JDBC API详解——PreparedStatement

最新推荐文章于 2024-08-03 19:27:22 发布
最新推荐文章于 2024-08-03 19:27:22 发布
阅读量1.3k 收藏 3
点赞数
分类专栏: JDBC 文章标签: 数据库 mysql java intellij-idea
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45348240/article/details/123507660
版权

JDBC API详解——PreparedStatement

PreparedStatement是一个接口,继承自Statement,表示预编译SQL语句的对象。

作用:
1.预编译SQL语句,性能更高;
2.预防SQL注入问题,将敏感字符进行转义

  • SQL注入:SQL注入是通过操作输入来修改事先定义好的SQL语句。用以达到执行代码对服务器进行攻击的方法。

以下是一个简单的登录代码:

//接受用户输入的用户名和密码
        String input_name = "Mike";
        String input_pwd = "123";

        //3、定义sql
        String sql = "select * from login_user where Login_name = '"+input_name+"' and Login_pwd = '"+input_pwd+"'";

        //4、获取执行sql的对象Statement
        Statement stmt = conn.createStatement();

        //5、执行sql
        ResultSet rs = stmt.executeQuery(sql);

        //6、处理结果,判断登录是否成功,只要rs里面有数据,就说明登录成功
        if(rs.next()){
            System.out.println("登录成功");
        }else{
            System.out.println("登录失败");
        }

因为在数据库的表中能查到用户输入的登录名和密码,所以运行显示登录成功。

如果用户名随便写,密码也随便写,如下:
String input_name = “1vshupasse”;
String input_pwd = “’ or ‘1’='1”;

仍然会显示执行成功。

打印一下sql,select * from login_user where Login_name = ‘1vshupasse’ and Login_pwd = ’ ’ or ‘1’=‘1’,修改了SQL原来的含义,or前面返回false,但or后面是恒等式,所以where后面的语句就没有起到作用,就会把所有的数据全部查出来。这就是SQL注入。

为了解决SQL注入问题,可以使用PreparedStatement对象解决,有以下步骤:
(1)获取PreparedStatement对象

  • //定义sql,SQL语句中的参数值,使用?占位符替代,避免了拼字符串:String sql = “select * from login_user where Login_name = ? and Login_pwd = ?”;
  • //通过Connection获取pstmt对象,并传入对应的sql语句:
    PreparedStatement pstmt = conn.prepareStatement(sql);

(2)设置参数值
PreparedStatement对象:setXxx(参数1,参数2),给占位符?赋值

  • Xxx:数据类型,如setInt(参数1,参数2),要跟表中属性的数据类型对应
  • 参数:参数1:?的位置编号,从1开始;
    参数2:?的值

例如:

 //设置?的值
    pstmt.setString(1,input_name);
    pstmt.setString(2,input_pwd);

(3)执行SQL
executeUpdate(); 或者executeQuery(); 此时括号内不需要再传递sql。

以下是完整代码:

@Test
    public void testPreparedStatement() throws Exception {
        //1、创建驱动
        Class.forName("com.mysql.cj.jdbc.Driver");

        //2、获取连接
        String url = "jdbc:mysql://localhost:3306/db1?serverTimezone=GMT";
        String uname = "root";
        String pwd = "123456";
        Connection conn = DriverManager.getConnection(url,uname,pwd);

        //接受用户输入的用户名和密码
        String input_name = "Mike";
        String input_pwd = "1234";

        //3、定义sql,SQL语句中的参数值,使用?占位符替代,避免了拼字符串
        String sql = "select * from login_user where Login_name = ? and Login_pwd = ?";

        //通过Connection获取pstmt对象,并传入对应的sql语句
        PreparedStatement pstmt = conn.prepareStatement(sql);

        //设置?的值
        pstmt.setString(1,input_name);
        pstmt.setString(2,input_pwd);

        //5、执行sql
        ResultSet rs = pstmt.executeQuery();

        //6、处理结果,判断登录是否成功,只要rs里面有数据,就说明登录成功
        if(rs.next()){
            System.out.println("登录成功");
        }else{
            System.out.println("登录失败");
        }



