JDBC基础超详细(二)(PreparedStatement与Statement的区别,避免mysql注入)

最新推荐文章于 2022-08-11 14:59:58 发布
最新推荐文章于 2022-08-11 14:59:58 发布
阅读量104 收藏
点赞数
分类专栏: Jdbc学习 文章标签: 数据库 database
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_58510930/article/details/121889948
版权

JDBC基础超详细三部曲一(连接数据库,实现增删改查四项主要功能)

在上一篇中我们完成了数据库增删改查等四项主要功能,大家发现在获取数据库操作对象时候,使用的是Statement,而在实际使用中,大部分使用的是PreparedStatement功能,那么这两个有什么区别???给大家一串代码,请大家在自己电脑中配置运行!!!

这是user表中的数据

 Statement


import java.sql.*;
import java.util.HashMap;
import java.util.Map;
import java.util.Scanner;
/**
 * @author 张硕硕
 */
public class test {
    public static void main(String [] args){
        Map<String,String> haha= test.initUi();
        System.out.println(test.login(haha)?"登陆成功":"登陆失败");
    }
    private  static Map<String ,String > initUi(){
        Scanner scanner=new Scanner(System.in);
        System.out.println("请输入您的用户名");
        String userName=scanner.nextLine();
        System.out.println("请输入您的登录密码");
        String password=scanner.nextLine();
        Map<String,String> userInformation=new HashMap<>();
        userInformation.put("username",userName);
        userInformation.put("password",password);
        return userInformation;
    }
    private  static boolean login(Map<String,String> userInformation){
        boolean loginY=false;
        Connection connection=null;
        Statement statement=null;
        ResultSet resultset=null;
        try{
            Class.forName("com.mysql.jdbc.Driver");
            connection= DriverManager.getConnection("jdbc:mysql://localhost:3306/user","root","200101");
            statement=connection.createStatement();
            String sql="select * from user where user_name= '"+userInformation.get("username")+"'and user_password= '"+userInformation.get("password")+"'";
            resultset=statement.executeQuery(sql);
            if (resultset.next()){loginY=true;}
        }
        catch (Exception e){e.printStackTrace();}

        finally {
            if (resultset!=null){try{resultset.close();}catch (Exception e){e.printStackTrace();}}
            if (statement!=null){try{statement.close();}catch (Exception e){e.printStackTrace();}}
            if (connection!=null){try{connection.close();}catch(Exception e){e.printStackTrace();}}

        }
        return loginY;
    }

}

  • 大家按照如图中信息去输入,可以惊奇的发现,账号密码完全不对,可是怎么就可以登录???

是因为在编译过程中,数据将密码传输给mysql语句,导致mysql语句句意发生改变,大家仔细查看在调试过程中,sql语句句意发生了改变,导致这个验证根本无效,可以直接通过这个登录。

PreparedStatement


import java.sql.*;
import java.util.HashMap;
import java.util.Map;
import java.util.Scanner;
public class Login {
    public static void main(String [] args){
            Map<String,String> haha= Login.initUi();
            System.out.println(Login.login(haha)?"登陆成功":"登陆失败");
    }
    private  static Map<String ,String > initUi(){
        Scanner scanner=new Scanner(System.in);
        System.out.println("请输入您的用户名");
        String userName=scanner.nextLine();
        System.out.println("请输入您的登录密码");
        String password=scanner.nextLine();
        Map<String,String> userInformation=new HashMap<>();
        userInformation.put("username",userName);
        userInformation.put("password",password);
        return userInformation;
    }
    private  static boolean login(Map<String,String> userInformation){
        boolean loginY=false;
        Connection connection=null;
        PreparedStatement preparedStatement=null;
        ResultSet resultset=null;
        try{
            Class.forName("com.mysql.jdbc.Driver");
            connection= DriverManager.getConnection("jdbc:mysql://localhost:3306/user","root","200101");
            String sql="select * from user where user_name= ? and user_password= ?";
            preparedStatement=connection.prepareStatement(sql);
            preparedStatement.setString(1,userInformation.get("username"));
            preparedStatement.setString(2,userInformation.get("password"));
            resultset=preparedStatement.executeQuery();
            if (resultset.next()){loginY=true;}
            }
        catch (Exception e){e.printStackTrace();}

