PreparedStatement

最新推荐文章于 2021-01-28 21:45:18 发布
最新推荐文章于 2021-01-28 21:45:18 发布
阅读量2.2k 收藏
点赞数 1
分类专栏: MySQL 数据库 文章标签: JDBC
肉man
本文链接:https://blog.csdn.net/weixin_42166907/article/details/81277282
版权

SQL注入问题

SQL注入:用户输入的内容作为了SQL语句语法的一部分,改变了原有SQL真正的意义。

假设有登录案例SQL语句如下:

SELECT * FROM 用户表 WHERE NAME = 用户输入的用户名 AND PASSWORD = 用户输的密码;

SELECT * FROM 用户表 WHERE NAME = ‘XXX’ AND PASSWORD =’ XXX’  OR ’a’=’a’;

此时,上述查询语句时永远可以查询出结果的。那么用户就直接登录成功了,显然我们不希望看到这样的结果,这便是SQL注入问题。

API详解:预处理对象

preparedStatement:预编译对象,是Statement对象的子类。
–> 防止mysql注入问题
–> 效率会提高

特点:

  • 性能高
  • 会把sql语句先编译
  • 能过滤掉用户输入的关键字。

PreparedStatement预处理对象
–> 处理的每条sql语句中所有的实际参数,都必须使用占位符?替换。
例:
String sql = “select * from user where username = ? and password = ?”;

PreparedStatement使用,需要通过以下3步骤完成:

PreparedStatement预处理对象代码:

// 获得预处理对象,需要提供已经使用占位符处理后的SQL语句
PreparedStatement psmt = conn.prepareStatement(sql)

设置实际参数

void setXxx(int index, Xxx xx) 将指定参数设置指定类型的值
    参数1:index 实际参数序列号,从1开始。
    参数2:xxx 实际参数值,xxx表示具体的类型。

例如:
setString(2, “1234”) 把SQL语句中第2个位置的占位符?替换成实际参数 “1234”

执行SQL语句:

int executeUpdate(); --执行insert update delete语句.
ResultSet executeQuery(); --执行select语句.
boolean execute(); --执行select返回true 执行其他的语句返回false.

代码示例

插入

@Test
public void demo01(){
//添加:向分类表中添加数据
Connection conn = null;
PreparedStatement psmt = null;
ResultSet rs = null;

try {
    //1 获得连接
    conn = JdbcUtils.getConnection();
    //2 处理sql语句
    String sql = "insert into category(cname) values(? )";
    //3获得预处理对象
    psmt = conn.prepareStatement(sql);
    //4设置实际参数
    psmt.setString(1,"预处理");
    //5执行
    int r = psmt.executeUpdate();

    System.out.println(r);

} catch (Exception e) {
    throw new RuntimeException(e);
} finally{
    //6释放资源
    JdbcUtils.closeResource(conn, psmt, rs);
}

}

更新

@Test
public void demo02(){
//修改
Connection conn = null;
PreparedStatement psmt = null;
ResultSet rs = null;

try {
    conn = JdbcUtils.getConnection();

    //1 sql语句
    String sql = "update category set cname = ? where cid = ?";
    //2 获得预处理对象
    psmt = conn.prepareStatement(sql);
    //3设置实际参数
    psmt.setString(1, "测试数据");
    psmt.setInt(2, 4);
    //4执行
    int r = psmt.executeUpdate();
    System.out.println(r);


} catch (Exception e) {
    throw new RuntimeException(e);
} finally{
    JdbcUtils.closeResource(conn, psmt, rs);
}

}

查询

@Test
public void demo05(){
//通过id查询
Connection conn = null;
PreparedStatement psmt = null;
ResultSet rs = null;

try {
    conn = JdbcUtils.getConnection();

    String sql = "select * from category where cid = ?";
    psmt = conn.prepareStatement(sql);
    psmt.setInt(1, 2);
    rs = psmt.executeQuery();
    if(rs.next()){
        System.out.println("查询到");
    } else {
        System.out.println("查询不到");
    }


} catch (Exception e) {
    throw new RuntimeException(e);
} finally{
    JdbcUtils.closeResource(conn, psmt, rs);
}

}

删除

public class Demo_delete {
public static void main(String[] args) throws ClassNotFoundException, SQLException {
//注册驱动
Class.forName(“com.mysql.jdbc.Driver”);
//获得连接
String url = “jdbc:demo00_pre://127.0.0.1:3306/day04”;
Connection conn = DriverManager.getConnection(url,”root”,”root”);
//获得sql操作方法
Statement statement = conn.createStatement();
int i = statement.executeUpdate(“DELETE FROM category WHERE cid = 1”);
System.out.println(i);
statement.close();
conn.close();
}
}

