数据库——占位符的使用

最新推荐文章于 2024-01-23 16:42:36 发布
最新推荐文章于 2024-01-23 16:42:36 发布
阅读量4.5k 收藏 6
点赞数 3
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42857992/article/details/90553010
版权

使用占位符的好处

1 避开了SQL语句注入的风险

        SQL注入风险:使用Statement接口操作的sql语句需要使用字符串拼接的方式实现,这样的方式可能存在sql注入的安全风险并且拼接字符串比较麻烦的

2 传入字符串参数时无需用再用单引号包裹

观察如下两段代码:
代码一:不使用占位符

public class JdbcTest {
    public static void main(String[] args)  {
    //  调用selectLogin(String name, String password)方法时,若在传入的password参数后面拼接一个"OR"字符串和一个返回值为true的字符串表达式,则无论"OR"前面的字符串是否满足条件,都能成功查询到myuser数据表中username字段名下name的所有信息
        selectLogin("'smith'", "'sddsaf' OR 1=1");  //传入字符串参数时需将字符串用单引号包裹
    }

    public static boolean selectLogin(String name, String password) {
        Connection conn = getConnection();        // getconnection():自定义的连接数据库的方法
        try {
//  当传入的参数较多时,字符串的拼接会比较麻烦
            String sql = "SELECT *FROM myuser WHERE username=" + name + " AND password=" + password;
            System.out.println(sql);
            PreparedStatement pst = conn.prepareStatement(sql);
            ResultSet rst = pst.executeQuery();        //  返回一个查询结果集
            if (rst.next()) {                                            //  当rst.next()返回true时,说明查询成功
                System.out.println("查询成功");
            } else {
                System.out.println("用户名或密码不正确");
            }           
        } catch (SQLException e) {
            e.printStackTrace();
        } finally {
            close(conn);
        }
        return false;
    }
}

此时传入错误的参数也能成功

代码一:使用占位符“?”来代替SQL语句中需要传入的字符串参数

public static void selectLogin2(String name,String password) {
        Connection conn = getConnection();
        try {
                //       使用占位符“?”来代替
            String sql = "SELECT *FROM myuser WHERE username=? AND password=?" ; 
            PreparedStatement pst = conn.prepareStatement(sql);
            pst.setString(1, name);                //      给占位符赋值
            pst.setString(2, password);         //      给占位符赋值
            ResultSet rst = pst.executeQuery();
            if (rst.next()) {
                System.out.println("登陆成功");
            } else {
                System.out.println("用户名或密码不正确");
            }
            
        } catch (SQLException e) {
            e.printStackTrace();
        } finally {
            close(conn);
        }
    }

