java 预编译sql_JDBC编程之预编译SQL与防注入

最新推荐文章于 2024-04-28 16:02:13 发布
最新推荐文章于 2024-04-28 16:02:13 发布
阅读量1.3k 收藏 3
点赞数
文章标签: java 预编译sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_26875109/article/details/114452176
版权

在JDBC编程中,常用Statement、PreparedStatement 和 CallableStatement三种方式来执行查询语句,其中 Statement 用于通用查询, PreparedStatement 用于执行参数化查询,而 CallableStatement则是用于存储过程。

1、Statement

该对象用于执行静态的 SQL 语句,并且返回执行结果。 此处的SQL语句必须是完整的,有明确的数据指示。查的是哪条记录?改的是哪条记录?都要指示清楚。

通过调用 Connection 对象的 createStatement 方法创建该对象

查询:ResultSet excuteQuery(String sql)——返回查询结果的封装对象ResultSet. 用next()遍历结果集,getXX()获取记录数据。

修改、删除、增加:int excuteUpdate(String sql)——返回影响的数据表记录数.

2、PreparedStatement

SQL 语句被预编译并存储在 PreparedStatement 对象中。然后可以使用此对象多次高效地执行该语句。

可以通过调用 Connection 对象的 preparedStatement() 方法获取 PreparedStatement 对象

PreparedStatement 对象所执行的 SQL 语句中,参数用问号(?)来表示,调用 PreparedStatement 对象的 setXXX() 方法来设置这些参数. setXXX() 方法有两个参数,第一个参数是要设置的 SQL 语句中的参数的索引(从 1 开始),第二个是设置的 SQL 语句中的参数的值,注意用setXXX方式设置时,需要与数据库中的字段类型对应,例

