JDBC中PreparedStatement

于 2021-01-28 21:45:18 发布
阅读量283 收藏
点赞数
分类专栏: Java 文章标签: jdbc
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43715360/article/details/113359143
版权
本文介绍了SQL注入问题的原理及如何通过使用PreparedStatement来避免此类安全问题。通过示例代码展示了PreparedStatement如何预编译SQL语句并绑定参数,从而提高效率和安全性。
摘要由CSDN通过智能技术生成

1.SQL注入问题
1.什么是SQL注入问题?
用户输入的数据中有SQL关键字或语法并且参与了SQL语句的编译,导致SQL语句编译后的条件含义为true,一直得到正确的结果。这种现象称为SQL注入。

2.如何避免SQL注入
由于编写的SQL语句是在用户输入数据,整合后再进行编译。所以为了避免SQL注入的问题,我们要使SQL语句在用户输入数据前就已进行编译成完整的SQL语句,再进行填充数据。

2.PreparedStatement
PreparedStatement继承了Statement接口,执行SQL语句的方法无异。

1.作用:
1.预编译SQL语句,效率高。
2.安全,避免SQL注入。
3.可以动态填充数据,执行多个同构SQL语句。

2.参数标记:
在这里插入图片描述

3.动态参数绑定:
在这里插入图片描述

3.PreparedStatement示例代码:

import java.sql.*;
import java.util.Scanner;

public class QueryJdbc2 {
    public static void main(String[] args) throws Exception{

        Scanner sc=new Scanner(System.in);
        System.out.println("请输入账号:");
        String name=sc.nextLine();
        System.out.println("请输入密码:");
        String pwd=sc.nextLine();


        Class.forName("com.mysql.jdbc.Driver");

        String url="jdbc:mysql://localhost:3306/test";
        String user="root";
        String password="123456";
        Connection connection= DriverManager.getConnection(url,user,password);

        //1.编写占位符SQL语句
        String sql="select * from users where username=? and password=?";
        //2.获得PreparedStatement,预编译SQL语句
        PreparedStatement preparedStatement=connection.prepareStatement(sql);
        //3.为占位符赋值
        preparedStatement.setString(1,name);
        preparedStatement.setString(2,pwd);

        //4.得到结果
        ResultSet resultSet=preparedStatement.executeQuery();

        if(resultSet.next()){
            System.out.println("登录成功!");
        }
        else{
            System.out.println("登录失败!");
        }

