JDBC之PreparedStatement的用法

已于 2023-04-21 10:15:05 修改
阅读量1.1k 收藏 4
点赞数 1
文章标签: 数据库 java sql
于 2023-04-21 10:13:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shuo_java/article/details/130281689
版权

PreparedStatement 是一个特殊的Statement对象,如果我们只是来查询或者更新数据的话,最好用PreparedStatement代替Statement,因为它有以下优点:

1、简化Statement中的操作
2、提高执行语句的性能
3、可读性和可维护性更好
4、安全性更好。
5、使用PreparedStatement能够预防SQL注入攻击,所谓SQL注入,指的是通过把SQL命令插入到Web表单提交或者输入域名或者页面请求的查询字符串,最终达到欺骗服务器,达到执行恶意SQL命令的目的。注入只对SQL语句的编译过程有破坏作用,而执行阶段只是把输入串作为数据处理,不再需要对SQL语句进行解析,因此也就避免了类似select * from user where name='aa' and password='bb' or 1=1的sql注入问题的发生。

入门使用

创建PreparedStatement

创建一个PreparedStatement PreparedStatement对象的创建也同样离不开 DriverManger.getConnect()对象,因为它也是建立在连接到数据库之上的操作。

      /** 1. init PreparedStatement*/
        Class.forName("com.mysql.jdbc.Driver");
        String url = "jdbc:mysql://localhost:3306/db_test?useSSL=false";
        String username = "root";
        String password = "root";
        Connection connection = DriverManager.getConnection(url, username, password);
        String sql = "update user set username=? where id = ?";
        PreparedStatement preparedStatement = connection.prepareStatement(sql);
设置入参

往PreparedStatement里写入参数

看上面那个sql 字符串,中间有几个?,它在这里有点占位符的意思,然后我们可以通过PreparedStatement的setString(),等方法来给占位符进行赋值,使得sql语句变得灵活。

        /** 2. prepare param*/
        preparedStatement.setString(1, "feifz");
        preparedStatement.setInt(2, 2);

参数中的第一个参数分别是1和2,它代表的是第几个问号的位置。如果sql语句中只有一个问号,那就不用声明这个参数。

执行更新
 /** 3. execute update*/
  int result = preparedStatement.executeUpdate();
  System.out.printf("更新记录数:"+result+"\n");
结果:
更新记录数:1
执行查询

如果是执行查询数据库的话,也像Statement对象执行excuteQuery()一样返回一个ResultSet结果集。

/** 4. execute select*/
String sql2 = "select * from user";
        ResultSet resultSet = preparedStatement.executeQuery(sql2);
        while (resultSet.next()) {
            int id = resultSet.getInt("id");
            String username = resultSet.getString("username");
            String dept = resultSet.getString("dept");
            System.out.println("id:"+id +"username->"+ username + ",dept-> " + dept );
        }
执行结果:
id:1username->Fant.J,dept-> 测试部
id:2username->feifz,dept-> 研发部
id:3username->xixi,dept-> 产品部
id:4username->hah,dept-> 集成部
id:5username->zeze,dept-> 研发部
完整代码
package com.github.feifuzeng.middleware.mybatis.jdbc;

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.ResultSet;

public class PrepareStatementSimpleDemo {

    public static void main(String[] args) throws Exception {

        /** 1. init PreparedStatement*/
        Class.forName("com.mysql.jdbc.Driver");
        String url = "jdbc:mysql://localhost:3306/db_test?useSSL=false";
        String user = "root";
        String password = "root";
        Connection connection = DriverManager.getConnection(url, user, password);
        String sql = "update user set username=? where id = ?";
        PreparedStatement preparedStatement = connection.prepareStatement(sql);

        /** 2. prepare param*/
        preparedStatement.setString(1, "feifz");
        preparedStatement.setInt(2, 2);

        /** 3. execute update*/
        int result = preparedStatement.executeUpdate();
        System.out.printf("更新记录数:"+result+"\n");

        /** 4. execute select*/

        String sql2 = "select * from user";
        ResultSet resultSet = preparedStatement.executeQuery(sql2);
        while (resultSet.next()) {
            int id = resultSet.getInt("id");
            String username = resultSet.getString("username");
            String dept = resultSet.getString("dept");
            System.out.println("id:"+id +"username->"+ username + ",dept-> " + dept );
        }


    }
}

第二个模板:

一、用法:

PreparedStatement是Statement的子接口,Statement在使用的过程中,直接拼写SQL是很容易出错的且难用的,PreparedStatement带有模版的思想,减少了出错的机率。

