时在测试的时候也是找了好半天才想起测一下SQL语句,最终发现了问题,好在没有第一次掉入坑里待的时间久了.

以下是全部代码

/*
 * Statement对象执行SQL语句时,对SQL进行参数拼接时 因为空格产生的bug演示
 */
public class TestLogin1 {
    public static void main(String[] args) throws Exception {
        login();
    }

    /**
     * 封装了方法,用来获取数据库的连接
     *
     * @return
     */
    public static Connection getConnection() throws Exception {
        Connection connection = null;
        //1, 注册驱动
        Class.forName("com.mysql.jdbc.Driver");
        //2. 获取数据库的连接
        //String url ="jdbc:mysql://localhost:3306/mydb?characterEncoding=utf8&serverTimezone=Asia/Shanghai&useSSL=false";
        String url = "jdbc:mysql://localhost:3307/cgb2107?useSSL=false";
        connection = DriverManager.getConnection(url, "root", "root");
        return connection;
    }

    /*
    模拟登陆功能,通过名称和地区进行登录
     */
    private static void login() {
        Connection connection = null;
        ResultSet resultSet = null;
        Statement statement = null;
        try {
            connection = getConnection();
            String name = new Scanner(System.in).nextLine();
            String loc = new Scanner(System.in).nextLine();
            //3, 定义SQL
            String sql = "select * from dept where dname = ' " + name + " 'and loc =' " + loc + " ' ";
            System.out.println(sql);
            //4,获取传输器
            statement = connection.createStatement();
            //5, 处理结果集
            resultSet = statement.executeQuery(sql);
            if (resultSet.next()) {
                System.out.println("登录成功");
            } else {
                System.out.println("登录失败");
            }
        } catch (Exception e) {
            e.printStackTrace();
        } finally {
//        6, 释放资源
            close(resultSet, statement, connection);
        }
    }

    private static void close(ResultSet resultSet, Statement statement, Connection connection) {
        if (resultSet != null) {
            try {
                resultSet.close();
            } catch (SQLException throwables) {
                throwables.printStackTrace();
            }
        }
        if (resultSet != null) {
            try {
                statement.close();
            } catch (SQLException throwables) {
                throwables.printStackTrace();
            }
        }
        if (resultSet != null) {

