MySql在Java中获取参数值的两种方法(字符串拼接和占位符赋值)

于 2023-04-12 19:29:55 发布
阅读量1.3k 收藏 5
点赞数 6
文章标签: java mysql 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_56014418/article/details/130113489
版权

前言

 在java中操作mysql时,有些同学不会如何将java中的数据传入sql语句中。还有些同学在进行增删改查时写的sql语句都是死的,这样在每对数据库进行一次操作时就要新增一条sql语句,这样是非常麻烦的,本文就通过下面两种方法解决以上两个问题。

一、使用字符串拼接获取参数

在一个java程序中,经常需要我们通过java程序中的变量值来操作数据库,例如最常见的,根据java中一个String类型的变量name去数据库中查询与这个name变量值一致的一行数据。

此时我们就能使用字符串拼接的方法来在sql语句中获取java中的变量值来进行查询,具体方法也很简单,就是在sql语句中在将要写入java变量的地方用一个'"+java变量+"'的形式传入java变量。

具体代码如下所示

public ResultSet getUserByName(String name)
{
   //连接数据库
   Connection con=getConn();
   ResultSet rs=null;
   try 
   {
       Statement st = con.createStatement();
       //在数据库中查询名字为name的数据
       rs=st.executeQuery("select * from tb_user where name='"+name+"'");
   }
    catch (Exception e){e.printStackTrace();}
    return rs;
}

拓展:这种获取参数的方法十分简单,但在实际中运用较少,一个重要的原因就是他不是很安全,在B/S系统下,若采用字符串拼接的方法从业务层获取字符串,那么当有人恶意在业务端输入一些特别的代码如“1234 OR TRUE”,那么sql语句就会变成“UPDATE users SET userpass= '123456' WHERE user_id=1234 OR TRUE;”如果执行以上语句,将更改所有用户的密码。这就是我们常说的sql注入。而我们接下来讲的方法就能很好的避免sql注入。若读者还想了解更多sql注入的细节可以看下面博客的内容,博主描述的十分详细。
sql注入基础原理(超详细)icon-default.png?t=N2N8https://blog.csdn.net/yujia_666/article/details/90296495?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522168129647916782427414691%2522%252C%2522scm%2522%253A%252220140713.130102334..%2522%257D&request_id=168129647916782427414691&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~all~top_positive~default-1-90296495-null-null.142^v83^koosearch_v1,201^v4^add_ask,239^v2^insert_chatgpt&utm_term=sql注入&spm=1018.2226.3001.4187

 

二、使用占位符赋值获取参数

java提供了预编译语句preparedStatement,他与Statement相比更加强大,效率更加强大。而且根据占位符赋值的方法还能很好的解决sql注入问题。

preparedStatement的使用方法就是将要运行的sql语句在创建时就传入进去,采用预编译,这样的好处就是它在使用时只需要编译一次就可运行多次,相比于Statement的编译一次运行一次而言效率提升不言而喻。

且PreparedStatement还提供了一个setXxx方法,配合占位符使用就能实现在java中获取参数。

其具体使用方法我们可以看以下例子:

//往user表中存入账号密码
public void DepositUser(String name,String password)
{
    //连接数据库
    Connection con=getConn();
    try
    {
          //在预编译中使用占位符
          PreparedStatement preparedStatement =
          con.prepareStatement("INSERT INTO `user` (`user_name`, `user_password`) VALUES 
          (?,?);");
          //使用setXxx方法为占位符赋值
          preparedStatement.setString(1,name);
          preparedStatement.setString(2,password);
          preparedStatement.executeUpdate();

    }
    catch (Exception e){e.printStackTrace();}
}

使用预编译能很好防止sql注入的原因就是在Statement中使用字符串拼接时传入的字符串会被当做本来的sql语句,但在使用预编译占位符赋值时,无论传入什么样的字符串都会被当成一个变量。说到安全问题就提醒一下读者,我上面程序往数据库中存账号密码的这种方式也是不安全的,因为这样账号密码是在数据库中明文存储的。为了安全,应使用加密存储,若有读者想去了解如何加密存储可以看一下我的另外一篇文章。

JAVA使用mysql加密解密函数(AES_ENCRYPT/AES_DECRYPT)

 