        //5.释放资源
        resultSet.close();
        preparedStatement.close();
        connection.close();
    }
}
一个很懒的人
关注
专栏目录
JDBCPreparedStatement的应用
weixin_51232559的博客
07-02 902
JDBCPreparedStatement的应用(解决SQL注入导致的密码失效问题)
详解JDBC的PreparedStatement
qf2019的博客
08-25 3719
PreparedStatement是用来执行SQL查询语句的API之一,Java提供了 Statement、PreparedStatement 和 CallableStatement三种方式来执行查询语句,其 Statement 用于通用查询,PreparedStatement 用于执行参数化查询,而 CallableStatement则是用于存储过程。同时PreparedStatement还经常会在Java面试被提及,本文我们就来详细聊一聊JDBC的PreparedStatement。 那么Prepa
PreparedStatement
06-09
jdbc2.0版 PreparedStatement接口的用法
JDBC教程之PreparedStatement
weixin_34236497的博客
10-13 160
JDBC教程之PreparedStatement csdn 2004-9-14 18:10:00 文/键者天行   概述   该 PreparedStatement 接口继承 Statement,并与之在两方面有所不同:  PreparedStatement 实例包含已编译的 SQL 语句。这就是使语句“准备好”。包含于 PreparedStatemen...
JDBC的PreparedStatement
xinhaowudi的博客
08-13 135
JDBC的防注入攻击的程序: package JDBCTest; import java.sql.Connection; import java.sql.DriverManager; import java.sql.PreparedStatement; import java.sql.ResultSet; public class Two { public static void mai...
34.jdbcpreparedStatementStatement的好处.avi
03-07
jdbcpreparedStatementStatement的好处
Java面试题34.jdbcpreparedStatementStatement的好处.mp4
最新发布
09-09
Java面试题34.jdbcpreparedStatementStatement的好处.mp4
JDBCPreparedStatement接口提供的execute、executeQuery和executeUpdate之间的区别及用法
10-28
JDBC PreparedStatement 接口提供的 execute、executeQuery 和 executeUpdate 之间的区别及用法 JDBC 的 PreparedStatement 接口提供了三种执行 SQL 语句的方法:executeQuery、executeUpdate 和 execute。...
PreparedStatementStatement
03-22
NULL 博文链接:https://stevenjohn.iteye.com/blog/968877
JDBC PreparedStatement
Sue12347的博客
05-29 222
为什么使用PreaparedStatement:1.使用statement需要通过字符串,拼写出对应的数据库命令2. 使用PreparedStatement可以有效防止sql注入,sql注入攻击是利用某些系统没有对用户输入的数据进行充分的检查,而在用户输入数据注入非法的SQL语句段或命令,从而利用系统的SQL引擎完成恶意行为的做法,对于Java而言,只要使用PreparedStatement取代...
JDBC之PreparedStatement
weixin_37590761的博客
01-14 227
why: 1.1 使用 Statement 需要进行拼写 SQL 语句 . 很辛苦 . 而且容易出错 . 1.2 使用 Statement 可能会发生 SQL 注入 SQL注入:SQL 注入是利用某些系统没有对用户输入的数据进行充分的检查,而在用户输入数据注入非法的 SQL 语句段或命令,从而利用系统的 SQL 引擎完成恶意行为的做法对于 Java 而言,要防范 SQL 注入,只要用Prep...
jdbc之PreparedStatement
YRZsir的博客
11-26 301
package jdbc; import java.sql.*; public class PreparedStatementDemo { public static void main(String[] args) throws SQLException{ // 在test1,SQL语句的执行是通过Statement对象实现的。Statement对象每次执行SQL语句时,都会对其进行编译...
JDBC PreparedStatement Statement
dimei8552的博客
01-26 142
参考:预编译语句(Prepared Statements)介绍,以MySQL为例 1. 背景 本文重点讲述MySQL的预编译语句并从MySQL的Connector/J源码出发讲述其在Java语言相关使用。注意:文的描述与结论基于MySQL 5.7.16以及Connect/J 5.1.42版本。 2. 预编译语句是什么 通常我们的一条sql在db接收到最终执行完毕返回可以分为...
JDBC:PreparedStatement
又言又语
03-19 355
JDBC:PreparedStatement
jdbc 之PreparedStatement
ljinshuo的博客
02-21 154
1>PreparedStatement 它是statement的子接口 它的优点: 防SQL攻击 提高代码的可读性、可维护性; 提高效率! 学习PreparedStatement用法: 如何得到PreparedStatement的用法 给出SQL模板 调用Connection的PreparedStatement prepareStatement(String sql模板); 调用pstmt...
JDBC的PreparedStatement
weixin_40273144的博客
04-21 302
使用Statement需要进行拼写SQL语句,很麻烦而且容易出错,这就用到了PreparedStatement。PreparedStatementStatement的子接口,可以传入带占位符的SQL语句,并且提供了补充占位符变量的方法。 1.使用PreparedStatement 1.1 创建PreparedStatement; String sql="INSERT INTO EXAMS...
JDBCPreparedStatement
qq_37400096的博客
11-22 357
import org.junit.Test; import com.mysql.jdbc.Connection; import com.mysql.jdbc.PreparedStatement; import com.mysql.jdbc.ResultSet; public class TestPreparedStatement { /** * 使用preparedS...
jdbcpreparedstatement用法
04-11
PreparedStatementJDBC一种预编译的语句对象,可以用来执行动态的SQL语句,并可以有效地防止SQL注入攻击。使用PreparedStatement可以先将SQL语句预编译,然后再为参数设置值,最后执行SQL语句,大大增加了执行效率和安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值