Day8_9 Java学习之PreparedStatement类与JDBCUtil工具类

已于 2022-09-08 20:36:47 修改
阅读量799 收藏
点赞数 2
分类专栏: MySQL数据库 JDBC操作 文章标签: java 学习 数据库
于 2022-09-08 20:31:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43717536/article/details/126770463
版权
本文详细介绍了PreparedStatement接口的作用,包括防止SQL注入、提高代码可读性和执行效率,并列举了常用方法。还通过实例展示了SQL注入攻击及其危害,以及如何使用PreparedStatement避免此类问题。此外,文章讨论了JDBCUtil工具类的创建,旨在提高代码复用性和方便数据库配置的维护。
摘要由CSDN通过智能技术生成

目录

一、PreparedStatement(防止SQL注入)类

PreparedStatement的概述

 PreparedStatement的常用方法

 SQL注入攻击演示:

PreparedStatement使用演示:

二、JDBCUtil工具类

JDBCUtil工具类的概述

JDBCUtil工具类的实现

一、PreparedStatement(防止SQL注入)类

  • PreparedStatement的概述

解析:

1.在上述,我们已经知道Statement是用来发送sql语句的,但是它有以下几个缺点:

1.1、sql语句是拼接的

1.2、拼接的sql语句容易出错

1.3、可读性错

1.4、存在SQL攻击/SQL注入危及系统安全问题(这个是非常致命的关键问题)

2.为了解决上述的问题,于是JDBC提供PreparedStatement接口横空出世替换Statement接口,完美的解决了上述的4个问题,最重要决了第4点的安全问题。

3.PreparedStatement接口是Statement的子接口, 功能比Statement更强大,它有如下优点:

3.1、带预编译功能, 让数据库开启预编译功能

3.2、使用?占位,不需要拼接sql, 可读性高 解析:sql语句中的值使用 ? 占位

3.3、使用?占位,不需要拼接sql,sql攻击/SQL注入失效

3.4、提高代码的可读性,以可维护性;

3.5、提高效率。

特别注意:在实际开发中, 能使用PreparedStatement一定不要使用Statement​​​​​​

  •  PreparedStatement的常用方法

解析:

1.使用Connection的prepareStatement(String sql):作用:即创建它时就让它与一条SQL模板绑定;

2.调用PreparedStatement的setXXX()系列方法作用:为问号设置值

3.调用executeUpdate()或executeQuery()方法,但要注意,调用没有参数的方法;

4.clearParameters()方法作用:再次使用上一个SQL模板时需要把原来的设置的参数清空。

  •  SQL注入攻击演示:

演示代码:

package week2.day4;

import java.sql.*;

