JDBC---Statement和PreparedStatement用法对比(什么时候用Statement )

最新推荐文章于 2024-07-20 20:04:43 发布
最新推荐文章于 2024-07-20 20:04:43 发布
阅读量398 收藏
点赞数 1
分类专栏: jdbc 文章标签: 数据库 mysql sql jdbc sql注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44766232/article/details/121758323
版权

业务案例:

  用户在控制台输入desc让结果集降序,输入asc就是升序

先用PreparedStatement编写程序:

package com.hyqwsq.jdbc;

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.util.Scanner;

public class jdbcTest09 {
    public static void main(String[] args) {
        //用户在控制台输入desc就是降序,输入asc就是升序
        Scanner s = new Scanner(System.in);
        System.out.println("输入desc或asc,desc表示降序,asc表示升序");
        System.out.println("请输入");
        String keyWord = s.nextLine();

        //执行SQL
        Connection conn = null;
        PreparedStatement ps = null;
        ResultSet rs = null;
        try{
            //注册驱动
            Class.forName("com.mysql.jdbc.Driver");
            //获取连接
            conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/hyqwsq","root","333");
            //获取预编译的数据库操作对象
            String sql = "select ename from emp order by ename ?";//先写框架
            ps = conn.prepareStatement(sql);//再进行编译
            ps.setString(1,keyWord);//最后传值
            //执行SQL
            rs = ps.executeQuery();
            //处理结果集,遍历
            System.out.println(rs.getString("ename"));
        }catch(Exception e){
            e.printStackTrace();
        }finally{
            if(rs != null){
                try{
                    rs.close();
                }catch(Exception e){
                    e.printStackTrace();
                }
            }
            if(ps != null){
                try{
                    ps.close();
                }catch(Exception e){
                    e.printStackTrace();
                }
            }
            if(conn != null){
                try{
                    conn.close();
                }catch(Exception e){
                    e.printStackTrace();
                }
            }
        }
    }
}

占位符?调用 getString()方法给?传值desc,他会把?变成 单引号desc 即 ‘desc’

所以以上代码经过 getString() 方法将 desc 或者 asc 传给编译后的SQL语句后SQL语句会变成这样:

select ename from emp order by ename 'desc'

很明显sql语句报错:
在这里插入图片描述
正是因为getString()方法会给传进去的值加上 ’ ',所以报错
所以此业务把必须支持SQL注入,使传进去的值必须没有单引号,所以就要用Statement

使用Statement:

        //用户在控制台输入desc就是降序,输入asc就是升序
        Scanner s = new Scanner(System.in);
        System.out.println("输入desc或asc,desc表示降序,asc表示升序");
        System.out.println("请输入");
        String keyWord = s.nextLine();

        //执行SQL
        Connection conn = null;
        Statement stmt = null;
        ResultSet rs = null;
        try{
            //注册驱动
            Class.forName("com.mysql.jdbc.Driver");
            //获取连接
            conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/hyqwsq","root","333");
//              //获取预编译的数据库操作对象
//              String sql = "select ename from emp order by ename ?";//先写框架
//              ps = conn.prepareStatement(sql);//再进行编译
//              ps.setString(1,keyWord);//最后传值
//              //执行SQL
//              rs = ps.executeQuery();
//              //处理结果集,遍历
//              System.out.println(rs.getString("ename"));
            //获取数据库操作对象
            stmt = conn.createStatement();
            //执行SQL
            String sql = "select ename from emp order by ename " + keyWord;
            rs = stmt.executeQuery(sql);
            //处理结果集,遍历
            while(rs.next()){
                System.out.println(rs.getString("ename"));
            }
        }catch(Exception e){
            e.printStackTrace();
        }finally{
            if(rs != null){
                try{
                    rs.close();
                }catch(Exception e){
                    e.printStackTrace();
                }
            }
            if(stmt != null){
                try{
                    stmt.close();
                }catch(Exception e){
                    e.printStackTrace();
                }
            }
            if(conn != null){
                try{
                    conn.close();
                }catch(Exception e){
                    e.printStackTrace();
                }
            }
        }

