java statement 参数_java中statement、prepareStatement的相关理解

最新推荐文章于 2022-11-29 21:36:42 发布
最新推荐文章于 2022-11-29 21:36:42 发布
阅读量470 收藏
点赞数
文章标签: java statement 参数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_32479897/article/details/114208035
版权

statement使用方法Statement statement = connection.createStatement();

String queryString = "select username,password from user_table where username='" +

username + "' and password='" + password + "'";

ResultSet resultSet = statement.executeQuery(queryString);

statement 为非预编译语句,每次执行会去数据库 生成一条语句执行。

如果 password 变量 赋值为 ' or '1'='1’ 则 整个语句为select username,password from user_table where username='zhagnsan' and password='' or '1'='1'

statement会把这个字符串传给数据库进行执行,此字符串带有注入,所以输入任何信息都会 登陆成功。

prepareStatement 使用方法String queryString = "select username,password from user_table where username = ? "

+ "and password = ?";

preparedStatement = connection.prepareStatement(queryString);

preparedStatement.setString(1, username);

preparedStatement.setString(2, password);

resultSet = preparedStatement.executeQuery();

connection.prepareStatement(queryString); 会把语句传给数据库 生成预编译语句。

然后username ,password 的值就会变成 两个问号的参数。输入 or ''1'='1'的值只会当成第二个参数值,数据库里预编译的语句 不会把 or 当成 选择关系关键字,只会当成一个参数字符串,传进预编译的语句,这样预编译语句 可以防止注入。

并且预编译语句 不用每次执行都去生成一条执行语句,而是生成一次之后可以多次调用使用,而statement是每次都会将拼接的 String字符串 去数据库生成语句执行。

