jdbc -4- PreparedStatement

最新推荐文章于 2022-10-17 12:12:11 发布
最新推荐文章于 2022-10-17 12:12:11 发布
阅读量476 收藏
点赞数
分类专栏: jdbc
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44130043/article/details/100716035
版权

PreparedStatement

···························

SQL 注入是利用某些系统没有对用户输入的数据进行充分的检查,而在用户输入数据中注入非法的 SQL 语句段或命令,
从而利用系统的 SQL 引擎完成恶意行为的做法
对于 Java 而言,要防范 SQL 注入,只要用 PreparedStatement 取代 Statement 就可以了

可以通过调用 Connection 对象的 preparedStatement() 方法获取 PreparedStatement 对象
PreparedStatement 接口是 Statement 的子接口,它表示一条预编译过的 SQL 语句
PreparedStatement 对象所代表的 SQL 语句中的参数用问号(?)来表示,调用 PreparedStatement 对象的 setXXX() 方法来设置这些参数. setXXX() 方法有两个参数,第一个参数是要设置的 SQL 语句中的参数的索引(从 1 开始),第二个是设置的 SQL 语句中的参数的值

statement vs preparedStatement

代码的可读性和可维护性.
PreparedStatement 能最大可能提高性能:
DBServer会对预编译语句提供性能优化。因为预编译语句有可能被重复调用,所以语句在被DBServer的编译器编译后的执行代码被缓存下来,那么下次调用时只要是相同的预编译语句就不需要编译,只要将参数直接传入编译过的语句执行代码中就会得到执行。
在statement语句中,即使是相同操作但因为数据内容不一样,所以整个语句本身不能匹配,没有缓存语句的意义.事实是没有数据库会对普通语句编译后的执行代码缓存.这样每执行一次都要对传入的语句编译一次.
(语法检查,语义检查,翻译成二进制命令,缓存)
PreparedStatement 可以防止 SQL 注入

package connect;

import org.junit.Test;
import java.sql.PreparedStatement;
import java.sql.SQLException;

/*
使用preparedStatement 简化Sql语句的编写

··可以有效的禁止SQL注入
SQL 注入是利用某些系统没有对用户输入的数据进行充分的检查,而在用户输入数据中注入非法的 SQL 语句段或命令,
从而利用系统的 SQL 引擎完成恶意行为的做法

对于 Java 而言,要防范 SQL 注入,只要用 PreparedStatement 取代 Statement 就可以了
 */
public class preparedStatement {
    @Test
    public void test() throws SQLException {
        //1.创建PreparedStatement
        String sql = "INSERT INTO customer (name, email, brith) VALUES (?,?,?)";
        PreparedStatement preparedStatement = JDBCTools.getConnection().prepareStatement(sql);

        //2.调用PreparedStatement的setxxx(int index,Object val)设置占位符的值 (setObject())
        preparedStatement.setString(1,"arli");
        preparedStatement.setString(2,"Gmail.com");
        preparedStatement.setString(3,"+654651-4565+-");

        //3.执行SQL语句: executeQuery() 或 executeUpdate() :执行时不再需要传入SQL
        preparedStatement.executeUpdate();

        preparedStatement.close();
    }

    //通用查询方法(利用反射及JDBC元数据编写通用的查询方法)
    /*
    ResultSetMetaData:是描述ResultSet的元数据对象,既可以从中获取到结果集中有多少列,列名是什么。。。
    1.得到ResultSetMetaData:对象:调用ResultSet 的getMetaDate()方法
            ResultSetMetaData中的方法:
                >int getColumnCount(): SQL 语句中包含哪些列
                >String getColumnLabel(int column): 获取指定的列的别名,其中索引从1开始
    2.
     */
    @Test
    public void ToolsTest2(){
        //为属性名设置别名
        String sql = "SELECT id id,name Name, email Email, brith Date FROM customer WHERE id = ?";

        CustomerClass customerClass = JDBCTools.instance_search(CustomerClass.class, sql, 5);
        System.out.println(customerClass);


