Statement对象执行SQL语句时,对SQL进行参数拼接时 因为空格产生的bug演示

已于 2022-03-06 19:22:16 修改
阅读量466 收藏
点赞数 1
分类专栏: mybatis 文章标签: mysql java
于 2022-03-06 19:20:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51986648/article/details/123315161
版权

模拟登陆功能,通过名称和地区进行登录

先看一下运行效果:
在这里插入图片描述

这是我数据库的数据:
在这里插入图片描述
为什么会登录失败呢?
dname和loc字段的输入都是一模一样的
但仔细看我们打印的SQL语句会发现被单引号括起来的字段好像是多了个空格,既然如此我们拿到SQL语句到查询编辑器里面运行看看效果
在这里插入图片描述
果不其然,是字符串里面的空格在作怪,我当时在测试的时候也是找了好半天才想起测一下SQL语句,最终发现了问题,好在没有第一次掉入坑里待的时间久了.

以下是全部代码

/*
 * Statement对象执行SQL语句时,对SQL进行参数拼接时 因为空格产生的bug演示
 */
public class TestLogin1 {
    public static void main(String[] args) throws Exception {
        login();
    }

    /**
     * 封装了方法,用来获取数据库的连接
     *
     * @return
     */
    public static Connection getConnection() throws Exception {
        Connection connection = null;
        //1, 注册驱动
        Class.forName("com.mysql.jdbc.Driver");
        //2. 获取数据库的连接
        //String url ="jdbc:mysql://localhost:3306/mydb?characterEncoding=utf8&serverTimezone=Asia/Shanghai&useSSL=false";
        String url = "jdbc:mysql://localhost:3307/cgb2107?useSSL=false";
        connection = DriverManager.getConnection(url, "root", "root");
        return connection;
    }

    /*
    模拟登陆功能,通过名称和地区进行登录
     */
    private static void login() {
        Connection connection = null;
        ResultSet resultSet = null;
        Statement statement = null;
        try {
            connection = getConnection();
            String name = new Scanner(System.in).nextLine();
            String loc = new Scanner(System.in).nextLine();
            //3, 定义SQL
            String sql = "select * from dept where dname = ' " + name + " 'and loc =' " + loc + " ' ";
            System.out.println(sql);
            //4,获取传输器
            statement = connection.createStatement();
            //5, 处理结果集
            resultSet = statement.executeQuery(sql);
            if (resultSet.next()) {
                System.out.println("登录成功");
            } else {
                System.out.println("登录失败");
            }
        } catch (Exception e) {
            e.printStackTrace();
        } finally {
//        6, 释放资源
            close(resultSet, statement, connection);
        }
    }

    private static void close(ResultSet resultSet, Statement statement, Connection connection) {
        if (resultSet != null) {
            try {
                resultSet.close();
            } catch (SQLException throwables) {
                throwables.printStackTrace();
            }
        }
        if (resultSet != null) {
            try {
                statement.close();
            } catch (SQLException throwables) {
                throwables.printStackTrace();
            }
        }
        if (resultSet != null) {