public class StatementDemo {
    public static void main(String[] args) {

        login("5' or '1' = '1","5' or '1'='1");
    }

    // 登录方法
    public static void login(String username,String password){
        // 3大对象
        Connection connection = null;
        Statement statement = null;
        ResultSet resultSet &#
最低0.47元/天 解锁文章
浮生 丶如梦
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Java日志二十「PreparedStatement对象和一个简单的工具类
S_8casrces的博客
08-26 196
在这篇正片开始前我先把数据库的事物操作简单说一下,(主要是为了引出做后一种没有介绍的JDBC对象与一个简单的JDBC工具类): 大家肯定发现了每次连接数据库执行一些操作的都有很多重复的操作,我们可以自己定义一个工具类来完成这些重复的操作。 我们先把一些必要的数据写道一个配置文件中 url=jdbc:mysql:///Practice_affair user=root password=000222abc driver=com.mysql.cj.jdbc.Driver 工具类 public class JD
JDBC之PreparedStateMent工具类、Dao层、事务
weixin_54194900的博客
09-10 907
PreparedStatemen是预编译声明的意思。预编译功能:客户端发送sql语句给数据库服务器的时候,服务器有三步,编译sql-----语法分析------执行语句。预编译的意思就是当前面执行过相似的sql语句,会把前面两步保存起来,后面执行似的语句 可以跳过前面两步。该子接口可以让数据库开启预编译功能(前提是数据库有这个功能)。同时,PreparedStatementStatement的子接口,我们在以后的学习中我们可以使用PrearedStatement来代替Statement
Java-JDBCUtil工具类
dcy22899的博客
07-08 322
import java.io.File; import java.io.FileInputStream; import java.io.FileNotFoundException; import java.io.IOException; import java.io.InputStream; import java.sql.Connecti...
JDBC进阶:PrepardStatementJDBCUtil工具类
qq_52130567的博客
09-13 631
在我们用Java程序去操纵数据库时总是会用到里面的四大元素:驱动、DB的url、用户名、密码这四个元素都与指定数据库关联,如果以后要换一个数据库,这些元素必定要改,如果像我们初学JDBC时那样去定义这些元素,肯定需要修改源代码,这违背了设计模式中提到的开闭原则:对扩展开放,对修改关闭。要想避免频繁修改源代码,我们需要一个JDBC工具类,和一个properties配置文件。
JDBC(2) 工具类 | PreparedStatement详细说明
星海IT学习之路
07-11 2305
目录一、JDBC 工具类使用 JDBC API 操作数据库的基本步骤编写工具类 JDBCUtils二、PreparedStatement1 、PreparedStatement 概述2 、Statement 的不足3 、PreparedStatement vs Statement4 、示例代码(1 )使用 Statement(2 )使用 PreparedStatement 一、JDBC 工具类 使用 JDBC API 操作数据库的基本步骤 1、加载和注册驱动 2、获取数据库连接 3、准备操作执行 SQL
三十一、java基于jdbc操作MySQL数据库之PreparedStatement
Gem丶超超的博客
11-16 261
java基于jdbc操作MySQL数据库之PreparedStatement 源码位置 java.sql包下 源码 public interface PreparedStatement extends Statement 抽象方法 ResultSet executeQuery() int executeUpdate() void setBoolean(int parameterIndex, boolean x) void setByte(int parameterIndex, byte x) void
day2_jdbc.zip_jdbc ut_jdbc util_jdbcUtil_jdbc封装
09-23
`JdbcUtil`是开发者为了简化JDBC操作而自定义的一个工具类,它封装了JDBC的一些常用功能,以便更方便、高效地进行数据库交互。下面我们将详细探讨JDBC的基础知识,以及`JdbcUtil`的设计思想和实现方法。 首先,...
Day24_10 JavaWeb之JSTL标签、分页查询
最新发布
weixin_43717536的博客
10-25 1787
Java server pages standarded tag library,即。
JavaJDBC
08-08
在实际开发中,为了代码的可读性和复用性,通常会编写JdbcUtil工具类,封装上述步骤,提供更简洁的数据库操作接口。`JdbcUtil.zip`可能包含的就是这样的工具类实现,可以简化JDBC的使用,避免重复的代码。 此外,`...
JDBCUtil.java
01-04
JDBC连接Mysql的文档 简单方便
jdbcutil.java
05-13
java jdbc操作数据库 static{ try{ String driverName = "oracle.jdbc.driver.OracleDriver"; Class.forName(driverName); }catch(Exception e){ e.printStackTrace(); } }
JAVA WEB DAY 12_ MyBatis(day01)
NTT0101的博客
09-23 271
MyBatis 01_数据库元数据概述-[★★] 元数据的概念:用来定义数据表的数据 元数据的分数据库元数据:用来获得数据库厂商的信息,驱动包的信息等 参数元数据:用来获取占位符的个数以及对应数据型 结果集元数据:用获取结果集中的列的数量,列的型,列的名字 02_ParameterMetaData 元数据-[★★★] ParameterMetaData对象常用方法 ParameterMetaData对象常用方法 说明 int getParameterCount()
Java jdbcutil
云守护的专栏
01-07 3744
/* * Copyright 1999-2011 Alibaba Group Holding Ltd. * * Licensed under the Apache License, Version 2.0 (the "License"); * you may not use this file except in compliance with the License. * You ma
JDBCUtilJava
我爱写代码 我爱写代码 我爱写代码
05-24 418
package org.example.util; import com.alibaba.druid.pool.DruidDataSourceFactory; import javax.sql.DataSource; import java.io.IOException; import java.io.InputStream; import java.sql.Connection; import java.sql.ResultSet; import java.sql.SQLException; impo
Java---一个简单的JdbcUtil
lanhezhong的博客
03-25 351
简单的JdbcUtil
PrepareStatement(转载)
liangcmwn
06-14 137
import java.sql.*; public class UsePreparedStatement {         public static void main(String[] args) {                 String url = "jdbc:mysql://localhost/sql_test";                 String userName ...
jdbcutil.java工具类,jdbcutil.java工具类
weixin_31009269的博客
03-16 318
jdbcutil.java工具类_自定义的jdbc连接工具类JDBCUtils...2021年2月16日升级版:使用 properties 配置文件进行数据库连接配置见下文工具二 JDBCUtils 代码实现: packagecom.test.utils;importjava.sql.Connection;importjava...JDBC(二)抽取工具类:JDBCUtil.java_YZHHH...
Java工具集-JDBCUtils
逍遥云恋
12-04 682
代码示例 package com.simple.util.jdbc; import java.io.FileReader; import java.io.IOException; import java.net.URL; import java.sql.Connection; import java.sql.DriverManager; import java.sql.PreparedState...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值