            try {
                connection.close();
            } catch (SQLException throwables) {
                throwables.printStackTrace();
            }
        }
    }
}
华哥啊.
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Java使用Statement接口执行SQL语句操作实例分析
08-27
Java编程中,数据库操作是不可或缺的一部分,而Statement接口是Java标准库中用于执行SQL语句的主要工具之一。本篇文章将深入探讨如何使用Statement接口来执行SQL语句,特别是针对MySQL数据库的增删改查操作。 ...
sql语句中用问号代替参数
08-02
2. **提高性能**:预编译的SQL语句可以在数据库中缓存,多次执行相同结构但不同参数的查询,可以显著提高执行效率。数据库只需解析一次SQL模板,然后用新参数替换问号即可。 3. **减少错误**:动态构建SQL字符串...
sql 存储空格转成问号问题
weixin_30732825的博客
08-14 865
最近做系统,从邮件中导出邮件,上传到系统中,遇到一个奇葩的问题,如下: 通过本地文件看,文件名中是一个空格,上传至数据库后,展示就变成了问号,究其原因,发现是一个特殊字符导致: 最近认真去查了一下这个问题,发现问题的关键,是编码方式:如果使用的Encoding是UTF-8的话,就会发生这种情况。 问题的根源,在于UTF-8这种编码里面,存在一个特殊的字符,其编码是“0xC...
Java代码审计-SQL注入
as you know, nlp is fantasitc!
08-10 540
执行executeQuery()方法,如果没有对输入的数据进行提前处理,而是直接拼接sql语句中,就可能造成sql注入,可以看做executeQuery()就是执行sql语句,而不会进行任何检查。这几个阶段,在预编译的过程中,数据库首先接收到的是带有占位符(?)的语句,解析生成语法树,并且缓存在cache中,然后接受对应的参数信息,从cache中取出语法树,设置参数,再执行优化和执行操作,占位符来代替数据的位置,注意先预编译再拼接数据,而不是拼接完数据之后再预编译(这样的预编译不起作用)...
Statement和PreparedStatementSQL注入问题)
while(true){ study }
07-14 808
用于执行静态SQL语句并返回其生成的结果的对象。也就是说它是帮我们执行SQL语句,并且返回一个结果,就是干这个事情。我们在连接建立以后,需要对数据库进行访问,执行命令或者是SQL语句,可以通过StatementStatement是最先前出现的一种,后面发现Statement有些问题,就出现了PreparedStatement,这叫做预处理。Statement存在SQL注入问题。CallableStatement可以用来调存储过程。...
SQL字符串拼接
ddwangbin520的博客
05-30 5147
SELECT CONCAT('候选人:', lastname,firstname, ' 学科:',subject,' 学历:', qualification) AS 简历 FROM kalacloud_student ORDER BY qualification DESC;
MyBatis(4)Jdbc处理器StatementHandler解析
【 Think 】
06-11 272
MyBatis Jdbc处理器StatementHandler解析 StatementHandler概要 MyBatis一个基于JDBC的Dao框架,但前面我们所学的会话、执行器半点没有提到jdbc,原因是MyBatis把所有跟JDBC相关的操作全部都放到了StatementHandler中。 一个SQL请求会经过会话,然后是执行器,最由StatementHandler执行jdbc最终到达数据库。其关系如下图: 这里要注意这三者之间比例是1:1:n。也就是说多个SQL操作对应一个会话,和唯一的执
JDBC+注册驱动+获取连接+定义sql语句+获取执行sql对象+执行sql
最新发布
10-15
执行SQL语句之前,我们需要一个`Statement`或`PreparedStatement`对象。如上所述,根据SQL语句的性质选择适当的对象。 **五、执行SQL** 有了SQL语句执行对象,我们就可以执行SQL了。对于`Statement`,可以使用`...
利用JDBC的PrepareStatement打印真实SQL的方法详解
08-29
Java的JDBC编程中,`PreparedStatement`是一个非常重要的接口,它提供了预编译的SQL语句功能,能够显著提高执行效率,尤其是在批量处理大量数据。`PreparedStatement`也被称为JDBC存储过程,因为它允许开发者...
java statement一次执行多条不同类型的sql语句-附件资源
03-02
java statement一次执行多条不同类型的sql语句-附件资源
MyBatis Plus 动态拼接查询条件/sql动态组装/QueryWrapper 合并
在路上的博客
12-25 2万+
首先,我们需要知道字段和条件之间的对应关系,比如,对于 username字段,要使用 eq, 还是 like呢?看起来依然是十分啰嗦,于是,我们来简单封装一个工具类,根据传入的对象,不为空的字段,就动态拼接查询条件。接下来定义一个工具类,根据传入的实体对象,返回一个拼接完成的QueryWrapper查询对象。接下来,在Controller 只需如下,便能完成sql的动态组装。本文默认大家都已熟悉MyBatis Plus基本操作,不赘述。2022年1月27日 修订驼峰字段问题。代码变得干净又卫生。...
