JDBC之PreparedStatement的用法

已于 2023-04-21 10:15:05 修改
阅读量977 收藏 5
点赞数 1
文章标签: 数据库 java sql
于 2023-04-21 10:13:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shuo_Java/article/details/130281689
版权

PreparedStatement 是一个特殊的Statement对象,如果我们只是来查询或者更新数据的话,最好用PreparedStatement代替Statement,因为它有以下优点:

1、简化Statement中的操作
2、提高执行语句的性能
3、可读性和可维护性更好
4、安全性更好。
5、使用PreparedStatement能够预防SQL注入攻击,所谓SQL注入,指的是通过把SQL命令插入到Web表单提交或者输入域名或者页面请求的查询字符串,最终达到欺骗服务器,达到执行恶意SQL命令的目的。注入只对SQL语句的编译过程有破坏作用,而执行阶段只是把输入串作为数据处理,不再需要对SQL语句进行解析,因此也就避免了类似select * from user where name='aa' and password='bb' or 1=1的sql注入问题的发生。

入门使用

创建PreparedStatement

创建一个PreparedStatement PreparedStatement对象的创建也同样离不开 DriverManger.getConnect()对象,因为它也是建立在连接到数据库之上的操作。

      /** 1. init PreparedStatement*/
        Class.forName("com.mysql.jdbc.Driver");
        String url = "jdbc:mysql://localhost:3306/db_test?useSSL=false";
        String username = "root";
        String password = "root";
        Connection connection = DriverManager.getConnection(url, username, password);
        String sql = "update user set username=? where id = ?";
        PreparedStatement preparedStatement = connection.prepareStatement(sql);
设置入参

往PreparedStatement里写入参数

看上面那个sql 字符串,中间有几个?,它在这里有点占位符的意思,然后我们可以通过PreparedStatement的setString(),等方法来给占位符进行赋值,使得sql语句变得灵活。

        /** 2. prepare param*/
        preparedStatement.setString(1, "feifz");
        preparedStatement.setInt(2, 2);

参数中的第一个参数分别是1和2,它代表的是第几个问号的位置。如果sql语句中只有一个问号,那就不用声明这个参数。

执行更新
 /** 3. execute update*/
  int result = preparedStatement.executeUpdate();
  System.out.printf("更新记录数:"+result+"\n");
结果:
更新记录数:1
执行查询

如果是执行查询数据库的话,也像Statement对象执行excuteQuery()一样返回一个ResultSet结果集。

/** 4. execute select*/
String sql2 = "select * from user";
        ResultSet resultSet = preparedStatement.executeQuery(sql2);
        while (resultSet.next()) {
            int id = resultSet.getInt("id");
            String username = resultSet.getString("username");
            String dept = resultSet.getString("dept");
            System.out.println("id:"+id +"username->"+ username + ",dept-> " + dept );
        }
执行结果:
id:1username->Fant.J,dept-> 测试部
id:2username->feifz,dept-> 研发部
id:3username->xixi,dept-> 产品部
id:4username->hah,dept-> 集成部
id:5username->zeze,dept-> 研发部
完整代码
package com.github.feifuzeng.middleware.mybatis.jdbc;

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.ResultSet;

public class PrepareStatementSimpleDemo {

    public static void main(String[] args) throws Exception {

        /** 1. init PreparedStatement*/
        Class.forName("com.mysql.jdbc.Driver");
        String url = "jdbc:mysql://localhost:3306/db_test?useSSL=false";
        String user = "root";
        String password = "root";
        Connection connection = DriverManager.getConnection(url, user, password);
        String sql = "update user set username=? where id = ?";
        PreparedStatement preparedStatement = connection.prepareStatement(sql);

        /** 2. prepare param*/
        preparedStatement.setString(1, "feifz");
        preparedStatement.setInt(2, 2);

        /** 3. execute update*/
        int result = preparedStatement.executeUpdate();
        System.out.printf("更新记录数:"+result+"\n");

        /** 4. execute select*/

        String sql2 = "select * from user";
        ResultSet resultSet = preparedStatement.executeQuery(sql2);
        while (resultSet.next()) {
            int id = resultSet.getInt("id");
            String username = resultSet.getString("username");
            String dept = resultSet.getString("dept");
            System.out.println("id:"+id +"username->"+ username + ",dept-> " + dept );
        }


    }
}

第二个模板:

一、用法:

PreparedStatement是Statement的子接口,Statement在使用的过程中,直接拼写SQL是很容易出错的且难用的,PreparedStatement带有模版的思想,减少了出错的机率。

1、写sql模版,并和PreparedStatement绑定

String sqlsqlTemplate= “insert emp VALUE (?,?,?)”;
PreparedStatement pstmt = con.prepareStatement(sqlsqlTemplate);

2、依次设置模版中??所带表的值

pstmt.setInt(1,9); //第一个参数,表示设置第几个值
pstmt.setString (2,“yangli”);
pstmt.setInt(3,30);