		当使用占位符之后,只有输入了正确的参数,才能查询成功
虹鲤鱼与绿鲤鱼与驴
关注
  • 3
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
json_placeholder:JSON数据库占位符
03-13
json_placeholder JSON数据库占位符 此存储库用于在构建Web应用程序时替换数据库 如何: 访问“ ”以访问db.json文件的内容 在这种情况下: <用户名> == Gleammer <repo> == json_placeholder 有关更多信息,请检查: : :star: 对于任何想扩展db.json文件的人,请随时请求此存储库的Pull-Request
python占位符输入方式实例
09-19
在本篇文章中小编给大家分享了关于python占位符怎么输入的相关知识点内容,有兴趣的朋友们可以学习下。
占位符的简单介绍以及使用方法说明
2301_80240816的博客
01-23 456
我们在使用C语言编程的时候,最常用的一个函数就是printf函数,而在使用printf函数进行打印的过程中,难免会打印数值,字符等等,当这些都不为常量时,我们就得使用占位符来辅助我们打印出我们想要的东西来。因此,这篇文章我将介绍平时常用的几个占位符。本文简单介绍了常用的几种占位符,以及如何使用。我们在使用占位符的过程中一定要把占位符所占的数据类型和要打印的数值的数据类型相匹配。
Mybatis的#占位符和$占位符使用方法、区别、适合的使用区域
weixin_45063658的博客
12-20 1063
Mybatis的#占位符和$占位符使用方法、区别、适合的使用区域
MySQL数据库学习(小白一文掌握Mysql)
阿利同学的博客
05-24 457
Python 是一种高级编程语言,它可以轻松地与各种数据库进行交互,其中包括 MySQL 数据库。MySQL 是一种开源的关系型数据库管理系统,被广泛应用于各种应用程序和网站的后端。在本文中,我将介绍如何使用 Python 操作 MySQL 数据库,并提供一些代码示例。
创建触发器(摘自帮助手册)
.Kaway.Cheng专栏
12-07 1274
CREATE TRIGGER创建触发器,触发器是一种特殊的存储过程,在用户试图对指定的表执行指定的数据修改语句时自动执行。Microsoft® SQL Server™ 允许为任何给定的 INSERT、UPDATE 或 DELETE 语句创建多个触发器。语法CREATE TRIGGER trigger_name ON { table | view } [ WITH ENCRYPTION
mysql中占位符的作用_sql语句中的占位符?有什么作用
weixin_39599081的博客
01-21 2303
String sql = "SELECT userid,name FROM tuser WHERE userid=? AND password=?" ;pstmt = conn.prepareStatement(sql) ;pstmt.setString(1,userid) ; // 这里设置了第一个?的值pstmt.setString(2,password) ; // 这里设置了第二个?的值 等...
mysql 占位符使用_使用占位符数据库进行操作 | 学步园
weixin_39819661的博客
01-27 678
在main.xml中:android:layout_width="fill_parent"android:layout_height="fill_parent"android:orientation="vertical"android:gravity="center_horizontal">android:id="@+id/insertBut"android:layout_marginTop...
mysql的字段的占位_sql语句中的#{}占位符和${}占位符(自己看的)
weixin_39983427的博客
01-30 4484
搜了一晚上,原谅我的愚蠢:这里sql中占位符#{},${} 是JDBC提供使用的,跟什么Ognl表达式,EL表达式或者jstl标签库完全没关系!#将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by “111”, 如果传入的值是id,则解析成的sql为order by “id”。$将传...
常用的占位符
最初的梦想
09-11 4421
# 常用的占位符:一般对字符串使用的 # %s:几乎可以表示任意类型的变量 x = input('请问你叫什么名字?:') # y = 'It工程师' name = '我叫%s,我是中国人'%x print(name) # %d用于表示整数 age = int(input('你多大了')) info = '我的年龄是%d岁'%age print(info) # 生成往前100页的url地址规...
用户故事——需求的占位符
02-20
用户故事设置每个工件的边界范围。敏捷的需求分析贯穿交付物的整个生命周期。团队就接收标准、建议的解决方案和完成每个故事的工作量评估达成一致意见。团队成员和他们的管理者必须为计划会预计的每个故事做准备。...
Python 占位符使用方法详解
09-19
主要介绍了Python 占位符使用方法详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Python之占位符使用与实例
04-20
python占位符
126邮箱页 html源码 单页源码 网站后台登陆界面HTML源码.zip
04-23
126邮箱页 html源码 单页源码 网站后台登陆界面HTML源码
武汉开放数据创新大赛——烽火杯文件.zip
04-23
武汉开放数据创新大赛——烽火杯文件
mmexport1713881481676.png
04-23
mmexport1713881481676.png
Digital currency trading platformAdobeXD源码下载设计素材UI设计.xd
最新发布
04-23
Digital currency trading platform landing pageAdobeXD源码下载设计素材UI设计
了解Java及环境搭建
04-23
了解Java及环境搭建
数据库占位符如何使用,怎么定义的
05-30
数据库中,占位符通常用于预处理语句,以避免SQL注入攻击。占位符使用方式和定义方式可能略有不同,具体取决于您使用数据库和编程语言。 在使用预处理语句的情况下,您需要在SQL语句中使用占位符来代替要插入的变量或参数。这些占位符通常表示为问号(?)或冒号(:)等字符。 例如,如果您要向数据库中插入一条记录,其中包含名称和年龄字段,您可以使用占位符来代替变量值,如下所示: ``` INSERT INTO my_table (name, age) VALUES (?, ?) ``` 在这个例子中,问号(?)就是占位符,您可以在执行预处理语句时提供实际的值来替换这些占位符。 在Java中,您可以使用PreparedStatement对象来执行预处理语句,示例代码如下: ``` String name = "John"; int age = 30; String sql = "INSERT INTO my_table (name, age) VALUES (?, ?)"; PreparedStatement statement = connection.prepareStatement(sql); statement.setString(1, name); statement.setInt(2, age); statement.executeUpdate(); ``` 在这个例子中,prepareStatement()方法用于创建PreparedStatement对象,然后您可以使用setString()和setInt()等方法将实际值设置到占位符中。最后,您可以使用executeUpdate()方法执行SQL语句并将记录插入到数据库中。 需要注意的是,占位符使用方式可能会因不同的编程语言和数据库而有所不同,具体取决于您的应用程序的实际需求。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值