        finally {
            if (resultset!=null){try{resultset.close();}catch (Exception e){e.printStackTrace();}}
            if (preparedStatement!=null){try{preparedStatement.close();}catch (Exception e){e.printStackTrace();}}
            if (connection!=null){try{connection.close();}catch(Exception e){e.printStackTrace();}}

        }
        return loginY;
    }

}

  •  在这里大家可以看到,利用PreparedStatement就可以杜绝此类情况的发生,是因为在这个过程中,传给mysql的语句句意始终没有发生变化。

 说明

  1. 在大部分情况下,PreparedStatementStatement更加广泛,而且更加安全。
  2. PreparedStatementStatement运行更加快速,在mysql中,如果连续两条语句一模一样,这样编译器不会对语句进行重新编译,而是直接将赋值进行操作。
  3. 在部分特殊情况下,还是需要使用Statement,因为部分企业需求需要进行注入。(比如我们常见的商品按照价格排序界面,需要有order by desc/asc时,利用 PreparedStatement传输desc值或者asc值时,会为这两个值带上引号,语句无法识别,此时使用Statement更加方便。
偷掉月亮的阿硕
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JDBC——四大对象
qq_45612826的博客
12-09 1643
一. 详解各个对象: DriverManager:驱动管理对象 功能: 注册驱动:告诉程序该使用哪一个数据库驱动jar static void registerDriver(Driver driver) :注册与给定的驱动程序 DriverManager 。 写代码使用: Class.forName(“com.mysql.jdbc.Driver”); 通过查看源码发现:在com.mysq...
jdbcStatementPreparedStatement两种方式的区别
gauss_xx2的博客
05-25 447
java连接数据库,SQL语句执行常用的方式为通过StatementPreparedStatement两种方式: Statement: execute:返回值是boolean类型,执行查询语句看不到返回值。 executeQuery:返回值是ResultSet类型,通常用于查询,使用方法为在里面直接写SQL语句。 PreparedStatement: 包含Statement两个方法,但使用不太一样,要先在conn.prepareStatement()中写入语句,之后根据需要再执
JDBC四大对象
qq_50352386的博客
09-21 667
DriverManger:驱动管理对象 功能 1,注册驱动 static void registerDriver(Driver driver) Class.forName("com.mysql.jdbc.Driver")代码实现 com.mysql.jdbc.Driver类中存在静态代码块 注意:mysql5之后的jar包可以省略注册驱动的过程 ...
java preparedstatement null_java – JDBC PreparedStatement中“null primitives”的解决方法?...
weixin_39667509的博客
02-26 525
使用原始JDBC时,您可以参数化PreparedStatement,如下所示:PreparedStatement statement = connection.prepareStatement(someSQLString);String someString = getSomeString();Integer int = getSomeInteger();statement.setString(1...
JDBC基础详细(一)(连接数据库,实现增删改查四项主要功能)
qq_58510930的博客
12-12 706
四部学会jdbc的精华
java中PreparedStatementStatement详细讲解
08-25
Java 中的 PreparedStatementStatement 是两个常用的数据库操作接口,但是它们之间存在着一些关键的区别,特别是在防止 SQL 注入攻击方面。PreparedStatement 对象可以防止 SQL 注入,而 Statement 对象则不能...
MySQL.rar_JDBC程序_statement_完整java开发中JDBC连接数据库代码
最新发布
09-24
