mysql的预定义语句_sql使用预定义语句

最新推荐文章于 2021-02-18 09:13:11 发布
最新推荐文章于 2021-02-18 09:13:11 发布
阅读量464 收藏
点赞数
文章标签: mysql的预定义语句
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39620984/article/details/113462429
版权
本文介绍了数据库程序优化技术,强调了使用PreparedStatement类的重要性。预编译的SQL语句可以提高查询效率,尤其是在连接池中,能够复用已编译的查询。此外,PreparedStatement还能有效防止SQL注入攻击,确保用户输入不被解释为SQL代码,增强了系统的安全性。在处理用户输入时,避免直接拼接SQL,而是使用预定义语句设置参数,可以避免潜在的安全风险。
摘要由CSDN通过智能技术生成

JDBC程序的一个常用优化技术是使用PrepareStatement类。如果代码多次发出同类查询,则使用预定义语句来加快执行数据库操作。比如查找用户密码,则需要重复发出表单查询:SELECT passwd FROM Credentials WHERE username=...

预定义语句要求数据库预编译查询——也就是说,解析SQL语句并且计算查询策略。信息是使用预定义语句保持的,并且在重新发出查询时重复使用。

使用Connection类的prepareStation方法创建预定义语句。为每个参数使用“?”字符:

PreparedStatement stat=conn.prepareStatement("SELECT password FROM Credentials WHERE username=?");

当准备发出预定义语句时,首先设置参数值:

stat.setString(1,name);

注意索引值1表示第一个参数。然后以通常的方式发出语句:

ResultSet result = stat.executeQuery();

乍一看,好像预定义语句在Web应用程序中没有什么好处。毕竟,当完成一个用户请求时,就关闭连接。预定义语句与数据库连接相关,当数据库的物理连接终止时,建立它的所有工作都将丢失。

但如果物理数据库连接保持在一个连接中,那么当检索连接时,预定义语句仍然很可能可供用。许多连接池实现将缓冲预定义语句。

当调用prepareStatement时,连接池将首先查看语句缓冲内部,使用查询字符串作为键。如果发现了预定义语句,那么重用它。否则创建新的预定义语句并且添加到缓存中。

所以这些活动对于应用程序编程人员而言都是透明的。你请求PrepareStatement对象,并且希望至少在一段时间内,连接池能够为给定的查询检索现有对象。

警告:不能在一个请求作用域之外保持和重用PreparedStatement对象。一旦关闭连接池中的连接,所有相关的PrepareStatement对象也归还到连接池中。因此,在当前请求之外,不应该保持PrepareStatement对象。替代的方法是,使用同一查询字符串来调用prepareStatement方法,并有可能会得到一个缓冲的语句对象。

注意:即使你并不关注性能,也有另一个使用预定义语句的正当理由:防止SQL注入攻击。当查询有连接的SQL代码和用户输入形成时,恶意用户可以在输入中提供能修改查询含义的SQL代码。使用预定义语句,用户输入将永远不会被解释为SQL。

》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》

PS:什么是SQL注入及实例说明:

例如:String sql="select * from usert where name='"+usernameInput+"' and password='"+pwdinput+"'";

这句是判断当uesrname和password条件都成立时,才会显示结果。

就是用如下的字符串拼接而成

String sql="select * from usert where username='"

+usernameInput

+"' and password='"

+pwdinput

+"'";

在输入用户名hh,密码输入下面的代码,

pwd' or '1'='1

在数据库报务器相当于执行这样的SQL语句:

select * from usert where name='hh' and password='pwd' or '1'='1' ; --这个语句不管前面的条件是否成立,后面的语句总是为真,因此where 条件语句总是成立。

所以就可以跳过前面用户名和密码的判段。

这样就不安全

//正常的SQL查询语句

String sql="select * from usert where name='"+userinput+"' and password='"+pwdinput+"'";

//userinput用户输入的字符串

String userinput="hh";

//pwdinput接收用户输入的字符串

String pwdinput="pwd' or '1'='1";

这种不安全的情况是在SQL语句在拼接的情况下发生

为了主防范这样”SQL注入安全“可以用预编译解决:

