PreparedStatement 简介

最新推荐文章于 2024-04-17 18:37:43 发布
最新推荐文章于 2024-04-17 18:37:43 发布
阅读量1.3w 收藏 30
点赞数 10
分类专栏: 服务器配置+java后端

PreparedStatement 使用示例

stringsql = "select * from people p where p.id = ? and p.name = ?";
preparedstatement ps = connection.preparestatement(sql);
//setxxx() 方法的第一个参数表示 ? 所在的位置,从1开始计算,第二个参数表示对应的值
ps.setint(1,id);
ps.setstring(2,name);
resultset rs = ps.executequery();

共同点:

PreparedStatement和Statement都是用来执行SQL查询语句的API之一。

不同点:

在PreparedStatement中,当我们经常需要反复执行一条结构相似的sql语句,比如:

insert into table values(0,‘first’,1);
insert into table values(0,‘second’,2);
我们可以使用带占位符的sql来代替它:

insert into table values(0,?,?);
然后每次传入参数即可,但是Statement中是不允许使用占位符的,更没有带参数。而且更重要的是PreparedStatement会预编译sql语句,把预编译后的sql语句存在对象中,那么这样每次传入参数执行查询等操作会变得非常高效,也就是说PreparedStatement比Statement高效。PreparedStatement还提供了一系列的setXxx(int index, Xxx value)方法来传入参数。

PreparedStatement可以防止SQL注入式攻击:

比如:某个网站的登录验证SQL查询代码为:

strSQL = “SELECT * FROM users WHERE name = '” + userName + “’ and pw = '”+ passWord +"’;"

恶意填入:

userName = “1’ OR ‘1’='1”;
passWord = “1’ OR ‘1’='1”;

那么最终SQL语句变成了:

strSQL = “SELECT * FROM users WHERE name = ‘1’ OR ‘1’=‘1’ and pw = ‘1’ OR ‘1’=‘1’;”
因为WHERE条件恒为真,这就相当于执行:

strSQL = “SELECT * FROM users;”
因此可以达到无账号密码亦可登录网站。

都已经登陆数据库了,后面想干啥还能让你控制么?

然而使用PreparedStatement的参数化的查询可以阻止大部分的SQL注入。在使用参数化查询的情况下,数据库不会将参数的内容视为SQL指令的一部分来处理,而是在数据库完成SQL指令的编译后,才套用参数运行,因此就算参数中含有破坏性的指令,也不会被数据库所运行。