            try {
                connection.close();
            } catch (SQLException throwables) {
                throwables.printStackTrace();
            }
        }
    }
}
华哥啊.
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
mysqlstatement_Statement (操作 SQL 语句)
weixin_39867559的博客
02-08 2632
Statement, PreparedStatement, CallableStatement一旦建立好连接, 就可以与数据库交互. JDBC 中Statement, PreparedStatement 和 CallableStatement 提供了SQL操作的相关API. 其中 CallableStatement 继承自 PreparedStatement, 而 PreparedStatemen...
Java使用Statement接口执行SQL语句操作实例分析
08-27
Java编程中,数据库操作是不可或缺的一部分,而Statement接口是Java标准库中用于执行SQL语句的主要工具之一。本篇文章将深入探讨如何使用Statement接口来执行SQL语句,特别是针对MySQL数据库的增删改查操作。 ...
错误:手动SQL语句拼接,注意空格
学愈进而愈惘
07-28 3762
错误语句报错VS2012提示我,在return_quy旁请注意”,”分析 根据报错原因,我以为是我疏忽中,return_qty并没有对应wms_receive_mtl表中的一个字段,但检查后,是完全对应的 后来,我又认为是我的SQL语句写的有问题,但是放在数据库里是能完好运行的但是我将SQL语句放入数据库中,我首先去掉了拼接符“+”,并自己为语句之间加了空格(做这一步的候,我心里完全没有异样)
SQL语句在使用遇到换行显示"空格"的使用
zuifenglin00的博客
09-10 1433
刚开始使用sql候遇到换行没有加空格导致的小白低级错误, 例子如下: 错误sql代码片段 public interface ArticleMapper { // @Select("select * from tb_article" + // "where id in(select article_id from tb_item" + // ...
SQL SERVER2008的字符串拼接产生空格
piaoniu_1985的专栏
04-02 818
SQL SERVER2000的函数中,字符串的拼接不会产生空格 例如: stockCode '1' 使用拼接,set stockCode = '00000'+stockCode 结果是: '000001' 在SQL SERVER2008中, 结果是:'000001    ' 产生空格,所以使用RIGHT函数的候应设法使用RTRIM()去除空格...
JDBC执行SQL语句statement对象
热门推荐
ZJLOVE的博客
09-11 1万+
执行SQL语句java中默认执行commit) 1.execute() 返回的结果boolean,boolean表示是否有结果集返回(除select外为false),有为true,其他情况都为false 2.executeUpdate() 返回的结果int,int表是对数据库影响的行计数 3.executeQuery() 返回的结果resultSet,一般情况存放的是s...
sql语句中用问号代替参数
08-02
2. **提高性能**:预编译的SQL语句可以在数据库中缓存,多次执行相同结构但不同参数的查询,可以显著提高执行效率。数据库只需解析一次SQL模板,然后用新参数替换问号即可。 3. **减少错误**:动态构建SQL字符串...
JDBC+注册驱动+获取连接+定义sql语句+获取执行sql对象+执行sql
最新发布
10-15
执行SQL语句之前,我们需要一个`Statement`或`PreparedStatement`对象。如上所述,根据SQL语句的性质选择适当的对象。 **五、执行SQL** 有了SQL语句执行对象,我们就可以执行SQL了。对于`Statement`,可以使用`...
利用JDBC的PrepareStatement打印真实SQL的方法详解
08-29
Java的JDBC编程中,`PreparedStatement`是一个非常重要的接口,它提供了预编译的SQL语句功能,能够显著提高执行效率,尤其是在批量处理大量数据。`PreparedStatement`也被称为JDBC存储过程,因为它允许开发者...
java statement一次执行多条不同类型的sql语句-附件资源
03-02
java statement一次执行多条不同类型的sql语句-附件资源
sql语句拼接问题
z_x_c_的博客
04-30 195
进行sql语句拼接,需要在语句后加上空格,否则就会报错 "select * from lesson a join tb_user b " + "on a.createId = b.user_id "+ "where cid not in (select cid from joinedclass a join tb_user b on a.uid = b.user_id where uid=#{uid}) ...
sql语句字符拼接
yu3jian4的博客
11-07 3290
sql语句字符串拼接中容易产生 前后语句没有加空格 导致在sql 中运行全连在一起,无法识别的问题 错误代码: $where = 'where 1=1';//where前 if($status!="all"){ $where.="and p.status='{$status}'";//and 前 '{$status}'后没有空格 }; if($cate...
SQL查询语句拼接
liang0000zai的专栏
01-13 9966
sql语句拼接主要操作于有条件的的增加,删除,修改或查询,下面给你介绍一个条件查询的例子: 既然是拼接sql语句长度不一定,用StringBuffer修饰,而不用String String name=request.getParameter("name"); String address=request.getParemeter("address"); StringBuffer sql = new
sql 存储空格转成问号问题
weixin_30732825的博客
08-14 865
最近做系统,从邮件中导出邮件,上传到系统中,遇到一个奇葩的问题,如下: 通过本地文件看,文件名中是一个空格,上传至数据库后,展示就变成了问号,究其原因,发现是一个特殊字符导致: 最近认真去查了一下这个问题,发现问题的关键,是编码方式:如果使用的Encoding是UTF-8的话,就会发生这种情况。 问题的根源,在于UTF-8这种编码里面,存在一个特殊的字符,其编码是“0xC...
MyBatis(4)Jdbc处理器StatementHandler解析
【 Think 】
06-11 272
MyBatis Jdbc处理器StatementHandler解析 StatementHandler概要 MyBatis一个基于JDBC的Dao框架,但前面我们所学的会话、执行器半点没有提到jdbc,原因是MyBatis把所有跟JDBC相关的操作全部都放到了StatementHandler中。 一个SQL请求会经过会话,然后是执行器,最由StatementHandler执行jdbc最终到达数据库。其关系如下图: 这里要注意这三者之间比例是1:1:n。也就是说多个SQL操作对应一个会话,和唯一的执
Java代码审计-SQL注入
as you know, nlp is fantasitc!
08-10 540
执行executeQuery()方法,如果没有对输入的数据进行提前处理,而是直接拼接sql语句中,就可能造成sql注入,可以看做executeQuery()就是执行sql语句,而不会进行任何检查。这几个阶段,在预编译的过程中,数据库首先接收到的是带有占位符(?)的语句,解析生成语法树,并且缓存在cache中,然后接受对应的参数信息,从cache中取出语法树,设置参数,再执行优化和执行操作,占位符来代替数据的位置,注意先预编译再拼接数据,而不是拼接完数据之后再预编译(这样的预编译不起作用)...
Statement和PreparedStatementSQL注入问题)
while(true){ study }
07-14 808
用于执行静态SQL语句并返回其生成的结果的对象。也就是说它是帮我们执行SQL语句,并且返回一个结果,就是干这个事情。我们在连接建立以后,需要对数据库进行访问,执行命令或者是SQL语句,可以通过StatementStatement是最先前出现的一种,后面发现Statement有些问题,就出现了PreparedStatement,这叫做预处理。Statement存在SQL注入问题。CallableStatement可以用来调存储过程。...
MyBatis动态拼接sqlstatementType="STATEMENT"使用
qq_36856975的博客
04-19 1万+
背景,写一个需求,展示数据的结果需要将查询出来的结果列转行,但是发现需要列转行的数据是动态的,没办法确定有多少个,所以需要动态的拼接sql处理。起初设想是在MyBatis里面去动态拼接,然后尝试多次放弃了。。。要动态拼接sql如下,下面是静态固定的几个列,实际需要查出来循环拼接的:然后选择在java控制层去处理了:【1】java拼接,重点标注了底色:List<PageData> f...
//2.创建statement对象,用来执行SQL语句!!
06-06
这段代码应该在 Java 中使用 JDBC 连接到数据库后创建 `Statement` 对象,用于执行 SQL 语句。具体来说,它可以像下面这样实现: ```java Statement stmt = null; try { // 连接数据库代码省略... // 创建 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

华哥啊.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值