本教程将详细讲解如何在Java程序中使用JDBCMySQL数据库进行交互,主要包括以下几个关键步骤: 1. **加载JDBC驱动程序**: 在Java程序中,我们需要首先加载MySQLJDBC驱动,这通常通过`Class.forName()`方法完成...
JDBCMySQL8.0.29驱动
04-29
MySQL JDBC驱动,也称为MySQL Connector/J,是MySQL数据库的官方Java驱动程序,用于建立Java应用程序与MySQL数据库之间的连接。 MySQL 8.0.29版本的JDBC驱动是为MySQL 8.x系列数据库系统设计的,提供了最新的功能和...
JavaSE、MySQL基础JDBC
02-24
学习JDBC主要包括以下几个步骤:加载数据库驱动、建立数据库连接、创建StatementPreparedStatement对象、执行SQL语句、处理结果集以及关闭连接。此外,了解批处理、连接池和JNDI(Java Naming and Directory ...
JDBC基础教程之PreparedStatement.doc
10-14
#### 二、`PreparedStatement`与`Statement`的区别 1. **预编译的SQL语句**: - `PreparedStatement`实例包含已编译的SQL语句,这意味着当创建此类对象时,SQL语句会被解析和编译,而不是在每次执行时都进行解析。...
JDBC学习(三)之PreparedStatement使用
SICAUliuy的博客
03-22 388
PreparedStatement是什么? PreparedStatement叫预编译声明,是Statement的子接口 PreparedStatement作用 防SQL攻击 提高代码的可读性、可维护性 提高效率 这里通过一个例子来说明什么是SQL攻击 public static void main(String[] args) throws ClassNotFoundExce...
Java操作Oracle实现使用PreparedStatement 批量更新数据
someby的博客
03-26 2609
目录 背景 一、获取数据库连接 二、关闭数据库连接 三、获取查询数据 四、对数据进行加密并批量更新 背景 今天需要实现将Oracle数据库中的指定字段取出来,使用Base64进行加密,然后将加密结果存回去,涉及到Oracle数据库的操作。 一、获取数据库连接 public static Connection getConnection(){ Connect...
java学习笔记:PreparedStatement解决sql注入
黄道婆的专栏
07-29 791
java学习笔记:PreparedStatement解决sql注入 sql注入 ---- sql注入:由于没有对用户输入进行充分检查,而SQL又是拼接而成,在用户输入参数时,在参数中添加一些SQL 关键字,达到改变SQL运行结果的目的,也可以完成恶意攻击。 1_原因: String sql = select * from user where username =' zhangsan' ...
SQL注入PreparedStatement对象
weixin_48426115的博客
08-11 106
sql存在漏洞,会被攻击导致数据泄露。
java如何访问数据库
Scent of Mobile Application
04-11 2826
JAVA连接数据库的方式有多种: 根据所需要的不同数据库驱动分,分为四种: 1:1类驱动。这就是JDBC-ODBC桥的方式。但这种方式不适合程序的重用与维护,不推荐使用。需要数据库的ODBC驱动。 2:2类驱动。这就是JDBC+厂商API的形式。厂商API一般使用C编写,所以,这种方式也不长使用。 3:3类驱动。这就是JDBC+厂商Database Connection Server+DataBa
PreparedStatement设置的参数在哪看!
人真正变得强大,不是因为守护着自尊心,而是抛开自尊心的时候。
09-22 2036
现在的公司经常使用PreparedStatement,防止sql注入,但有时设置的参数就忘记咋看了,做下记录,下次直接翻阅博客 // 代码块 PreparedStatement statement = null; DruidPooledConnection connection = null; connection = this.getUCDruidConnection(); String sql="select * from xxxx where xx=? and xx=? and xx=? and xx
JDBC基础教程:连接MySQL与操作数据库
在实际开发中,使用JDBC连接MySQL数据库通常涉及以下步骤:加载驱动,建立连接,创建StatementPreparedStatement对象,执行SQL,处理ResultSet,最后关闭连接。在笔记中,作者应该详细记录了这些步骤,并可能提供...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值