1、写sql模版,并和PreparedStatement绑定

String sqlsqlTemplate= “insert emp VALUE (?,?,?)”;
PreparedStatement pstmt = con.prepareStatement(sqlsqlTemplate);

2、依次设置模版中??所带表的值

pstmt.setInt(1,9); //第一个参数,表示设置第几个值
pstmt.setString (2,“yangli”);
pstmt.setInt(3,30);

3、执行
          String driver = "com.mysql.jdbc.Driver";
          String url = "jdbc:mysql://localhost:3306/test";
          String user  = "root";
          String password = "root";
        try {
            Class.forName(driver);
            con = DriverManager.getConnection(url,user,password);
            if(!con.isClosed())
                    String sqlTemplate = "insert emp VALUE (?,?,?)";
                    PreparedStatement pstmt = con.prepareStatement(sqlTemplate);
                    pstmt.setInt(1,9); //插入第n个数
                    pstmt.setString (2,"yangli");
                    pstmt.setInt(3,30);
                    int  rs = pstmt.executeUpdate();
                  pstmt.clase();
                  con.close();
        } catch (ClassNotFoundException e) {
            System.out.println("数据库数据异常"+e.toString());
            e.printStackTrace();
        } catch (SQLException e) {
            System.out.println("数据库数据异常"+e.toString());
            e.printStackTrace();
        }finally {
            System.out.println("数据库数据成功获取");
        }
二、和Statement的区别
    1、PreparedStatement可以使用占位符,是预编译的,批处理比Statement效率高;

