java Statement与PreparedStatement在面对char遇到的问题

最新推荐文章于 2021-02-24 02:57:35 发布
最新推荐文章于 2021-02-24 02:57:35 发布
阅读量1.4k 收藏 1
点赞数
分类专栏: java io 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011008528/article/details/40595045
版权
          公司的系统在进行安全检测时,遇到SQL注入的问题,因为公司的系统采用的Statement 执行SQL操作的,然后对数据又没有进行防SQL注入的处理,所以引发了这个问题!我负责解决这个问题,当时想的是把所有的Statement 改成PreparedStatement,因为PreparedStatement是自带防SQL注入的,但是在修改时,遇到了一个奇怪的问题,那就是把Statement 改成PreparedStatement之后,输入代码正常执行,可是就是查询不到数据,把SQL打印出来,放到数据库里执行,又可以查到数据!当时各种百度,各种调试,都百思不得其解,最后无意中看到数据库表字段的类型是char,突然想到是不是因为这个问题,然后果断在SQL的where条件的字段里都trim了,然后果断查询出数据!然后又做了几个小实验,得出一个结论,Statement应该会自己处理空格问题!但是PreparedStatement不会!改成varchar不会遇到这个问题!
yingziorg
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java中JDBC的PreparedStatement用法
午-夜
07-17 6万+
PreparedStatement l  它是Statement接口的子接口; l  强大之处: Ø  防SQL攻击; Ø  提高代码的可读性、可维护性; Ø  提高效率! l  学习PreparedStatement的用法: Ø  如何得到PreparedStatement对象: ¨      给出SQL模板! ¨      调用Connection的PreparedState
PreparedStatement查询注意点(CHAR类型结果找不到)
georgelife7的专栏
06-13 927
今天使用PreparedStatement查询数据,发现执行以下SQL时,找不到数据,而我的数据库中是有值的。  Java代码   executeQuery(select code_name From mytest where code_name = ?);   最后发现原来我数据库中的code_name类型是CHAR的,需要去掉数据中的空格,修改后解决。
java jdbc 命名参数_支持命名参数的PreparedStatement
weixin_39805924的博客
02-24 549
PreparedStatement语法存在的问题PreparedStatement问题来源于它的参数的语法,PreparedStatement语句的参数是匿名并被通过索引访问,如下代码所示:PreparedStatement p = con.prepareStatement("select * from people where(first_name = ? or last_name = ?) ...
oracle的JDBC使用preparedStatement处理char类型字段的问题
qq_28510593的博客
09-03 4318
对于oracle的JDBC使用preparedStatement处理char类型字段的问题 参考转载:http://blog.chinaunix.net/uid-276853-id-366493.html create table test(name char(7));内有N条值为hello的记录 实验: 第一种:不用占位符,  java.sql.PreparedStatemen
Java面试宝典2020修订版V1.0.1.doc
05-21
20、JDBC中的PreparedStatement相比Statement的好处 71 21、写一个用jdbc连接实例。 71 22、ArrayList和Vector的区别? 73 23、List、Set和Map的区别? 74 24、Collection 和 Collections的区别。 74 25、Set里的...
Java面试宝典-经典
03-28
23、JDBC中的PreparedStatement相比Statement的好处 110 24. 写一个用jdbc连接并访问oracle数据的程序代码 111 25、Class.forName的作用?为什么要用? 111 26、大数据量下的分页解决方法。 111 27、用 JDBC 查询学生...
java面试800题
09-13
7.在java中尽量使用preparestatement执行sql,从而共享执行计划" Q0032 Oracle的集合操作函数,如sum(),avg(),max(),min(),与select,where,grouby,having的先后顺序,使用方法 Oracle集合查询基本知识,只有进行...
java面试题大全(2012版)
11-14
23、JDBC中的PreparedStatement相比Statement的好处 110 24. 写一个用jdbc连接并访问oracle数据的程序代码 111 25、Class.forName的作用?为什么要用? 111 26、大数据量下的分页解决方法。 111 27、用 JDBC 查询学生...
javastatement、prepareStatement的相关理解
weixin_34324081的博客
05-18 121
statement使用方法Statementstatement=connection.createStatement(); StringqueryString="selectusername,passwordfromuser_tablewhereusername='"+ username+"'andpassword='"+pas...
PreparedStatement预编译无法用?占位符替换表名和字段名
LiQiyao的博客
04-29 6847
PreparedStatementStatement的改良版,具有预编译功能,方便使用,运行速度快。 可以通过?占位符把字段值替换,之后通过setXXX方法,注入字段值。 但是?占位符只能替换字段值,不能替换表名、字段名或者其他关键词。
关于PreparedStatement插入Date类型值的方法
hlxstc_xly的专栏
09-09 7488
关于PreparedStatement插入Date类型值的方法 java中的PreparedStatement类型的setDate() 方法要求 java.sql.Date,而 java.sql.Date 的构造函数不能为空。  所以正确做法是:  pstmt.setDate(8, new Date(System.currentTimeMillis()));  或者:  pstmt.
使用PreparedStatement为占位符?赋值
热门推荐
彻底拆分,一切可控!
12-11 1万+
String sql="select * from student where name in (?,?)"; 在使用PreparedStatement ps为?赋值的时候,注意: 1.下标从1开始 2.赋值的时候不需要为字符串变量的两边加上'' 直接使用下面的形式 ps.setString(1, "dada"); ps.setString(2, "dandan"); 3.如果是下面
java使用jdbc如何给char类型的占位符赋值
最新发布
06-08
char类型的占位符赋值可以使用setString()方法,将char类型的值转换为字符串后传入。示例代码如下: ```java String sql = "INSERT INTO mytable (name, age, gender) VALUES (?, ?, ?)"; PreparedStatement pstmt = conn.prepareStatement(sql); pstmt.setString(1, "John"); // 给name赋值 pstmt.setInt(2, 20); // 给age赋值 pstmt.setString(3, String.valueOf('M')); // 将char类型的值转换为字符串后给gender赋值 pstmt.executeUpdate(); ``` 在上面的代码中,使用了String.valueOf()方法将char类型的值转换为字符串。注意,这种方式只适用于单个字符的情况,如果需要给多个字符的char类型占位符赋值,需要使用其他方法。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值