        //7、释放资源
        rs.close();
        pstmt.close();
        conn.close();
    }

PreparedStatement原理

(1)PreparedStatement预编译功能默认是关闭的,开启: &useServerPrepStmts=true
(2)配置MySQL执行日志(重启mysql服务后生效)

log-output=FILE
general-log=1
general_log_file="D:\mysql.log"
slow-query-log=1
slow_query_log_file="D:\mysql_slow.log"
long_query_time=2
  • 将上述代码复制到mysql安装路径的my.ini文件下,重启mysql,在IDEA中开启预编译功能,执行后,可在log文件中看到整个执行的过程

(3)原理

  1. 在获取PreparedStatement对象时,将sql语句发送给mysql服务器进行检查编译
  2. 执行时就不用在进行以上步骤,速度更快
  3. 如果sql模板一样,则只需要进行一次检查、编译。
罗伊女士
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JDBC详解——利用java操作数据库
kkkyzp的博客
12-06 699
一.JDBC相关概念理解 1.什么是JDBC   JDBCJava Data Base Connectivity,java数据库连接)是一种用于执行SQL语句的Java API,可以为多种关系数据库提供统一访问,它由一组用Java语言编写的类和接口组成。JDBC提供了一种基准,据此可以构建更高级的工具和接口,使数据库开发人员能够编写数据库应用程序。JDBC是接口,而JDBC驱动才是接口的实现,没有驱动无法完成数据库连接!每个数据库厂商都有自己的驱动,用来连接自己公司的数据库。 2.JDBC、程序员、
关键技术——JSP与JDBC应用详解(电子版)
07-18
《关键技术——JSP与JDBC应用详解》这本书深入探讨了Java服务器页面(JSP)和Java数据库连接(JDBC)这两个在Web开发中至关重要的技术。对于任何希望在Java平台上进行Web应用程序开发的程序员来说,理解和掌握这两项...
JDBC API详解——Connection事务处理
weixin_45348240的博客
03-14 2425
JDBC API详解——Connection 1、获取执行SQL的对象 (1)普通执行SQL对象 Statement stmt = conn.createStatement(); (2)预编译SQL的执行SQL对象,防止SQL注入 PreparedStatement preparedStatement(sql) (3)执行存储过程的对象(不常用) CallableStatement prepareCall(sql) 2、事务管理 (1)MYSQL事务管理 开启事务:BEGIN;
JDBC——API详解
weixin_74727063的博客
05-24 475
更常用的是Class.forName("com.mysql.jdbc.Driver")是由于Driver中包含了registerDriver(Driver driver),值得注意的是,是mysql5之后的版本中,可以省略注册驱动。其中url的参数格式较为固定:jdbc:mysql://ip地址(域名):端口号/数据库名称?executeUpdate(sql)执行对表、数据库增删改的操作。的编号),参数2(值)):由此来给?getXxx(参数):用于获取数据,参数可以是列编号(1开始),也可以是列名。
JDBC API 万字详解(通俗易懂)
Cyan_RA9的博客
06-08 1585
JDBC 第二节 详解API 通俗易懂!
JDBC详解——尚硅谷
qq_48092631的博客
03-20 827
文章目录JDBC详解——尚硅谷第1章:JDBC概述1.1 数据的持久化1.2 Java中的数据存储技术1.3 JDBC介绍1.4 JDBC体系结构1.5 JDBC程序编写步骤第2章:获取数据库连接2.1 要素一:Driver接口实现类2.1.1 Driver接口介绍2.1.2 加载与注册JDBC驱动2.2 要素二:URL2.3 要素三:用户名和密码2.4 数据库连接方式举例2.4.1 连接方式一2.4.2 连接方式二2.4.3 连接方式三2.4.4 连接方式四,继续迭代2.4.5 连接方式五,配置文件第3章
JDBC-API详解
aDiaoYa_的博客
08-22 518
JDBC就是使用Java语言操作关系型数据库的一套API,下面是JDBC中一些常见API的知识总结。
JDBC详解——JDBC常用接口
threelifeadv的博客
03-04 7358