肉man
关注
专栏目录
使用PreparedStatement访问数据库
12-14
在Java的数据库编程中,`PreparedStatement`是Java.sql包下的一个重要接口,它是`Statement`接口的子接口。这个接口主要用于处理包含动态参数的SQL语句,以提高性能和安全性。`PreparedStatement`的主要特点是预编译...
preparedStatement
遨游奋飞
04-16 311
问题1: 在用JDBC的PreparedStatement类时,使用insert插入数据到数据表中,sql语句在执行preparedStatement.executeUpdate()方法后,成功返回了操作行数,表明程序没有问题,但就是在数据库中看不到插入的数据。 这个问题的原因在于,设置了 connection.setAutoCommit(false),使得preparedStatement的...
练习3:使用PreparedStatement插入宠物信息.zip
08-27
在Java编程中,PreparedStatement是Java SQL API中的一个接口,它是Statement接口的子接口。这个练习主要涉及如何使用PreparedStatement来插入宠物信息到数据库中。PreparedStatement的主要优势在于它的预编译能力和...
如何获得PreparedStatement最终执行的sql语句
03-24
在Java的JDBC编程中,`PreparedStatement`是一个非常重要的接口,它用于预编译SQL语句,提高了数据库操作的效率和安全性。当我们处理大量重复的SQL操作时,使用`PreparedStatement`可以避免SQL注入等问题,同时提升...
PreparedStatement接口
08-06
NULL 博文链接:https://chaoyi.iteye.com/blog/2088080
JSP中的PreparedStatement对象操作数据库的使用教程
10-22
为了高效且安全地与数据库进行交互,Java提供了一套成熟的API,其中PreparedStatement对象便是核心组件之一。PreparedStatement继承自Statement接口,但它对数据库操作进行了更高级的封装,提供了预编译语句的能力。...
PreparedStatementStatement
03-22
NULL 博文链接:https://stevenjohn.iteye.com/blog/968877
PreparedStatement详细用法
11-22
PreparedStatement详细用法
JDBC基础教程之PreparedStatement
盗也有道>>>>
11-12 2934
概述该 PreparedStatement 接口继承 Statement,并与之在两方面有所不同:PreparedStatement 实例包含已编译的 SQL 语句。这就是使语句“准备好”。包含于 PreparedStatement 对象中的 SQL 语句可具有一个或多个 IN 参数。IN参数的值在 SQL 语句创建时未被指定。相反的,该语句为每个 IN 参数保留一个问号(“?”)作为占位符。每个
PreparedStatement 简介
热门推荐
u013738122的博客
11-25 1万+
PreparedStatement 使用示例 stringsql = "select * from people p where p.id = ? and p.name = ?"; preparedstatement ps = connection.preparestatement(sql); //setxxx() 方法的第一个参数表示 ? 所在的位置,从1开始计算,第二个参数表示对应的值 ps....
JDBC中PreparedStatement
一个很懒的人
01-28 269
1.SQL注入问题 1.什么是SQL注入问题? 用户输入的数据中有SQL关键字或语法并且参与了SQL语句的编译,导致SQL语句编译后的条件含义为true,一直得到正确的结果。这种现象称为SQL注入。 2.如何避免SQL注入 由于编写的SQL语句是在用户输入数据,整合后再进行编译。所以为了避免SQL注入的问题,我们要使SQL语句在用户输入数据前就已进行编译成完整的SQL语句,再进行填充数据。 2.PreparedStatement PreparedStatement继承了Statement接口,执行SQ.
知识点——PreparedStatement
weixin_43527766的博客
03-24 291
PreparedStatement是java.sql下的api,相比Statement(通用查询),CallableStatement(存储过程查询),PreparedStatement适用于参数化查询。 不过绝大部分的时候,PreparedStatement可以代替Statement,有以下好处: 1.处理参数(日期转换之类)更方便 2.执行更快捷,如名字所言,它是预编译的 3.更加安全,能防止...
JDBCStatement和PreparedStatement的择弃
分享,卓越
07-20 1439
PreparedStatement是用来执行SQL查询语句的API之一,Java提供了 Statement、PreparedStatement 和 CallableStatement三种方式来执行查询语句,其中 Statement 用于通用查询, PreparedStatement 用于执行参数化查询,而 CallableStatement则是用于存储过程。同时PreparedStatement
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值