mybatis 执行sql_MyBatis源码分析 - SQL执行过程(二)之 StatementHandler
weixin_39714565的博客
12-05 161
在前面一系列的文档中,我已经分析了 MyBatis 的基础支持层以及整个的初始化过程,此 MyBatis 已经处于就绪状态了,等待使用者发号施令了 拉勾IT课小编为大家分解那么接下来我们来看看它执行SQL的整个过程,该过程比较复杂,涉及到二级缓存,将返回结果转换成 Java 对象以及延迟加载等等处理过程,这里将一步一步地进行分析:• 《SQL执行过程(一)之Executor》• 《SQL执行过...
演示业务中必须使用Statement完成字符串的拼接
weixin_45041745的博客
09-02 442
接上篇:java.sql.SQLSyntaxErrorException: Unknown column ‘xxx‘ in ‘where clause‘问题解决及防止SQL注入 演示业务中必须使用Statement完成字符串的拼接: 1、需求: 输入desc,对表中的数据按名字降序排序; 输入asc,对表中的数据按名字升序排序。 2、代码: 2.1 尝试用PreparedStatement完成 package com.sunny; import java.sql.*; import java.util.Sc
sql语句字符拼接
yu3jian4的博客
11-07 3290
sql语句字符串拼接中容易产生 前后语句没有加空格 导致在sql 中运行全连在一起,无法识别的问题 错误代码: $where = 'where 1=1';//where前 if($status!="all"){ $where.="and p.status='{$status}'";//and 前 '{$status}'后没有空格 }; if($cate...
SQL中字符串拼接
睡竹的博客
08-01 4134
SQL中字符串拼接
SQL 拼接字符串
热门推荐
Ruishine的博客
07-12 6万+
不同的数据库,相应的字符串拼接方式不同,下面进行详细讲解。 一、MySQL字符串拼接 1、CONCAT函数 语法格式:CONCAT(char c1, char c2, …, char cn) ,其中char代表字符串,定长与不定长均可以 连接两个字符串 select concat(ename,sal) from emp; 连接多个字符串 select concat(ename,':',sal) from emp; 2、"+"操作符 连接两个字符串 select ename+sal from emp; .
SQL SERVER2008的字符串拼接产生空格
piaoniu_1985的专栏
04-02 818
SQL SERVER2000的函数中,字符串的拼接不会产生空格 例如: stockCode '1' 使用拼接,set stockCode = '00000'+stockCode 结果是: '000001' 在SQL SERVER2008中, 结果是:'000001    ' 产生空格,所以使用RIGHT函数的候应设法使用RTRIM()去除空格...
错误:手动SQL语句拼接,注意空格
学愈进而愈惘
07-28 3762
错误语句报错VS2012提示我,在return_quy旁请注意”,”分析 根据报错原因,我以为是我疏忽中,return_qty并没有对应wms_receive_mtl表中的一个字段,但检查后,是完全对应的 后来,我又认为是我的SQL语句写的有问题,但是放在数据库里是能完好运行的但是我将SQL语句放入数据库中,我首先去掉了拼接符“+”,并自己为语句之间加了空格(做这一步的候,我心里完全没有异样)
//2.创建statement对象,用来执行SQL语句!!
06-06
这段代码应该在 Java 中使用 JDBC 连接到数据库后创建 `Statement` 对象,用于执行 SQL 语句。具体来说,它可以像下面这样实现: ```java Statement stmt = null; try { // 连接数据库代码省略... // 创建 Statement 对象 stmt = conn.createStatement(); // 执行 SQL 语句 String sql = "SELECT * FROM users"; ResultSet rs = stmt.executeQuery(sql); // 处理查询结果 while (rs.next()) { int id = rs.getInt("id"); String name = rs.getString("name"); System.out.println("id: " + id + ", name: " + name); } } catch (SQLException e) { e.printStackTrace(); } finally { // 关闭 Statement 对象 if (stmt != null) { try { stmt.close(); } catch (SQLException e) { e.printStackTrace(); } } // 关闭数据库连接 if (conn != null) { try { conn.close(); } catch (SQLException e) { e.printStackTrace(); } } } ``` 这段代码连接到数据库,创建 `Statement` 对象执行一个简单的查询语句,并打印结果。请注意,你需要将 `conn` 替换为你的数据库连接对象,还需要将 SQL 语句替换为你实际需要执行的语句。另外,还需要添加异常处理代码,以确保程序在出现异常能够正常关闭数据库连接和 Statement 对象

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

华哥啊.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值