输出:

在这里插入图片描述
总结:Statement支持SQL注入,凡是业务方面要求是需要进行SQL语句拼接的,必须使用过Statement,如果只是单纯给SQL语句传值必须用PrepareStatement

何义竏
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JDBC中的Statement和PreparedStatement的区别
qq_44906504的博客
04-14 175
JDBC中的Statement和PreparedStatement的区别
JDBC prepareStatementStatement的区别
冉筱
07-29 560
先来看看JDBC prepareStatementStatement的区别 如上图,可以概括两点, 一、使用PreparedStatement更安全,解决了Sql注入的问题 二、效率更高,特别是调用次数较多的时候 相比较Statement而言,它是个半成品。 它是Statement的一个子接口,使用步骤分为3步: 1创建:通过连接获得prepareedStatement对象 String sql = "Select * from users_luxw where username= .
jsp课程笔记(五)-- PreparedStatementStatement在使用时的区别
兮动人
10-11 423
案例: JDBCDemo2.jsp package com.jdbc.com; import java.sql.Connection; import java.sql.DriverManager; import java.sql.ResultSet; import java.sql.SQLException; import java.sql.Statement; public class JD...
Performance Tips for JDBC
波波熊的专栏
12-11 298
翻译:陈先波(turbochen@163.com) 阅读原文:http://www.theserverside.com/articles/article.tss?l=JDBCPerformance_PartIII 一、使用Statement而不是PreparedStatement对象 JDBC驱动的最佳化是基于使用的是什么功能. 选择PreparedStatement还是Statement取决于...
prepareStatement用法和解释
谭倩倩
02-16 5972
1.PreparedStatement是预编译的,对于批量处理可以大大提高效率. 也叫JDBC存储过程 2.使用 Statement 对象。在对数据库只执行一次性存取的时侯,用 Statement 对象进行处理。PreparedStatement 对象的开销比Statement大,对于一次性操作并不会带来额外的好处。 3.statement每次执行sql语句,相关数据库都要执行sq
JDBC】-- PreparedStatement实现数据库查询操作
张修宇的博客
07-21 4075
ORM思想(objectrelationalmapping)1、一个数据表对应一个java类2、表中一条记录对应java类的一个对象3、表中一个字段对应java类的一个属性JDBC结果集的元数据获取列数获取列的别名反射通过反射,创建指定类的对象,获取指定的属性并赋值。...
使用PreparedStatement执行批量插入sql的三种方式以及效率
weixin_45861045的博客
08-01 5040
jdbc学习
jdbc-odbc.zip_jdbc-odbc download
09-19
10. **优缺点分析**:讨论JDBC-ODBC桥的优点(如易于设置)和缺点(如性能较低、依赖于ODBC驱动等),以及在什么情况下更适合使用此方法。 通过这个压缩包,开发者不仅可以学习到基本的JDBC-ODBC桥连接技术,还能...
jdbc.rar_jdbc_jdbc-odbc
09-23
**JDBC基础与JDBC-ODBC桥接详解** JDBC(Java Database Connectivity)是Java编程语言中用于规范客户端程序如何访问数据库的应用程序接口,它...学习JDBC时,查阅这类文档会有助于深入理解JDBC的使用方法和最佳实践。
详解Java的JDBCStatement与PreparedStatement对象
09-03
在Java的JDBC(Java Database Connectivity)中,与数据库交互的核心接口是Statement和PreparedStatement。这两个接口都是用于执行SQL语句的,但它们在特性和效率上有所不同。 Statement接口是最基本的SQL执行方式...
clickhouse-jdbc(从0.2.4到0.3.2版本).zip
01-12
2. **JDBC接口**:点击house-JDBC遵循JDBC规范,提供`java.sql.Connection`, `Statement`, `PreparedStatement`和`ResultSet`等接口,使得Java开发者可以使用熟悉的API进行数据库操作。例如,你可以创建连接(`...
