java-jdbc-prepareStatment

最新推荐文章于 2021-03-31 16:59:49 发布
最新推荐文章于 2021-03-31 16:59:49 发布
阅读量267 收藏
点赞数
分类专栏: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qxdoit/article/details/88956641
版权 
package com.anlysqx.testJDBC;

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;

public class JdbcDemo2 {
	public static void main(String[] args) {
		Connection conn = null;
		PreparedStatement ps = null;
		ResultSet rs = null;
		try {
			Class.forName("com.mysql.cj.jdbc.Driver");
			conn = DriverManager.getConnection("jdbc:mysql://127.0.0.1:3306/testjdbc?useSSL=true&serverTimezone=GMT%2B8", "root", "xxxxxx");
			String id = "1";
			String sql = "select * from user where id = "+id+" or 1=1";
			Statement st = conn.createStatement();
			
			//prepareStatement 之所以能够防止sql注入是因为,预编译后再进行填充,如果还含有逻辑式是无效的,它只填值
			ps = conn.prepareStatement("select * from user where id = ?");
			ps.setString(1, "2 or 1=1");
			rs = ps.executeQuery();
			
//			rs = st.executeQuery(sql);
			
			while(rs.next()){
				System.out.println(rs.getInt(1)+"--"+rs.getString(2)+"--"+rs.getTime(3).toString());
			}
			
			
		} catch (ClassNotFoundException e) {
			// TODO Auto-generated catch block
			e.printStackTrace();
		} catch (SQLException e) {
			// TODO Auto-generated catch block
			e.printStackTrace();
		}finally{
			try {
				rs.close();
			} catch (SQLException e) {
				// TODO Auto-generated catch block
				e.printStackTrace();
			}
			try {
				ps.close();
			} catch (SQLException e) {
				// TODO Auto-generated catch block
				e.printStackTrace();
			}
			try {
				conn.close();
			} catch (SQLException e) {
				// TODO Auto-generated catch block
				e.printStackTrace();
			}
		}
		
		
	}
}

 