String sql= "insert into userlogin values(?,?)";

try {

PreparedStatement ps=conn.prepareStatement(sql);

for(int i=1;i<100;i++){

ps.setInt(1, i);

ps.setInt(2, 8888);

ps.executeUpdate();

}

ps.close();

conn.close();

} catch (SQLException e) {

e.printStackTrace();

}

这样,不管用户输入是什么,数据库服务器总认为是一个值,而SQL语句是相同的不会重复编译,也不会编译新的SQL语句,所以不管用户怎么输入,都不会产生"SQL注入安全"

weixin_39620984
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
mysql创建表的sql语句详细总结
12-14
mysql创建表的sql语句 mysql建表常用sql语句: 连接:mysql -h主机地址 -u用户名 -p用户密码 (注:u与root可以不用加空格,其它也一样) 断开:exit (回车) 创建授权:grant select on 数据库.* to 用户名@登录...
sql.rar_MYSQL_MYSQL ppt_sql 练习
09-14
接着,"ppt"部分很可能是通过演示文稿的形式,详细介绍了MySQL的安装配置、数据类型、SQL语言基础,如SELECT语句用于查询数据,INSERT语句用于插入数据,UPDATE语句用于修改数据,以及DELETE语句用于删除数据。...
MySQL预处理语句
weixin_30721077的博客
08-19 124
预制语句SQL语法基于三个SQL语句: PREPARE stmt_name FROM preparable_stmt; EXECUTE stmt_name [USING @var_name [, @var_name] ...]; {DEALLOCATE | DROP} PREPARE stmt_name; PREPARE语句用于预...
mysql预定语句_MYSQL里的预定查询 | 学步园
weixin_32823659的博客
01-18 205
在java里,用JDBC,可以在程序中用preparestaement来实现预定查询(Prepared queries/prepared statements),但可惜在PHP里,暂时没办法实现。但如果你的数据库是PostgreSQL的话,则可以利用MYSQL的特性,实现这样的功能,例子如下pg_query($conn, “PREPARE stmt_name (text) AS SELECT *...
mysql预定语句_数据库预定处理语句理解
weixin_36340926的博客
01-25 275
数据库预定处理语句就是预先定一条mysql语句mysql数据库对sql语句进行编译不执行(默认的sql语句mysql服务器接收sql语句,编译,然后执行sql语句)然后 使用方法对mysql服务器已经编译的sql进行 sql绑定然后使用方法进行手动执行sql语句好处:使用数据库预定处理语句的好处是 sql注入无效 因为一般的sql语句 mysql接收 mysql程序判断如果其中包含sql语...
php预定sql
typ0520的专栏
11-23 916
<?php $mysqli=new mysqli("127.0.0.1","root","root","php"); if ($mysqli->connect_error) { die("连接失败".$mysqli->connect_error); } $mysqli->query("set names utf8"); $sql="insert into t_user (name,p
Mysql预定字符
小羽的仓库
07-31 406
MySQL预定字符一直没有认真去研究过,结果前几天写数据库的时候出问题了……ORZ……如果要用这些字符,必须如下方法   CREATE TABLE `interval` (begin INT, end INT); CREATE TABLE mydb.interval (begin INT, end INT); 创建表格的时候系统没有报错,但是做SQL语句查询的时候问题来了,一查才知...
mysql数据库语句代码实例.rar_mysql数据库语句_图书管理mysql_增删查改基本sql语句_存储过程_数据库和代码
09-15
1. **增删查改基本SQL语句**: - **INSERT语句**:用于向表中插入新记录。例如,向图书表中添加新书信息,如`INSERT INTO 图书表 (书名, 作者, 出版社) VALUES ('图书名称', '作者名', '出版社名')`。 - **DELETE...
mysql ppt.zip_MySQL数据库_SQL__MySQL数据库_SQL_
08-09