u013738122
关注
  • 10
    点赞
  • 30
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
PreparedStatement
攸的博客
01-13 122
PreparedStatement 与StateMent主要区别于 ps 是预编译,多次查询同样语法,但是参数不同的情况,只需要给?参数赋值即可,示例忽略try。 def transforDeviceId(): Unit = { val url = "jdbc:mysql://localhost:3306/origin_platform" val outPath =...
PreparedStatement的用法
changyansz的博客
11-02 1万+
一、用法: PreparedStatement是Statement的子接口,Statement在使用的过程中,直接拼写SQL是很容易出错的且难用的,PreparedStatement带有模版的思想,减少了出错的机率。 1、写sql模版,并和PreparedStatement绑定 String sqlsqlTemplate= "insert emp VALUE (?,?,?)"; Prepar...
preparedStatement和Statement区别及联系
一枚数学专业的小码农的博客
08-31 7094
JDBC中preparedstatement和statement中的区别
MySQL Prepared语句(Prepared Statements)
最新发布
Vincent的博客
04-17 1227
在数据库应用中,很多SQL语句都会重复执行很多次,每次执行可能只是where条件中的变量值不同,但MySQL依然会解析SQL语法并生成执行计划。对于这类情况,可以利用prepared语句来避免重复解析SQL的开销。
JDBC中PreparedStatement详解及应用场景介绍
weixin_62079735的博客
03-20 5770
在Java中,当需要向数据库中执行SQL语句并传递参数时,我们通常会使用PreparedStatement接口。PreparedStatement继承自Statement接口,用于预编译SQL语句并执行参数化查询,这样可以提高执行效率并防止SQL注入攻击。
JAVA【JDBC】【使用PreparedStatement操作数据库】
芊樱烛渊的博客
08-07 4685
这里我们是先连接到了我们上述的数据表,然后将数据表中的user和password的内容独取出来,然后编成sql语句,交给我们的mysql,并且如果查询失败就返回用户名不存在或者密码错误,如果查询成功就返回登陆成功。针对于不同的表我们想要获取到的查询数据的结构一定是不同的,所以我们需要在查询的时候将我们查询的结构传入,然后利用反射机制构造出对应的对象,然后将对应的对象返回。原来我们想表达的是 xx and xx是一个并且的关系,也就是我们的use和password同时正确的时候才返回结果。...
PreparedStatement的基本介绍与使用
薯条和番茄酱的博客
10-25 3327
1.PreparedStatement执行的SQL语句中的参数用?表示,调用PreparedStatement对象的setXxx()方法设置这些参数。setXxx()有两个参数,第一个参数是要设置SQL语句中的参数的索引从1开始,第二个是设置的SQL语句中的参数的值例如:2.调用,返回ResultSet对象3.调用,执行更新,包括增删改查。
JDBC简介_动力节点Java学院整理
08-29
2. **创建Statement或PreparedStatement对象**:根据需求,可以选择创建`Statement`对象来执行静态SQL语句,或者创建`PreparedStatement`对象来执行预编译的SQL语句,这有助于防止SQL注入攻击。 3. **执行SQL语句**...
Sql注入原理简介_动力节点Java学院整理
09-09
相比之下,PreparedStatement对象预编译SQL语句,可以防止大部分注入攻击,因为它将用户输入视为参数,而不是SQL代码的一部分。 3. SQL注入的原理: 攻击者通常有两种方式进行SQL注入:直接注入和存储型注入。直接...
java连接DB2数据库编程简介
09-27
此外,为了更高效地处理数据,建议使用PreparedStatement和CallableStatement,它们可以防止SQL注入,并允许预编译SQL语句。 在完成数据库操作后,记得关闭所有的资源,如Statement、ResultSet和Connection,以避免...
JSP画图程序简介
02-08
JSP 画图程序简介 本文档提供了一个使用 Java 语言在 JSP 环境中进行图形绘制的示例程序。该程序使用了 Java.awt 和 javax.swing 等包来创建 BufferedImage 对象,并使用 Graphics 对象对图形进行绘制。 首先,...
JDBC(用PrepareStatement实现)
01-15
1. **PreparedStatement简介** PreparedStatement是Statement的一个子接口,它的主要优势在于预编译。预编译的SQL语句在首次执行时会被数据库解析并生成执行计划,后续的重复执行将直接使用这个执行计划,从而提高...
PreparedStatement和statement的区别
xupt_rl的博客
07-21 4867
一、PreparedStatement概述    PreparedStatement是statement的子类,它的实例对象可以通过调用Connection.preparedStatement()方法来获得,相对于Statement对象,PreparedStatement可以防止SQL注入。   另外Statement会使得数据库频繁编译SQL,有可能会造成数据库缓冲区溢出。PreparedSta...
Java数据库JDBC——prepareStatement的用法和解释
热门推荐
nnzhuilian的博客
01-10 14万+
转自:http://blog.csdn.net/QH_JAVA/article/details/48245945 一、prepareStatement 的用法和解释 1.PreparedStatement是预编译的,对于批量处理可以大大提高效率. 也叫JDBC存储过程 2.使用 Statement 对象。在对数据库只执行一次性存取的时侯,用 Statement 对象进行处理。Prepared...
PreparedStatement和Statement关系和区别的简单概述
sss111166的博客
06-23 1728
PreparedStatement和Statement关系和区别的简单概述
【JDBC系列】- 核心API之preparedstatement用法
qq_43843951的博客
07-23 434
上一篇jdbc系列文章中介绍了概念与statement的使用,但是statement会有一些缺处,所以这篇来学习一下preparedstatement这个API的用法。
【Java 进阶篇】JDBC PreparedStatement 详解
繁依Fanyi的博客
10-03 1829
是 JDBC 中的一个接口,用于执行预编译的 SQL 语句。与普通的Statement不同,的 SQL 语句在执行之前已经经过编译,因此更高效且安全,同时可以防止 SQL 注入攻击。通常用于执行多次相似的 SQL 查询或更新,只需编译一次,多次执行。是 JDBC 中用于执行预编译 SQL 语句的重要接口,它具有高效性、安全性和可维护性的优势。在实际应用中,使用能够有效地防止 SQL 注入攻击,并提高数据库操作的性能。通过本文的介绍,您应该对的基本概念和使用方法有了更清晰的理解。
JDBC中Statement和PreparedStatement的择弃
分享,卓越
07-20 1414
PreparedStatement是用来执行SQL查询语句的API之一,Java提供了 Statement、PreparedStatement 和 CallableStatement三种方式来执行查询语句,其中 Statement 用于通用查询, PreparedStatement 用于执行参数化查询,而 CallableStatement则是用于存储过程。同时PreparedStatement
02-01-11-基于Spring JDBC手写定制自己的ORM框架1
08-04
//1、加载驱动类//2、建立连接//3、创建语句集//4、执行语句集Member instance = new Member();//5、获取结果集//6、关

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值