3、执行
          String driver = "com.mysql.jdbc.Driver";
          String url = "jdbc:mysql://localhost:3306/test";
          String user  = "root";
          String password = "root";
        try {
            Class.forName(driver);
            con = DriverManager.getConnection(url,user,password);
            if(!con.isClosed())
                    String sqlTemplate = "insert emp VALUE (?,?,?)";
                    PreparedStatement pstmt = con.prepareStatement(sqlTemplate);
                    pstmt.setInt(1,9); //插入第n个数
                    pstmt.setString (2,"yangli");
                    pstmt.setInt(3,30);
                    int  rs = pstmt.executeUpdate();
                  pstmt.clase();
                  con.close();
        } catch (ClassNotFoundException e) {
            System.out.println("数据库数据异常"+e.toString());
            e.printStackTrace();
        } catch (SQLException e) {
            System.out.println("数据库数据异常"+e.toString());
            e.printStackTrace();
        }finally {
            System.out.println("数据库数据成功获取");
        }
二、和Statement的区别
    1、PreparedStatement可以使用占位符,是预编译的,批处理比Statement效率高;

    2、PreparedStatement和sql模板绑定,最后执行的时候,不再有sql语句
oleg829
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
三十一、java基于jdbc操作MySQL数据库之PreparedStatement
Gem丶超超的博客
11-16 252
java基于jdbc操作MySQL数据库之PreparedStatement类 源码位置 java.sql包下 源码类 public interface PreparedStatement extends Statement 抽象方法 ResultSet executeQuery() int executeUpdate() void setBoolean(int parameterIndex, boolean x) void setByte(int parameterIndex, byte x) void
JavaJDBC的PreparedStatement用法
热门推荐
午-夜
07-17 6万+
PreparedStatement l  它是Statement接口的子接口; l  强大之处: Ø  防SQL攻击; Ø  提高代码的可读性、可维护性; Ø  提高效率! l  学习PreparedStatement用法: Ø  如何得到PreparedStatement对象: ¨      给出SQL模板! ¨      调用Connection的PreparedState
JDBC中PreparedStatement详解及应用场景介绍
weixin_62079735的博客
03-20 5764
Java中,当需要向数据库中执行SQL语句并传递参数时,我们通常会使用PreparedStatement接口。PreparedStatement继承自Statement接口,用于预编译SQL语句并执行参数化查询,这样可以提高执行效率并防止SQL注入攻击。
JAVAJDBC】【使用PreparedStatement操作数据库
芊樱烛渊的博客
08-07 4684
这里我们是先连接到了我们上述的数据表,然后将数据表中的user和password的内容独取出来,然后编成sql语句,交给我们的mysql,并且如果查询失败就返回用户名不存在或者密码错误,如果查询成功就返回登陆成功。针对于不同的表我们想要获取到的查询数据的结构一定是不同的,所以我们需要在查询的时候将我们查询的结构传入,然后利用反射机制构造出对应的对象,然后将对应的对象返回。原来我们想表达的是 xx and xx是一个并且的关系,也就是我们的use和password同时正确的时候才返回结果。...
prepareStatement 占位符(?)的使用
weixin_49066429的博客
08-26 2144
public void PrepareStatementInsertTest(){ Scanner input = new Scanner(System.in); System.out.println("请输入姓名"); String name = input.next(); System.out.println("请输入年龄"); int age = input.nextInt(); try { ..
JDBC之PreparedStatement类中预编译的综合应用解析
09-05
PreparedStatementJava JDBC中用于执行预编译SQL语句的接口,它是Statement的子接口。预编译的SQL语句可以提高数据库操作的性能和安全性。在数据库系统中,预编译意味着SQL语句在首次执行前已经过编译,形成一个...
详解JavaJDBCStatement与PreparedStatement对象
09-03
JavaJDBCJava Database Connectivity)中,与数据库交互的核心接口是Statement和PreparedStatement。这两个接口都是用于执行SQL语句的,但它们在特性和效率上有所不同。 Statement接口是最基本的SQL执行方式...
Java JDBC基本使用方法详解
08-19
Java JDBC基本使用方法详解 Java JDBCJava语言中用于连接数据库的API,提供了统一的接口来访问不同的数据库。下面是Java JDBC基本使用方法的详细解释。 1. 什么是JDBCJDBC全称Java Database Connectivity,...
浅析JDBC的使用方法
09-07
JDBCJava开发者提供了与数据库交互的标准接口,通过理解JDBC的基本使用步骤和创建工具类的方法,可以更高效地进行数据库操作。合理使用配置文件可以提升代码的可扩展性和适应性。在实际开发中,还应注意资源的管理...