    }
//    @Test
//    public void ToolsTest(){
//        String sql = "INSERT INTO customer (name, email, brith) VALUES (?,?,?)";
//        JDBCTools.P_Update(sql,"arli","qq.com","156-9684-4");
//
//        JDBCTools.instance_insert(new CustomerClass("ryrtrtnjhrtn", "asefg.com", "54354+65"));
//
//    }
}
袁祺
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用log4jdbc打印完整sql语句(log4j.properties配置)
Cc3p0的博客
10-19 6312
版权声明:本文为博主原创文章,未经博主允许不得转载。 首先要下载log4jdbc的jar包log4jdbc-1.2.jar以及依赖的相关Jar包log4j-1.2.17.jar、slf4j-api-1.6.0.jar、slf4j-log4j12-1.7.7.jar。 接下来把我们的数据库连接驱动和url进行修改; mysqlJdbcDriver=net.sf.log4jdbc.Driver...
JDBC(4)PreparedStatement
weixin_34195364的博客
10-12 271
PreparedStatement: 是一个预编译对象 是Statement的子接口 允许数据库预编译SQL 执行SQL的时候,无需重新传入SQL语句,它们已经编译SQL语句 执行SQL语句 :executeQuery()或execute Update() 注意:不要在传入SQL语句 可以有效地防止SQL注入 方法: ->setXxxx(int index,Xxx ...
JDBC(4)—Preparedstatement
weixin_30609287的博客
07-24 172
功能:使用PreparedStatement操作数据表,其功能与Statement一致,但为何要使用PreparedStatement呢。 一、原因: 1.使用sql语句进行操作数据表时,需要拼写sql语句,在拼写时容易出错,且不易排查,所以使用PreparedStatement *操作数据表时,降低sql语句的拼写难度,简化拼写sql语句的步...
JDBC 笔记4 PreparedStatementStatement 的区别
weixin_30950887的博客
11-13 92
1 有安全性 PreparedStatement 可以由于不是使用拼接,防止了sql注入,提高了安全性。 2 更方便 PreparedStatement 可以自动对类型进行转换,代码可读性,可维护性提高。 3 批处理 PreparedStatement 有预编译功能,大批量的处理sql效率更高。(MySQL 不明显,Oracle 非常明显) 转载于:ht...
JDBC(4) — —PreparedStatement
weixin_34234823的博客
08-30 199
好处:     1. 代码的可读性和可维护性     2.PreparedStatement 可以防止 SQL 注入     3.PreparedStatement 能最大可能提高性能:        1)DBServer会对预编译语句提供性能优化。因为预编译语句有可能被重复调用,所以语句在被DBServer的编译器编译后的执行代码被缓存下来,那么下次调用时只要是相同的预编译语...
JDBC | 4 - PreparedStatement 批处理 |
太尉司马懿的博客
12-08 159
import java.sql.*;public class Main { private static final String DBDRIVER = “com.mysql.jdbc.Driver”; private static final String DBURL = “jdbc:mysql://localhost:3306/TEACH?characterEncoding=
clickhouse-jdbc-bridgeRPM安装包适应于centos678
09-19
4. **安装RPM包**:执行`yum install clickhouse-jdbc-bridge-2.1.0-1.noarch.rpm`来安装`clickhouse-jdbc-bridge`。系统会自动处理依赖关系并安装必要的组件。 5. **配置桥接器**:安装完成后,需要配置桥接器以...
jdbc-odbc.zip_jdbc-odbc download
09-19
4. **建立连接**:展示如何在Java代码中使用`DriverManager.getConnection()`方法来建立JDBC-ODBC桥连接。 5. **执行SQL语句**:解释如何使用`Statement`或`PreparedStatement`对象来执行SQL查询、插入、更新和删除...
jdbc.rar_jdbc_jdbc-odbc
09-23
4. **Statement/PreparedStatement**: 用于执行SQL语句,Statement适用于静态SQL,PreparedStatement支持预编译,更安全,效率更高。 5. **ResultSet**: 存储查询结果,可以遍历获取数据。 ### JDBC操作步骤 1. **...