JDBC-example-in-Java:JDBC应用程序
06-20
Java JDBC (Java Database Connectivity) 是Java编程语言中用于与各种类型数据库交互的一组接口和类。JDBCApp是一个示例程序,它展示了如何在Java环境中使用JDBC来连接到MySQL数据库,执行查询并处理结果。在这个名...
使用 Preparedstatement 选择和显示记录的 JDBC 程序
allway2的博客
07-23 211
我们正在使用Oracle数据库,但您可以使用任何具有所需信息的数据库。要获取表的记录,我们需要ResultSet对象并使用ResultSet的getXxx(-)方法,我们可以获取表的详细信息。现在,在这篇文章中,我们将发布一个Java程序来使用PreparedStatement对象选择和显示记录。注意-在开发JDBC应用程序时,不建议在SQL查询中使用*,因此不建议使用。现在让我们开发另一个JDBC程序,它将根据给定的值选择行并仅显示那些行的详细信息。...
SQL注入问题及其解决办法
qq_49044908的博客
04-23 2619
SQL注入问题及其解决办法 前几次的 JDBC 案列的数据库操作对象我一直使用的是Statement 对象, 但是这个类实际上是存在一些问题的, 这就是我想要分享的 SQL 注入问题. 目录 SQL注入问题及其解决办法 问题发现 sql 注入的定义及其原因分析 问题解决------ PreparedStatement PreparedStatementStatement 比较 问题发现 前几天用 JDBC 编写一个从数据库获取用户名和密码登录的简单 java 程序发现了一个 bug.
preparedStatement问号的理解
张晨光老师的播客
09-21 1891
/** * 根据表名查询总条数; * @param tableName * @return */ public int getCount(String tableName){ String sql="select count(*) from "+tableName; Connection conn=getConnec...
PreparedStatement实现数据表的操作
qq_44400944的博客
06-08 486
​ //3.获取连接 con = DriverManager.getConnection(url, user, password); //4.预编译sql语句,返回PreparedStatement的实例 String sql = "insert into customers(name,email,birth)value(?,?,?)";//?:占位符 ps = con.prepareStatement(sql); //5.填充占位符 ps.setString(1, "娜扎"); ps.setStri.
JDBC中PreparedStatement详解及应用场景介绍
weixin_62079735的博客
03-20 6075
在Java中,当需要向数据库中执行SQL语句并传递参数时,我们通常会使用PreparedStatement接口。PreparedStatement继承自Statement接口,用于预编译SQL语句并执行参数化查询,这样可以提高执行效率并防止SQL注入攻击。
设置Connection ResultSet PreparedStatement设置为null的原因
知迷鸟的博客
10-08 2606
不知道大家有木有想过在调用抽取工具类的时候首先要摆出这样的模板; Connection conn=null; ResultSet rs=null; PreparedStatement st=null; 为什么呢? 个人理解 假如你这些对象没有被引用,一旦对象多,超过几千个来访问数据库每次都不释放用不了多久服务器就不行了吧 so解决办法就...
OAuth2.0 or Spring Session or 单点登录流程
最新发布
qq_53374893的博客
07-20 403
一句话精辟解释: 在过滤器放行的时候,偷偷的把原生的 request 和 response 对象换成了它的实现,也就是 调用getSession 的时候拿到的 其实是对redis 操作的Session。但其他的操作还是使用原生的,只不过重写的方法,调用的是子类的,也就是往 redis 里放入 Session,把原生的操作给替换了!分布式Session原理,使用子域名,的时候放入父域名的 JsessionId 然后将这个ID 的所存的内容放入Redis ,这样实现不同域名共享同一sessionID.
写出jdbcStatement和PreparedStatement区别?
06-01
JDBC中,Statement和PreparedStatement都是执行SQL语句的接口,但是它们之间有以下几个区别: 1. 预编译:PreparedStatement在执行前会先进行编译,这意味着它可以重复执行,而不需要每次都编译一遍,因此可以...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值