JDBC内容之宋红康版本
04-19
JDBCJava 访问数据库的基石,定义了用来访问数据库的标准 Java 类库(java.sqljavax.sql),使用这些类库可以以一种标准的方法、方便地访问数据库资源。JDBC 为访问不同的数据库提供了一种统一的途径,为...
PreparedStatement批量插入/更新数据优化——setObject与set具体类型的效率差异
wx的博客
10-08 1397
使用做数据更新时,尽可能不要使用setObject方法,数据库中字段是什么类型,就set什么。还是不要太省事儿了。-_-||
JDBC之PreparedStatement对象使用
weixin_44594041的博客
09-02 1422
文章目录前言一、为什么选择PreparedStatement?二、创建PreparedStatement对象三、带参数的SQL语句2.读入数据总结 前言 这里大概整理一下对于PreparedStatement的理解 一、为什么选择PreparedStatementStatement对象在每次执行SQL语句时都将该语句传给数据库。这样,多次执行同一个语句时效率较低。为了提高语句的执行效率,可以使用PreparedStatement接口对象。 二、创建PreparedStatement对象 使用Prepa
JDBC中PreparedStatement
一个很懒的人
01-28 232
1.SQL注入问题 1.什么是SQL注入问题? 用户输入的数据中有SQL关键字或语法并且参与了SQL语句的编译,导致SQL语句编译后的条件含义为true,一直得到正确的结果。这种现象称为SQL注入。 2.如何避免SQL注入 由于编写的SQL语句是在用户输入数据,整合后再进行编译。所以为了避免SQL注入的问题,我们要使SQL语句在用户输入数据前就已进行编译成完整的SQL语句,再进行填充数据。 2.PreparedStatement PreparedStatement继承了Statement接口,执行SQ.
使用Map集合,PreparedStatement 接口对 MySQL 语句中的?占位符进行设置
段小宝的博客
12-19 1231
使用?占位符的原因:Statement不安全,存在SQL注入防风险! 涉及知识点:Map集合,PreparedStatement 接口,MySQL数据库,ResultSet结果集 使用方法: 博主是用的是 eclipse Jee IDE,使用MySQL需要在 .....\工程名\WebContent\WEB-INF\lib 中放入mysql数据库驱动文件,mysql-connector-java...
PreparedStatement用法
weixin_57572526的博客
09-18 427
import java.sql.*; import java.util.Scanner; public class Exercise1 { public static void main(String[] args) throws SQLException { Scanner s = new Scanner(System.in); Connection conn = null; PreparedStatement pStmt = null; .
PreparedStatement用法以及与Statement的区别,很重要的知识点!!!
sinat_42698442的博客
08-12 691
PreparedStatementStatement的子接口,相比Statement,PreparedStatement具备更高的效率以安全性,使用Statement时,其原理为先创建对象,然后将sql语句发送到数据库执行,这个过程中可将用户输入的数据拼接到sql语句中,存在sql注入风险;因此使用PreparedStatement替代Statement成为了一个选择,PreparedState...
JDBC——(6)PreparedStatement的使用
qq_44891295的博客
12-27 471
一, PreparedStatement介绍 可以通过调用 Connection 对象的 preparedStatement(String sql) 方法获取 PreparedStatement 对象 Connection conn = null; PreparedStatement ps = null; conn = JDBCUtils.getConnection(); ps = conn....
使用PreparedStatement的setString方法会自动在数据库相应表项后面补空格解决办法
evilcry2012的专栏
11-14 8102
使用PreparedStatement的setString方法会自动在数据库相应表项后面补空格解决办法 原创 2013年10月03日 19:20:27 标签:数据库 /sql /java /Preparedment /产生空格 1910 数据库表的数据项如果设置为char、verchar类型,使用PreparedStatement向表中插入字符串
preparedstatement用法
最新发布
06-06
preparedStatement 是一种预编译的 SQL 语句,可以在执行时动态地设置参数,可以有效的避免 SQL 注入攻击。其用法如下: 1. 创建 PreparedStatement 对象:使用 Connection 的 prepareStatement() 方法创建一个 PreparedStatement 对象。 2. 设置 SQL 参数:使用 PreparedStatement 的 setXXX() 方法设置 SQL 语句中的参数(XXX 是参数类型,比如 setString()、setInt() 等)。 3. 执行 SQL 语句:使用 PreparedStatement 的 execute()、executeQuery() 或 executeUpdate() 方法执行 SQL 语句。 4. 处理结果集:如果执行的是查询操作,需要使用 ResultSet 对象处理查询结果。 5. 关闭 PreparedStatement 对象:使用 PreparedStatement 的 close() 方法关闭对象。 以下是一个简单的 preparedStatement 使用示例: ``` String sql = "INSERT INTO users (username, password) VALUES (?, ?)"; PreparedStatement statement = connection.prepareStatement(sql); statement.setString(1, "john"); statement.setString(2, "pass123"); statement.executeUpdate(); statement.close(); ``` 在这个示例中,我们创建了一个 PreparedStatement 对象,然后使用 setString() 方法设置 SQL 参数,最后执行了一个插入操作。注意,SQL 语句中的参数使用问号(?)占位符来表示,而不是直接拼接字符串。这样做可以避免 SQL 注入攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值