总的来说,这个“lamp培训专家课件”将带领我们系统学习MySQL数据库的基础知识,包括如何创建和管理数据库,如何使用SQL进行数据操作,以及如何编写复杂的查询语句。通过学习,不仅可以提升数据库管理和开发的技能,...
7天带你玩转Mysql数据库之SQL语句_MYSQL_
10-02
"7天带你玩转Mysql数据库之SQL语句"的学习资料旨在帮助初学者快速掌握MySQL的基础知识,并通过LeetCode的面试题来提升实战技能。本文将深入探讨MySQL中的SQL语句及其在实际操作中的应用。 SQL(Structured Query ...
Mysql游标和预定语句的用法
weixin_30525825的博客
07-03 140
一 游标 1语法 1>声明光标 DECLARE cursor_name CURSOR FOR select_statement 这个语句声明一个光标。也可以在子程序中定多个光标,但是一个块中的每一个光标必须有唯一的名字。 SELECT语句不能有INTO子句。 2&...
解决 Power Designer ”[SQL Server]无法预定语句SQLSTATE = 37000“ 报错
热门推荐
一个情绪猿的脖克...
05-26 1万+
看好多人的解决办法都不是能针对所有人的。。。。 我也是刚开始学着用PD,所以请大家不要被误导了。。。。 “无法预定语句”这错误很明显是你定表结构(包括外键、触发器等数据库对象)的时候,语句写错了,才报这样的错误。 办法1:就是把SQL语句粘到sql server里运行一次,就可以找到出错的位置了。 方法2:另外,在PowerDesigner生成数据库后,也可以在窗口底下的"Gene
mysql2014ex_PL/Sql:预定与自定异常
weixin_39626586的博客
02-18 188
oracle将例外分为预定例外,非预定例外和自定例外三种。预定例外用于处理常见的oracle错误非预定例外用于处理预定例外不能处理的例外自定例外用于处理与oracle错误无关的其它情况declarev_enamevarchar2(10);v_salnumber(7,2);beginselectename,salintov_ename,v_salfromempwhereempno=&a...
Power Designer [Microsoft][ODBC SQL Server Driver][SQL Server]无法预定语句SQLSTATE = 37000
daxiongge2008的专栏
09-26 3856
在进行Power Designer反向数据库时候发现问题: [Microsoft][ODBC SQL Server Driver][SQL Server]无法预定语句SQLSTATE = 37000 上网查询发现都是让修改: 解决方案:
SQL 语句(一)--------------模式及表的定
SuilandCoder的博客
07-13 2885
/*定模式*/ CREATE SCHEMA TEST AUTHORIZATION SONGJIE; /*默认模式名为用户名*/ CREATE SCHEMA AUTHORIZATION SONGJIE; /*删除模式*/ DROP SCHEMA MYMODE CASCADE;/*CASCADE 把该模式中的所有数据库对象全部删除*/ DROP SCHEMA SONGJI
SQL 找不到句柄为1的预定语句
m15188153014的博客
06-27 6335
存储过程报“找不到句柄为1的预定语句”的异常。 经过检查,发现是再修改存储过程的时候,因为粗心大意,多写了一句释放内存的语句  “EXEC sp_xml_removedocument”,报错就在于此。 sp_xml_preparedocument的作用是 返回一个句柄,可用于访问 XML 文档的新创建的内部表示方式。该句柄在连接到 Microsoft® SQL Server™ 2000 期间
PowerDesigner反向数据库时遇到[Microsoft][ODBC SQL Server Driver][SQL Server]无法预定语句SQLSTATE = 37错误解决方法...
angou6476的博客
08-25 1008
逆向工程中,有时会出现如下错误 ... [Microsoft][ODBC SQL Server Driver][SQL Server]无法预定语句 SQLSTATE = 37000 解决方案: 1、选择菜单栏中的Database -> Change Current DBMS ,给DBMS选择SQL Server2005。 2、重新配置ODBC连...
mysql建表 sql语句_mysql
最新发布
07-15
下面是一个简单的例子来说明如何使用SQL语句来创建MySQL表。 首先,我们需要打开MySQL命令行界面或图形界面工具,然后选择要创建表的数据库。假设我们已经选择了名为"mydatabase"的数据库。 接下来,我们可以使用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值