 总结

这就是文章的全部内容,希望对你有所帮助

原力1024
关注
  • 6
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
Java-开发技术框架-Mybatis基本用法 --- 给SQL语句传参
MrDaKai的博客
10-10 905
第三节 mybatis给SQL语句传参的两种方式 1、#{}方式 2、${}方式 ①SQL语句 ②Mapper接口 ③junit测试 ④实际打印的SQL ⑤应用场景举例
MYSQL基础知识之【添加数据,查询数据
最新发布
努力的鋜
11-25 837
MYSQL怎么添加数据,添加的数据怎么查询,在php怎么用mysql添加数据和查询数据
MySQL插入数据的多种方式
天涯何处无芳草,相逢何必曾相识。
02-06 1万+
这里如果提示不允许也需要修改配置文件【注意:不太建议开启 ,记得及时关闭,有安全风险!使用命令行方式导入数据,这种方式比较简单,百度搜一下即可。这种方式首先得准备好要插入数据文档,然后进行插入
java获取sql的查询参数和值
weixin_45948019的博客
04-24 2275
public static Map getParamKV(String sql){ sql = sql.toLowerCase(Locale.ROOT); String where = sql.substring(sql.indexOf("where")+5, sql.length()); HashMap<String, String> map = new HashMap<>(); String[] split...
java根据{}或{parame}占位添加参数
henbaidexiaobai的博客
08-10 421
java根据{}或{parame}占位添加参数
mysql参数化sql语句_mybatis的sql参数化查询
weixin_39716510的博客
02-08 837
我们使用jdbc操作数据库的时候,都习惯性地使用参数化的sql与数据库交互。因为参数化的sql有两大有点,其一,防止sql注入;其二,提高sql的执行性能(同一个connection共用一个的sql编译结果)。下面我们就通过mybatis来分析一下参数化sql的过程,以及和非参数化sql的不同。注意:①本次使用wireshark来监听网卡的请求,测试过程,如果使用的是本地的mysql的话,jav...
MySql逗号拼接字符串查询的两种方法
12-16
下面两个函数的使用和FIND_IN_SET一样,使用时只需要把FIND_IN_SET换成FIND_PART_IN_SET或FIND_ALL_PART_IN_SET 例如某字段里是为1,2,3,4,5  使用方法: 第一种,传入1,3,6 可以查出来 select * from XXX where FIND...
mysql字符串拼接并设置null值的实例方法
09-09
本文主要探讨了如何在MySQL进行字符串拼接,并且处理可能存在的NULL值。 首先,我们来看最基本的字符串拼接函数——`CONCAT()`。这个函数允许你合并一个或多个字符串。例如,如果你有两个字段`last_name`和`first...
MySQL字符串与Num类型拼接报错的解决方法
09-09
MySQL数据库操作,拼接字符串是一项常见的任务,特别是在构建动态查询或处理数据时。然而,当尝试将字符串与数值类型的数据拼接时,可能会遇到一些问题,这主要是因为MySQL试图将不同类型的值进行隐式转换,从而...
java 参数化sql_参数化SQL
weixin_29469195的博客
02-16 1049
原文:http://www.cnblogs.com/aito/archive/2010/08/25/1808569.html避免SQL注入的方法两种:一是所有的SQL语句都存放在存储过程,这样不但可以避免SQL注入,还能提高一些性能,并且存储过程可以由专门的数据库管理员(DBA)编写和集管理,不过这种做法有时候针对相同的几个表有不同条件的查询,SQL语句可能不同,这样就会编写大量的存储过程,...
mysql 占位符使用_Mysql占位符插入
weixin_39976382的博客
01-18 1717
#-*- coding: utf-8 -*-importrequestsfrom bs4 importBeautifulSoupimportlxmlimportjsonimportreimporttimeimporttushare as tsimportpandas as pdimportpymysqlfrom sqlalchemy importcreate_enginepymysql.insta...
mysql 如何使用占位符_sql占位符怎么用
weixin_31104245的博客
01-19 2959
绑定变量是Oracle解决硬解析的首要利器,能解决OLTP系统library cache的过度耗用以提高性能绑定变量是Oracle解决硬解析的首要利器,能解决OLTP系统library cache的过度耗用以提高性能。然刀子磨的太快,使起来锋利,却容易折断。凡事皆有利弊二性,因地制宜,因时制宜,全在如何权衡而已。本文讲述了绑定变量的使用方法,以及绑定变量的优缺点、使用场合。提到绑定变量,就不得...
Navicat mysql查询使用占位符
每天进步一点点儿
10-10 2719
在navicat,写了一堆sql,里面有同一个字段,这个时候可以使用占位符号,点击运行的时候,填写变量值,即可全都替换陈需要的值,节省一个个去替换的时间。 变量用:[$变量名] 如: select * from score where score=[$bame]; select * from student where uname=[$bame]; 点击执行,输入变量值即可: ...
java占位符使用
热门推荐
qq_40001362的博客
02-28 3万+
二话不说,先上代码 package com.string.format; public class StringFormat { //占位符%s,拼接sql,删除两个表数据,条件是字符串数组类型的id public static void formSql(String tableName,String tableName2,String...strings){ ...
java请求mysql数据传递文参数时获取不到数据的解决方法
crj_666的博客
06-07 2351
问题描述:最近在用spring boot 框架做项目的时候,从前台传文参数请求数据的时候,不能返回具体数据,但是把前台输出的sql语句复制到数据库连接软件测试的时候,又能查询到具体数据!经过了排查mybatis的xml的sql语句写法问题等后,还是没找到问题所在。最后再用非文的参数测试的时候,结果发现能正常查到数据,确定是java请求mysql数据传递文参数是发生了乱码解决方法:在配置数据...
java连接mysql时用到的参数
www.hohode.com
05-02 1040
driver=com.mysql.jdbc.Driver url=jdbc:mysql://123.57.111.123:3306/tablename?useUnicode=true&characterEncoding=utf-8 username=username password=123456
Java链接MySQL如何对占位符进行赋值查找
05-24
Java使用占位符进行MySQL查询时,可以使用PreparedStatement对象来处理。PreparedStatement对象可以将占位符和实际的值进行绑定,然后执行查询操作。 下面是一个示例代码,假设我们要查询一个名为students的表,年龄在18岁以上的学生信息: ``` String sql = "SELECT * FROM students WHERE age > ?"; PreparedStatement statement = connection.prepareStatement(sql); statement.setInt(1, 18); ResultSet resultSet = statement.executeQuery(); ``` 在这个示例,我们使用了一个占位符“?”来代替实际的年龄值。然后使用setInt()方法将18作为参数传入,将占位符和实际值进行绑定,最后执行查询操作并将结果存储在ResultSet对象
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值