sqljdbc4-3.0.jar
12-22
4. 编写SQL语句,创建Statement或PreparedStatement对象。 5. 执行查询或更新操作,并处理结果集。 6. 完成操作后,记得关闭所有资源,包括Statement、ResultSet和Connection。 总的来说,sqljdbc4-3.0.jar是Java...
sqljdbc4-4.0.zip
06-02
标题“sqljdbc4-4.0.zip”表明这是一个包含SQL Server数据库连接驱动的压缩文件,版本为4.0。描述中提到的“sqljdbc4-4.0.jar”是该压缩包内的主要文件,它是微软提供的Java Database Connectivity (JDBC) 驱动程序...
JDBC学习4:preparedStatement可以插入blob数据和批量处理
qq_44724899的博客
10-17 363
学习
JDBC04 PreparedStatement
qq_44711190的博客
08-26 113
PreparedStatement类 存在预编译,用占位符去填参数(参数索引从1开始算),可以防止SQL注入 try { Class.forName("com.mysql.cj.jdbc.Driver"); Connection conn=DriverManager.getConnecti...
java基础巩固---jdbc接口PreparedStatement执行sql语句
啊哈程序
12-08 3125
PreparedStatement执行sql语句          public class Demo1 {       /**      * 增加      */     @Test     public void testInsert() {        Connection conn = null;        PreparedStateme
JDBC和MySql (四)java的DAO模式及其MySql代码实现、用PreparedStatement优化Statement
PizAn的博客
12-16 457
具体什么是DAO模式,请看 java中Dao模式 1、java的DAO模式: Data Access Object(数据存取对象) 这个也是设计模式之一,在数据库中用的比较多,也是java多态的一种体现,接口+实现类+工具类,将数据和代码分开,网上的解释都很专业,反正你只需要知道这个代码结构更加花哨更加鲁棒就行了 DAO模式的组成部分 DAO接口 DAO实现类 实体类(测试类) 数据库连接和关...
JDBC学习笔记——获取连接、PreparedStatement、Blob、批处理
MCC
11-01 220
JDBC学习笔记——1一、获取连接二、PreparedStatement增删改ResultSet接收查询结果Bean类customer表Order表通用的增删改查操作增删改查询自定义的工具类三、Blob四、批处理五、练习 一、获取连接 工程文件夹下 package jdbc_1.connection; import java.io.*; import java.sql.*; import java.util.Properties; import org.junit.Test; public clas
使用log4jdbc实现打印完整带参数的sql语句日志
m0_37974328的博客
03-24 8795
想要打印出来的sql是可以直接复制到数据库中去执行的sql语句?[java.sql.PreparedStatement] - ==>  Executing: select * from t_admin limit ?,? [java.sql.PreparedStatement] - ==> Parameters: 5(Integer), 500(Integer)现在的情况是:sql和参...
jdbc打印最终真实SQL语句
qq_38229543的博客
09-28 2508
JDBC 获取要执行的SQL语句,也就是说 包括 ? 号的值: 网上查查了很多,都没能成功, 最后试了一下toString 可以了: public ResultSet executeQuery(Connection conn, String sql, Object... param) throws SQLException { String sql = "SELECT * FROM categorys LIMIT ?,?"; PreparedState
JDBC中输出PreparedStatement对象中的SQL语句的方法
西瓜游侠的博客
06-22 8443
JDBC中输出PreparedStatement对象中的SQL语句的方法
sqlite-jdbc-3.34.0.jar
最新发布
01-19
同时,还可以使用PreparedStatement和ResultSet对象来处理带参数的SQL语句和查询结果。 为了使用sqlite-jdbc-3.34.0.jar,我们需要导入驱动程序的类库,并通过Class.forName()方法加载驱动程序。然后,可以通过...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值