qxdoit
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
jdbc_mysql(二)Statement实现sql注入,PrepareStatement解决注入
weixin_35695688的博客
05-31 244
一、 问题描述 目标:java通过键盘输入关键词拼接成sql去数据库中查找。 存在问题:键盘输入关键字,拼接后没有产生过滤效果,反而查出了所有记录 二、Statement代码实现 1.在src目录下新建injection.properties连接数据库的配置文件 url=jdbc:mysql://192.168.132.2:3306/mysql_test user=mysql_test password=BJjbHSKFGESJrtpP 2.新建连接数据库的工具类InjectionUtils,实现连接数据
JDBC--PrepareStatement
本人随手记录,内容只是个人看懂程度,对内容有任何疑问请勿打扰
02-03 478
PrepareStatement:执行sql语句 1,sql注入问题:在拼接sql时,有一些sql的特殊关键字参与字符串的拼接,会造成安全问题。 比如: String sql="SELECT * FROM land WHERE NAME='"+name +"'AND PASSWORD='"+password+"'"; 输入用户随便输,输入密码:a’ or ‘a’='a; sql:SELECT *...
第25章 JDBC核心技术第3节
孔繁玉的专栏
03-26 367
第3节:实现CRUD操作 3.1 操作和访问数据库 数据库连接被用于向数据库服务器发送命令和 SQL 语句,并接受数据库服务器返回的结果。其实一个数据库连接就是一个Socket连接。 在 java.sql 包中有 3 个接口分别定义了对数据库的调用的不同方式: Statement:用于执行静态 SQL 语句并返回它所生成结果的对象。 PrepatedStatement:SQL 语句被预编...
JDBC中使用prepareStatment解决SQL注入风险相关问题
WangQueBuShiLei的博客
07-27 802
prepareStatment对象在set***方法上,会对单引号进行转译处理,也就是说,?中的数据的单引号 ‘ 会被转义成 \’,这样就单引号就不会破坏sql语句的结构 SELECT * FROM users WHERE userName = ? AND password = ? preparedStatement.setString(1,"xiaoming"); preparedStatement.setString(2,'anything' OR 'x'='x')...
JDBC教程之PreparedStatement
weixin_34321977的博客
02-13 79
< DOCTYPE html PUBLIC -WCDTD XHTML StrictEN httpwwwworgTRxhtmlDTDxhtml-strictdtd>      以前程序里使用SQL访问数据库时,都是直接用“+”将字段值嵌到SQL中。如:String sql  =   " select s.name from student s where s.i...
JDBC之使用PreparedSatement
weixin_43945486的博客
08-03 578
目录1.操作和访问数据库2.使用Statement操作数据弊端3.PreparedStatement的使用3.1 介绍3.2 Java和SQL对应数据类型转换3.3 使用PreparedStatement实现增、删、改操作3.4 使用PreparedStatement实现查询操作3.4.1 查询后返回单个数据结果3.4.2 查询后返回多个数据结果集3.5 注意事项 1.操作和访问数据库 数据库连接用于向数据库服务端发送命令和SQL语句,并接受服务器端返回的结果 java.sql 包中定义对数据库的调
PreparedStatement对象
qq_44285582的博客
03-31 693
preparedStatement对象使用以及和statement对象的区别说明
PrepareStatment 与 Statement 比较
clam_clam的专栏
07-22 6535
JAVA的JDBC有多种方法可以对数据库进行查询,但使用比较多的还是conn.prepareStatement()和conn.createStatement()两种方式打开数据库游标进行查询,具体方法就不多说了,主要说说两种方式的区别。个人感觉在开发中还是应尽量使用prepare
preparestatment获取sql_PrepareStatment 与 Statement 比较
weixin_39847732的博客
12-19 141
PrepareStatment与Statement比较JAVA的JDBC有多种方法可以对数据库进行查询,但使用比较多的还是conn.prepareStatement()和conn.createStatement()两种方式打开数据库游标进行查询,具体方法就不多说了,主要说说两种方式的区别。个人感觉在开发中还是应尽量使用prepareStatement方式进行数据库查询,原因有以下几点:1:安全性...
statement 与preparestatement 区别
归零生活
03-30 436
1. PreparedStatement对象不仅包含了SQL语句,而且大多数情况下这个语句已经被预编译过,因而当其执行时,只需DBMS运行SQL语句,而不必先编译。当你需要执行Statement对象多次的时候,PreparedStatement对象将会大大降低运行时间,当然也加快了访问数据库的速度。这种转换也给你带来很大的便利,不必重复SQL语句的句法,而只需要更改其中变量的值,便可重新执行SQL
JAVA学习心得--JDBC使用
森林里的一天
03-16 1480
在学习JAVA的过程中,我们可以将其规划为几个阶段慢慢学习,目前我是按照J2EE方向,学习java的体系。  *第一阶段:Java基础,包括java语法,面向对象特征,常见API,集合框架;  *第二阶段:java界面编程,包括AWT,事件机制,SWING,这个部分也可以跳过,用的时候再看都能来及;  *第三阶段:java API:输入输出,多线程,网络编程,反射注解等,java的精华部分;
使用Proxy模拟一个最简单的数据库Connection池和PrepareStatment池
编程小强
06-15 1021
今天在看夏欣老师的《深入浅出Hibernate》的时候,觉得老师在讲数据库连接池的时候的例子很不错,使用Java动态代理实现对Connection拦截从而让应用者使用连接池的时候不会因为手贱将Connection给关闭了,代码如下: 1. 连接池接口类ConnectionPool package com.snippnet.pool; import java.sql.Conne
Statement与PrepareStatement的用法
yanick技术博客
03-31 1657
stmt=conn.CreateStatement();resultSet rs=stmt.executeQuery(sql);上面是statement的用法============================下面是PrepareStatement的用法ptmt=conn.PreparedStatement(sql);resultSet rs=ptmt.executeQuery();=====
Java核心API之JDBC
star_in_shy的博客
08-31 238
JDBC入门 JDBC是Java应用程序能够访问数据库的一种机制,为Java应用程序提供数据库管理接口   Java访问数据库的流程 加载驱动,建立连接:Driver/Drivermanager 发送sql语句:Ssttment/PrepareStatment 处理数据:ResultSet 关闭连接:Connection.clos   2.插入数据的实现   3....
PrepareStatement和Statement的区别
dulalarepost的博客
08-25 5180
PrepareStatement和Statement的区别 PrepareStatement继承与Statement,包含execute()、 executeQuery() 和 executeUpdate()三种方法 1.PrepareStatement实例包含已经编译的SQL语句,会将SQL语句进行预编译,所以执行速度 比Statement高。 prepareStatment事先对语句进行预处理...
JAVABean 和preparedstatment的相关使用
qq_44736290的博客
07-14 260
JavaBean Dao层数据链路层 package com.openlab.dao; import java.sql.ResultSet; import java.sql.SQLException; import java.util.ArrayList; import java.util.List; //数据链路层 import com.openlab.pojo.Employee; import com.openlab.utils.JDBCUtils; public class Employee
createStatement与prepareStatement的区别
weixin_34342207的博客
08-10 277
2019独角兽企业重金招聘Python工程师标准>>> ...
java jdbc数据库连接使用
xue_changkong的专栏
05-16 671
使用的是mysql数据库,myeclipse环境。 使用java连接数据库一般分为以下几步: 1.在依赖库中添加mysql connect的jar包。 2.加载mysql数据库驱动。一般使用Class.forName(DRIVER)来加载。DRIVER是驱动名,mysql的是“com.mysql.jdbc.Driver”,加载一次即可,不需要重复加载。 3.加载后是连接数据库,每次使用数据
preparestatment获取sql_JDBC-预防SQL注入-预处理对象PrepareStatement
weixin_39520880的博客
12-19 391
PreparedStatement接口介绍PreparedStatement是Statement接口的子接口,继承于父接口中所有的方法.它是一个预编译的SQL语句对象预编译: 是指SQL语句被预编译,并存储在PreparedStatement对象中. 然后可以使用此对象多次市郊地执行该语句PreparedStatement特点因为有预先编译的功能, 提高SQL的执行效率可以有效的防止SQL注入的问...
mysql preparestatment需要手动关闭吗
最新发布
05-30
是的,使用MySQL的预编译语句(PreparedStatement)时,同样需要手动关闭它。预编译语句是一种可以预先编译的语句,可以在执行时提高查询效率和安全性。但是,预编译语句也是基于网络连接的,如果没有手动关闭它,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值