    2、PreparedStatement和sql模板绑定,最后执行的时候,不再有sql语句
oleg829
关注
JavaJDBC的PreparedStatement用法
午-夜
07-17 6万+
PreparedStatement l  它是Statement接口的子接口; l  强大之处: Ø  防SQL攻击; Ø  提高代码的可读性、可维护性; Ø  提高效率! l  学习PreparedStatement用法: Ø  如何得到PreparedStatement对象: ¨      给出SQL模板! ¨      调用Connection的PreparedState
JAVA JDBC使用PreparedStatement实现CRUD操作
Mr、黄
09-19 672
可以通过调用 Connection 对象的 preparedStatement() 方法获取 PreparedStatementn 对象PreparedStatement 接口是 Statement 的子接口,它表示一条预编译过的 SQL语句PreparedStatement 对象所代表的 SQL 语句中的参数用问号(?
JDBC基础教程之PreparedStatement
盗也有道>>>>
11-12 2960
概述该 PreparedStatement 接口继承 Statement,并与之在两方面有所不同:PreparedStatement 实例包含已编译的 SQL 语句。这就是使语句“准备好”。包含于 PreparedStatement 对象中的 SQL 语句可具有一个或多个 IN 参数。IN参数的值在 SQL 语句创建时未被指定。相反的,该语句为每个 IN 参数保留一个问号(“?”)作为占位符。每个
PreparedStatement详细用法
11-22
PreparedStatement详细用法
PreparedStatement用法
凯尔探索
12-09 1822
jdbc(java database connectivity,java数据库连接)的api中的主要的四个类之一的java.sql.statement要求开发者付出大量的时间和精力。在使用statement获取jdbc访问时所具有的一个共通的问题是输入适当格式的日期和时间戳:2002-02-05 20:56 或者 02/05/02 8:56 pm。 通过使用java.sql.prepare
JDBC PreparedStatement的使用
qq_57389269的博客
08-03 701
PreparedStatement: 可以通过调用 Connection 对象的 preparedStatement(String sql) 方法获取PreparedStatement 对象。 PreparedStatement 接口是 Statement 的子接口,它表示一条预编译过的 SQL 语句 PreparedStatement 对象所代表的 SQL 语句中的参数用问号(?)来表示,调用PreparedStatement 对象的 setxxx() 方法来设置这些参数.。se
PreparedStatement用法(转)
赵先颖的专栏
11-08 1217
jdbc(java database connectivity,java数据库连接)的api中的主要的四个类之一的java.sql.statement要求开发者付出大量的时间和精力。在使用statement获取jdbc访问时所具有的一个共通的问题是输入适当格式的日期和时间戳:2002-02-05 20:56 或者 02/05/02 8:56 pm。 通过使用java.sql.preparedst...
JDBC之PreparedStatement类中预编译的综合应用解析
09-05
PreparedStatementJava JDBC中用于执行预编译SQL语句的接口,它是Statement的子接口。预编译的SQL语句可以提高数据库操作的性能和安全性。在数据库系统中,预编译意味着SQL语句在首次执行前已经过编译,形成一个...
详解JDBC中的PreparedStatement
qf2019的博客
08-25 3717
PreparedStatement是用来执行SQL查询语句的API之一,Java提供了 Statement、PreparedStatement 和 CallableStatement三种方式来执行查询语句,其中 Statement 用于通用查询,PreparedStatement 用于执行参数化查询,而 CallableStatement则是用于存储过程。同时PreparedStatement还经常会在Java面试被提及,本文我们就来详细聊一聊JDBC中的PreparedStatement。 那么Prepa
jdbc中preparedstatement用法
最新发布
04-11
PreparedStatementJDBC中一种预编译的语句对象,可以用来执行动态的SQL语句,并可以有效地防止SQL注入攻击。使用PreparedStatement可以先将SQL语句预编译,然后再为参数设置值,最后执行SQL语句,大大增加了执行...
JDBC系列(八):JDBC利用PreparedStatement实现批处理数据
北溟南风起
07-08 589
批处理,成批的处理。 从字面意思我们可以看到,批处理或许能够提高我们的数据操作的效率,毕竟是成批来的嘛! 但是,我们有必要说明一下,批处理的实现细节。 批处理实现细节: PreparedStatement实现批处理,是将数据在执行sql语句前集中放置到批处理数组中,放置完毕后,再执行sql语句,一次性批量操作这些数据。 例: 现要求我们向数据库test的表【test1】中,添加10000(一万)条数据,数据格式为【编号、姓名1】、【编号、姓名2】、【编号、姓名3】。。。【编号、姓名10000】这种格式。编号
JDBC编程之预编译SQL与防注入式攻击以及PreparedStatement的使用教程
a631278993的博客
09-16 329
转载请注明原文地址: http://www.cnblogs.com/ygj0930/p/5876951.html 在JDBC编程中,常用Statement、PreparedStatement和CallableStatement三种方式来执行查询语句,其中Statement用于通用查询,PreparedStatement用于执行参数化查询,而Callabl...
Statement和PreparedStatement的区别
liuhuan1534的专栏
05-08 519
1.PreparedStatement是预编译的,对于批量处理可以大大提高效率. 也叫JDBC存储过程2.使用 Statement 对象。在对数据库只执行一次性存取的时侯,用 Statement 对象进行处理。PreparedStatement 对象的开销比Statement大,对于一次性操作并不会带来额外的好处。3.statement每次执行sql语句,相关数据库都要执行sql语句的编译,pre...
JDBC---PreparedStatement用法详解
silmeweed的博客
04-16 4205
一 简介: JDBC的最基本的使用过程 加载驱动类:Class.forName() 获取数据库连接:DriverManager.getConnection() 创建SQL语句执行句柄:Connection.createStatement() 执行SQL语句:Statement.executeUpdate() 释放数据库连接资源:finally,Connection.cl...
preparedstatement方法
u010822824的专栏
03-30 1606
void addBatch() 将一组参数添加到此 PreparedStatement 对象的批处理命令中。 void clearParameters() 立即清除当前参数值。 boolean execute() 在此 PreparedStatement 对象中执行 SQL 语句,该语句可以是任何种类的 SQL 语句。 ResultSet executeQuery()
JDBC中PreparedStatement详解及应用场景介绍
weixin_62079735的博客
03-20 7089
Java中,当需要向数据库中执行SQL语句并传递参数时,我们通常会使用PreparedStatement接口。PreparedStatement继承自Statement接口,用于预编译SQL语句并执行参数化查询,这样可以提高执行效率并防止SQL注入攻击。
JDBC_PreparedStatement的使用
06-08 359
快速了解JDBC_PreparedStatement
jdbc----preparestatement的简单使用
qq_28384753的博客
07-28 317
package com.cn21.exception; import java.sql.DriverManager; import java.sql.SQLException; import com.mysql.jdbc.Connection; import com.mysql.jdbc.PreparedStatement; public class JDBC_exception { /*
JDBC快速入门(五)--PreparedStatement用法
weixin_44415928的博客
12-27 351
回顾JDBC快速入门(四)中写的登录案例 会有一个sql注入的问题,如果我的用户名是随便输入的,密码这么输入a' or 'a' == 'a也会登陆成功: 通过打印出sql我们可以发现username = ‘abcdefg’ and password = 'a’是错误的,但是or 后边的‘a’ = 'a’是正确的,所以后边的逻辑就是永真,这样一来,就会查询所有的数据,然后自然会登录成功 用Prep...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值