预编译prepareStatement是statement更有效率。

Runhua Zhao
关注
Spring JDBC Template ,以及使用preparedstatements传参
Sean的博客
11-18 8889
JdbcTemplate 被定义为一个Spring 管理的bean 该bean 是线程安全的,并且可以被不同的数据访问对象所共享,因此被定义为单利,JdbcTemplate 的bean主要依赖项为一个DataSource 对象, 所以,需要把创建的dataSource 对象注入到JdbcTemplat spring 将数据访问的样本代码抽象到模板类 spring 为JDBC 提供了两种类型...
javajdbc技术_详解Java连接数据库JDBC技术的prepareStatement
weixin_30002151的博客
02-28 754
详解Java连接数据库JDBC技术的prepareStatement发布时间:2020-07-18 09:14:24来源:亿速云阅读:107作者:小猪这篇文章主要是详解Java连接数据库JDBC技术的prepareStatement,内容清晰明了,对此有兴趣的小伙伴可以学习一下,相信大家阅读完之后会有帮助。一、prepareStatement 的用法和解释1.PreparedStatement...
javastatement、prepareStatement相关理解
weixin_34324081的博客
05-18 137
statement使用方法Statementstatement=connection.createStatement(); StringqueryString="selectusername,passwordfromuser_tablewhereusername='"+ username+"'andpassword='"+pas...
PrepareStatement 参数 ?问题
爱爬的乌龟
05-04 2355
昨天和朋友调了一个系统,在写SQL代码的时候需要传两个参数,不过两个都是参数,但是在获取数据集的是否一直都没有获取成功。     但是将SQL代码放到查询框里去查询并不是SQL代码问题,通过Debug后只知道是通过PrepareStatement后,参数全部变成了?(问号),在网上搜了好久,看见几个方案,最后发现是自己的编码问题,通过纠结的几个小时,最终解决。     方案如下:
PreparedStatement设置的参数在哪看!
人真正变得强大,不是因为守护着自尊心,而是抛开自尊心的时候。
09-22 2116
现在的公司经常使用PreparedStatement,防止sql注入,但有时设置的参数就忘记咋看了,做下记录,下次直接翻阅博客 // 代码块 PreparedStatement statement = null; DruidPooledConnection connection = null; connection = this.getUCDruidConnection(); String sql="select * from xxxx where xx=? and xx=? and xx=? and xx
javaStatement 对象
qsd007的专栏
03-26 1670
Statement本概述是从《JDBCTM Database Access from JavaTM: A Tutorial and Annotated Reference 》这本书摘引来的。JavaSoft 目前正在准备这本书。这是一本教程,同时也是 JDBC 的重要参考手册,它将作为 Java 系列的组成部份在 1997 年春季由 Addison-Wesley 出版公司出版。 4.1 概述St
Java_MySQL_JDBC.rar_JDBC程序_java jdbc mysql_java mysql jd_jdbc 样例
09-24
` 或 `PreparedStatement pstmt = conn.prepareStatement(sql);` 5. 处理结果集:`ResultSet rs = stmt.executeQuery(sql);` 6. 关闭资源:`rs.close(); stmt.close(); conn.close();` 在提供的样例,你可能会...
MySQL-JAVA.rar_java mysql_java+mysql_mysql_java
09-22
PreparedStatement pstmt = conn.prepareStatement(query); pstmt.setInt(1, 123); ResultSet rs = pstmt.executeQuery(); while (rs.next()) { System.out.println(rs.getString("name")); } ``` 标签"java_mysql...
详解Java的JDBCStatement与PreparedStatement对象
09-03
pstmt = conn.prepareStatement(SQL); // ... }catch (SQLException e) { // ... }finally { pstmt.close(); } ``` 在PreparedStatement参数是通过它们的顺序引用的,第一个问号对应位置1,第二个对应位置2...
PrepareStatement 参数问题
Idonng的专栏
08-09 483
在写SQL代码的时候需要传两个参数,不过两个都是参数,但是在获取数据集的是否一直都没有获取成功。     但是将SQL代码放到查询框里去查询并不是SQL代码问题,通过Debug后只知道是通过PrepareStatement后,参数全部变成了?(问号),在网上搜了好久,看见几个方案,最后发现是自己的编码问题,通过纠结的几个小时,最终解决。     方案如下:     一、将
prepareStatement函数添加指定的列数据(列名通过参数传入)
行秋的博客
06-03 1808
问题描述: 从输入获取某学生的学号和某一课程名称及对应成绩。要求从student表,查看是否有此学号的学生,如果有的话,将其课程成绩更新,如果没有的话,就添加该学生的学号,及这一课程的成绩。 问题分析: 首先我们要做的就是如果确定该学号的学生信息是否存在于student表。在这里大家应该想到用select,查找对应学号的行数,如果为0的话,说明不存在,为1存在。 这里提供获取行数具体请参考:https://www.cnblogs.com/lixiang1993/p...
PreparedStatement类可以参数化MySQL语句
yueyue763184的博客
04-08 773
即先定义占位符,后再用 setString(下标从1开始,对象参数) 方法填充占位 小编举个栗子 import javafx.application.Application; import javafx.geometry.Insets; import javafx.scene.Scene; import javafx.scene.control.Button; import javafx.scene.control.Label; import javafx.scene.control.TextFiel
JDBC PreparedStatement 的命名参数实现
allway2的博客
08-01 1604
在我的计算机上针对一张小表对上述查询进行的测试给出了NamedParameterStatement的352微秒、AttachableNamedParameterStatement(无同步)的325微秒和原始PreparedStatement的332微秒的时间。但是,对于较大的查询,跟踪索引变得非常困难。很明显,如果参数接近语句的开头并且有多个参数,或者如果查询被重组以使参数以不同的顺序出现,这可能会出现问题。与执行查询所需的时间相比,翻译查询和查找参数索引所花费的时间实际上是最少的。......
prepareStatement介绍与使用
热门推荐
瑛民星的专栏
03-06 1万+
它表示预编译的SQL语句的对象,其SQL语句被预编译并且存储在PreparedStatement对象。然后可以使用此对象高效地多次执行该语句。 例子: (1)PreparedStatement pstmt = con.prepareStatement("UPDATE EMPLOYEES SET SALARY = ? WHERE ID = ?"); (2)pstmt.setBigDecim
prepareStatement设置参数,mysql数据出现文‘?’的情景与解决方式
bangluoo351772的博客
05-08 764
在prepareStatement传入文的参数,mysql数据库出现“?”号 try { Class.forName("com.mysql.jdbc.Driver"); conn = DriverManager.getConnection("jdbc:mysql://localhost/hejh", "root", "root"); String sql = "...
JDBC--PreparedStatement
最新发布
qq_48508643的博客
11-29 755
JDBC--PreparedStatement
Mybatis 向statement传入多个参数
weixin_33958585的博客
08-22 398
1、一般情况下可以将多个参数放入Map,让Map作为statement参数 public void update(@Param("fieldMap") Map<String, Object> fields); <update id="update" parameterType="Map"> UPDATE <includ...
java prepare_javaPrepareStatement使用的一点小问题
weixin_39540315的博客
02-16 312
在学习连接池原理的时候,写了个小小的连接池,在使用prepareStatement的时想到,我的连接是保存在连接池,没有关闭,每次获取的prepareStatement上次保存的参数是否还在?会不会影响下次的使用?实验的时间到了:1.先看看上一个操作使用的参数是否存在Connection conn=DBConnectionManager.getInstance().getConnection(...
Java Statement接口执行SQL实例详解
"Java开发,使用Statement接口是执行SQL语句的一种常见方式,尤其在进行MySQL数据库操作时。本文将深入探讨如何使用Statement接口进行增删改查操作,并提供实例代码供参考学习。" 在Java数据库编程Statement...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值