JDBCJDBC的全称是Java Database Connectivity,即Java数据库连接,它是一种可以执行SQL语句的Java API。程序可以通过JDBC API连接到关系数据库,并使用结构化查询语言(SQL,数据库标准的查询语言)来完成对数据库的查询和更新。 JDBC执行事件: 建立与数据库的连接; 执行SQL语句; 获得SQL语句的执行结果。 JDBC驱动程序: ...
JDBC详解——JDBC编程步骤
threelifeadv的博客
03-04 667
在前文《JDBC详解——JDBC常用接口》中详细介绍了JDBC API的相关接口和类之后,本文将详细的介绍JDBC编程步骤。 JDBC编程步骤大致按如下步骤进行: 1、加载数据库驱动。通常使用class类的forName()静态方法来加载驱动,例如加载MySQL数据库驱动,可以采用如下代码: Class.forName("com.mysql.jdbc.Driver"); 如果是加载Ora...
Spring JDBC Framework详解——批量JDBC操作、ORM映射
weixin_34000916的博客
06-28 119
转自:https://blog.csdn.net/yuyulover/article/details/5826948 一、springJDBC 概述 Spring 提供了一个强有力的模板类JdbcTemplate简化JDBC操作,DataSource,JdbcTemplate都可以以Bean的方式定义在想xml配置文件,JdbcTemplate创建只需注入一个DataSource,...
JSP与JDBC应用详解
01-06
**JSP(Java Server Pages)与JDBCJava Database Connectivity)是Java开发中用于...通过阅读《关键技术——JSP与JDBC应用详解》这样的书籍,可以从理论到实践,全面深入地学习这两种技术,并在实际项目中灵活运用。
javaSwing+JDBC+Mysql项目——零食贩卖管理系统
11-07
JDBCJava语言与各种数据库之间的桥梁,它定义了一套标准的API,使得Java程序可以访问和操作数据库。在零食贩卖管理系统中,JDBC主要负责以下任务: 1. **连接数据库**:通过DriverManager.getConnection()方法,...
JDBC连接数据库实例+附源码
11-24
**JDBC连接数据库实例详解** Java Database Connectivity (JDBC) 是Java编程语言中用于规范客户端程序如何访问数据库的应用程序接口(API),它为开发者提供了一种标准的、面向对象的方式来访问和操作各种数据库系统...
Python爬虫与MongoDB的完美结合
最新发布
weixin_52392194的博客
08-03 442
我们掌握了在Windows和Linux系统下安装MongoDB,设计适合爬虫存储数据的写入规范,并通过实际爬虫示例展示了如何将爬取到的数据存储到MongoDB中。此外,还进行了MongoDB性能优化,提高了数据存储和查询的效率。
SpringBoot+Vue图书(图书借阅)管理系统-附项目源码与配套文档
m0_74283290的博客
08-03 671
本论文阐述了一套先进的图书管理系统的设计与实现,该系统采用Java语言,结合现代Web开发框架和技术,旨在为图书馆提供高效、灵活且用户友好的资源管理解决方案。系统利用Spring Boot框架为核心,整合MyBatis ORM工具,以及MySQL数据库,构建了一个高性能、可扩展的后端服务。前端界面则采用了Vue.js框架,以提供流畅的用户交互体验。论文首先进行了详尽的需求分析,确定了系统的核心功能,包括图书的添加、编辑、删除、查询,读者的注册、登录、个人信息管理,以及图书的借阅、归还、续借流程。
简单的 mongoDB 学习
qq_19342829的博客
07-31 511
mongodb入门学习整理
社区养老服务小程序的设计
Karen198的博客
07-31 558
管理员账户功能包括:系统首页,个人中心,用户管理,服务人员管理,服务产品管理,服务预约管理,服务状态管理,服务退订管理,活动管理,视频管理。主要技术:Java,Spring,mybatis,mysql,jquery,html。服务器:SpringBoot自带 apache tomcat。微信端账号功能包括:系统首页,服务产品,活动,视频,我的。JDK版本:Java JDK1.8。数据库可视化工具: navicat。数据库版本: mysql5.7。开发工具:IDEA(推荐)开发系统:Windows。
Java连接MySQL数据库JDBC驱动详解
Java连接MySQL数据库主要依赖于Java Database Connectivity (JDBC) 驱动,这是一个Java API,允许Java应用程序与各种数据库进行交互。在本案例中,使用的MySQL版本为4.1.11,JDBC驱动版本为3.1.8。同时,还提到了一...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值