最低0.47元/天 解锁文章
杨良枝
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java安全(二):JDBC|sql注入|预编
weixin_45694388的博客
11-14 6166
1 JDBC基础 JDBC(Java Database Connectivity)是Java提供对数据库进行连接、操作的标准API。Java自身并不会去实现对数据库的连接、查询、更新等操作而是通过抽象出数据库操作的API接口(JDBC),不同的数据库提供商必须实现JDBC定义的接口从而也就实现了对数据库的一系列操作。 2 JDBCConnection 2.1连接 Java通过java.sql.DriverManager来管理所有数据库的驱动注册,所以如果想要建立数据库连接需要先在java.sql.Drive
Java下拼接执行动态SQL语句
一台数据分析的机器!
06-12 4990
       在实际业务中经常需要拼接动态SQL来完成复杂数据计算,网上各类技术论坛都有讨论,比如下面这些问题:         http://bbs.csdn.net/topics/390876591         http://bbs.csdn.net/topics/390981627         https://www.linkedin.com/groups/SQL-Query...
java实战:SQL注入常用方法及代码示例
oandy0的博客
02-15 1679
本文将介绍几种在JavaSQL注入的常用方法,并提供详细的代码示例。我们将探讨使用预编SQL语句(Prepared Statements)、使用ORM框架、使用SQL模板引擎和参数化查询等方法。通过本文,可以了解到如何在Java应用程序中实施有效的安全措施,以SQL注入攻击。
JAVA范于未然:Java项目SQL注入四招
最新发布
一个天蝎座的程序猿
04-28 299
SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。SQL案列此时,数据库的数据都会被清空掉,后果非常严重。
Java项目SQL注入的四种方案
学IT,找陈寒
10-10 9219
SQL注入是一种严重的安全漏洞,但通过采取适当的措施,可以有效地止它。在Java项目中,使用预编语句、输入验证和过滤、ORM框架以及安全的数据库访问库是SQL注入攻击的四种常见方法。选择适合你的项目的方法,并始终保持警惕,以确保你的应用程序免受潜在的威胁。😊🙏Java面试技巧Java面试八股文 - 掌握面试必备知识(目录篇)Java学习路线2023年完整版Java学习路线图AIGC人工智能Chat GPT是什么,初学者怎么使用Chat GPT,需要注意些什么Java实战项目。
JavaWeb JDBC—PreparedStatement对象
来自师范的学渣
10-21 888
PreparedStatement对象可以对SQL语句进行预编预编的信息会存储在PraparedStatement对象中。当相同的sql语句再次执行时,程序就会使用preparedstatement对象中的语句, 在web-chapter09项目中cn.itheima.jdbc包中创建一个名为Example02的的类,在该类中使用PreparedStatement对象对数据库进行插入数据的...
HouseDaoinpl.rar_Java编程_SQL_
08-11
Statement用于执行静态SQL语句,而PreparedStatement则用于预编SQL语句,能有效SQL注入攻击。例如: ```java Statement stmt = conn.createStatement(); String sql = "SELECT * FROM mytable"; ResultSet rs...
JDBC编程技术.rar_JDBC编程例子_JDBC编程技术_brownmxh_java
09-24
PreparedStatement允许预编SQL,提高性能且更安全,因为它可以SQL注入攻击。例如: ```java PreparedStatement pstmt = conn.prepareStatement("INSERT INTO users VALUES (?, ?)"); pstmt.setString(1, ...
Java语言SQL接口_JDBC编程技术.rar
07-09
Java语言中的SQL接口,即Java Database Connectivity(JDBC),是Java平台的标准API,用于与各种数据库进行交互。它为开发者提供了在Java应用程序中执行SQL语句的能力,支持数据的查询、更新和删除等操作。本教程将...
JDBCDriver3.0.rar_jdbc driver 3.0_sql jdbc 3.0_sql server jdbc_s
09-22
2. **预编语句(PreparedStatement)**:预编SQL语句可以显著提升执行速度,同时SQL注入攻击。 3. **批处理操作**:允许多个SQL语句一次性提交,减少网络通信次数,提高整体执行效率。 4. **游标支持**:...
java与数据库常用代码.rar_Java bean_java SQLsever_javabean 数据库_jsp jdbc
09-22
JDBC提供了数据库连接、预编SQL语句、执行查询和事务处理等功能。在"jsp与jdbc的连接"部分,描述的是如何在JSP页面中使用JDBC来与数据库进行交互,通常包括加载驱动、建立连接、创建Statement或PreparedStatement...
预编sql与参数拼接为完整 sql, 完整sql可直接在数据库查询中运行
Mr.J
09-02 585
预编sql与参数拼接为完整 sql, 完整sql可直接在数据库查询中运行
javasql注入
孔子说
09-08 2024
SQL 注入简介:          SQL注入是最常见的攻击方式之一,它不是利用操作系统或其它系统的漏洞来实现攻击的,而是程序员因为没有做好判断,被不法用户钻了SQL的空子,下面我们先来看下什么是SQL注入:          比如在一个登陆界面,要求用户输入用户名和密码:          用户名:       or 1=1 --             密       码
Java JDBC下执行SQL的不同方式、参数化预编
weixin_34290631的博客
04-28 289
相关学习资料 http://zh.wikipedia.org/wiki/Java数据库连接 http://lavasoft.blog.51cto.com/62575/20588 http://blog.csdn.net/cxwen78/article/details/6863696 http://www.ibm.com/developerworks/cn/java/jdbc-objec...
什么是预编语句
网络改变中国
05-21 2407
SQL预编 ibatis中如何解决sql注入问题,资料参考 -------------引文内容------------ 来源: 我爱测试 作者:阚宝丽  发表日期: 2011-4-18 16:09:11 阅读次数: 702  在java连接数据库操作时,我们经常看见如下SQL语句,它通过字符串连接的方式,将输入参数拼成一段SQL语句:    代码段一:    String sqlSt
jdbc预编和批处理sql
学习之路
04-25 1824
预编处理sql 原因 1.      避免了频繁sql拼接 (可以使用占位符) 2.      可以sql注入 代码修改 Dept实体类: //javabean类|实体类 public class Dept { private int deptno; private String dname; private String loc; public Dept()
java预编SQL和参数替换 更新····PSF
springmvc_springdata的专栏
01-27 2514
java预编SQL和参数替换 更新····PSF 源代码下载地址:http://www.zuidaima.com/share/1550463668718592.htm
Java JDBC编程详解:数据库连接与SQL操作
- **PreparedStatement**: `PreparedStatement`是`Statement`的一个子接口,用于预编SQL语句,可以提高性能,避免SQL注入,并且更易于读写复杂的SQL语句。 - **CallableStatement**: 用于调用数据库的存储过程...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值