Statement与PrepareStatement问题

最新推荐文章于 2021-01-24 20:12:53 发布
最新推荐文章于 2021-01-24 20:12:53 发布
阅读量186 收藏
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43788929/article/details/84564389
版权

  1. Statement执行 ,其实是拼接sql语句的。 先拼接sql语句,然后在一起执行。

     String sql = "select * from t_user where username='"+ username  +"' and password='"+ password +"'";

 UserDao dao = new UserDaoImpl();
 dao.login("admin", "100234khsdf88' or '1=1");

 SELECT * FROM t_user WHERE username='admin' AND PASSWORD='100234khsdf88' or '1=1' 

 前面先拼接sql语句, 如果变量里面带有了 数据库的关键字,那么一并认为是关键字。 不认为是普通的字符串。 
 rs = st.executeQuery(sql);

PrepareStatement

该对象就是替换前面的statement对象。

  1. 相比较以前的statement, 预先处理给定的sql语句,对其执行语法检查。 在sql语句里面使用 ? 占位符来替代后续要传递进来的变量。 后面进来的变量值,将会被看成是字符串,不会产生任何的关键字。

     	String sql = "insert into t_user values(null , ? , ?)";
 	 ps = conn.prepareStatement(sql);
 	 
 	 //给占位符赋值 从左到右数过来,1 代表第一个问号, 永远你是1开始。
 	 ps.setString(1, userName);
 	 ps.setString(2, password);
繁路。#
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Spark SQL 优化笔记
主要分享大数据相关的知识,如Spark、Hudi
02-01 1469
前言 记录自己在工作开发中遇到的SQL优化问题 1、避免用in 和 not in 解决方案: 用exists 和 not exists代替 用join代替 not exists示例 not in: select stepId,province_code,polyline from route_step where stepId not in (select stepId from stepId...
Greenplum资源管理——Resource Queue进阶篇(面向DBA)
u013970710的博客
03-09 1225
Greenplum是一款广泛应用的开源MPP数据库的产品,兼容PostgreSQL生态,被广泛应用与大数据的存储与分析。 ResourceQueue(资源队列)是Greenplum最早的资源管理方式,能够对数据库的CPU、内存等资源进行限制,对多租户资源限制、保障数据库稳定运行具有一定的作用。
statement和preparestatement问题
u011700281的专栏
04-14 788
statment比较容易被sql注入,因为他是直接把
占位符的使用和PreparedStatement接口使用:
agjj99885的博客
04-16 808
  一、PreparedStatement 接口的使用 首先占位符我们可以使用 Statement 接口来操作数据, 但是这个接口存在两个问题: 1、使用 Statement 接口对象发送的 sql 语句需要在数据库中进行一次编译之后成为指令才能执行, 并且每条 sql 语句都需要编译一次, 这样效率是很慢的。 2、使用Statement 接口操作的 sql 可以使用字符...
How to do...well...anything...in DB2 SQL
luckdog_hot的专栏
03-01 4617
1. Selecting a value SQL Server: SELECT 'Hello, world!' (1 row(s) affected) DB2: SELECT 'Hello, world!' Error: SQL0104N An unexpected token "END-OF-STATEMENT" was found following "LECT 'Hel
prepareStatementStatement的区别
09-23
prepareStatementStatement的区别 prepareStatementStatement是 Java 中两个常用的数据库操作接口,它们都可以用来执行 SQL 语句,但是它们之间有着明显的区别。 首先,从创建时的区别开始,Statement 需要...
利用JDBC的PrepareStatement打印真实SQL的方法详解
08-29
PreparedStatement ps = connection.prepareStatement(sql); ps.setInt(1, 10); ``` 在这个例子中,我们想知道实际执行的SQL语句是"SELECT * FROM table WHERE id = 10"。为了实现这个需求,我们可以自定义一个辅助...
prepare cashflow_cashflow_statement_
10-04
现金流量表(Cashflow Statement)是企业财务报告的重要组成部分,用于揭示企业在一定会计期间内现金的流入和流出情况,展示了公司的经营、投资和筹资活动对现金的影响。它可以帮助投资者、管理层和其他利益相关者...
详解Java的JDBC中Statement与PreparedStatement对象
09-03
pstmt = conn.prepareStatement(SQL); // ... }catch (SQLException e) { // ... }finally { pstmt.close(); } ``` 在PreparedStatement中,参数是通过它们的顺序引用的,第一个问号对应位置1,第二个对应位置2...
java中PreparedStatementStatement详细讲解
08-25
pstmt = conn.prepareStatement("SELECT * FROM admin WHERE username = ? AND password = ?"); pstmt.setString(1, "韦小宝"); pstmt.setString(2, "222' OR '8'='8"); ResultSet rs = pstmt.executeQuery(); ...
关于Mybatis的错误Statement returned more than one row, where no more than one was expected
weixin_42783740的博客
01-24 4754
项目场景: SpringMVC项目,关于mybatis一对多关联查询的问题问题描述: 错误提示: Statement returned more than one row, where no more than one was expected mn.java: public class Mn { private int m; private int n; @Override public String toString() { ret
PreparedStatement字符串拼接
dicmo的专栏
11-18 1324
这在里求JDBC中PreparedStatement的实现,我想不会是这样来拼接。 [code="java"] package com.dicmo.test; import java.util.ArrayList; import java.util.List; public class PreparedStatement{ private String sql; ...
关于SQL语句prepareStatement预编译"?"占位符问题
weixin_41342104的博客
11-03 2561
关于SQL语句prepareStatement预编译"?"占位符问题Connection中的createStatement和 prepareStatement区别为什么会有占位符"?"(重点到了)请看下方结语 Connection中的createStatement和 prepareStatement区别 首先说下为什么常用的是PreparedStatement,因为Prepared...
EXECUTE IMMEDIATE Statement
weixin_30855761的博客
04-18 261
Syntax Keyword and Parameter Description bind_argument This can be an expression whose value is passed to the dynamic SQL statement or PL/SQL block, or it can be a variable that stores a valu...
DB2 SQL 消息
热门推荐
emilyzhang98的专栏
11-12 5万+
http://publib.boulder.ibm.com/infocenter/db2luw/v9r7/index.jspSQL 消息SQL0000W语句处理成功。 SQL0001N绑定或预编译未成功完成。 SQL0002N绑定文件名无效。 SQL0003N数据库名称无效。 SQL0004N密码无效。 SQL0005N消
JDBC第二篇【PreparedStatment、批处理、处理二进制、自动主键、调用存储过程、函数】(修订版)...
3y
02-18 523
前言只有光头才能变强。文本已收录至我的GitHub仓库,欢迎Star:https://github.com/ZhongFuCheng3y/3y1.PreparedStat...
statement与preparestatement
最新发布
03-16
statement和preparestatement都是Java中用于执行SQL语句的接口,但是它们有一些不同之处。 statement是一个简单的接口,用于执行静态的SQL语句。它可以执行任何类型的SQL语句,但是每次执行都需要将SQL语句发送到...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值