PrepareStatement对象(新增、删除、更新、查询、防止SQL注入)

最新推荐文章于 2024-05-29 09:26:50 发布
最新推荐文章于 2024-05-29 09:26:50 发布
阅读量936 收藏 8
点赞数 2
分类专栏: MySQL 文章标签: mysql sql jdbc
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_50569789/article/details/119330920
版权

MySQL三十三:PrepareStatement对象

PrepareStatement 可以防止SQL注入,并且效率高!

1、新增

package lesson03;

import lesson02.utils.JdbcUtils;

import java.sql.*;

public class TestInsert {
    public static void main(String[] args) {
        Connection conn =null;
        PreparedStatement st=null;
        ResultSet rs=null;


        try {
            // Connection connection = JdbcUtils.getConnection();
            conn = JdbcUtils.getConnection();

            //PreparedStatement preparedStatement = conn.prepareStatement();
            //使用?占位符代替参数
            String sql="insert into users (id,`name`,`password`,`email`,`birthday`) values(?,?,?,?,?)";

            st = conn.prepareStatement(sql);  //预编译SQL,先写sql,然后不执行

            //手动给参数赋值
            st.setInt(1,4); //id
            st.setString(2,"xiaoliu");
            st.setString(3,"123456");
            st.setString(4,"30666864@qq.com");
            // 注意点  sql.Date 数据库    java.sql.Date()
            //        util.Date  JAVA   new Date().getTime()
            st.setDate(5,new java.sql.Date(new java.util.Date().getTime()));

            //执行
            int i = st.executeUpdate();
            if (i>0){
                System.out.println("插入成功!!!");
            }


        } catch (SQLException throwables) {
            throwables.printStackTrace();
        }finally {
            JdbcUtils.release(conn,st,rs);
        }
    }
}

2、删除

package lesson03;

import lesson02.utils.JdbcUtils;

import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;

public class TestDelete {
    public static void main(String[] args) {
        Connection conn =null;
        PreparedStatement st=null;
        ResultSet rs=null;


        try {
            // Connection connection = JdbcUtils.getConnection();
            conn = JdbcUtils.getConnection();

            //PreparedStatement preparedStatement = conn.prepareStatement();
            //使用?占位符代替参数
            String sql="DELETE FROM users WHERE id=?";
            st = conn.prepareStatement(sql);  //预编译SQL,先写sql,然后不执行

            //手动给参数赋值
            st.setInt(1,4);

            //执行
            int i = st.executeUpdate();
            if (i>0){
                System.out.println("删除成功!!!");
            }


        } catch (SQLException throwables) {
            throwables.printStackTrace();
        }finally {
            JdbcUtils.release(conn,st,rs);
        }
    }
}

3、更新

package lesson03;

import lesson02.utils.JdbcUtils;

import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;

public class TestUpdate {
    public static void main(String[] args) {
        Connection conn =null;
        PreparedStatement st=null;
        ResultSet rs=null;


        try {
            // Connection connection = JdbcUtils.getConnection();
            conn = JdbcUtils.getConnection();

            //PreparedStatement preparedStatement = conn.prepareStatement();
            //使用?占位符代替参数
            String sql="update users set `name`=? where id=?";
            st = conn.prepareStatement(sql);  //预编译SQL,先写sql,然后不执行

            //手动给参数赋值
            st.setString(1,"王五");
            st.setInt(2,2);


            //执行
            int i = st.executeUpdate();
            if (i>0){
                System.out.println("更新成功!!!");
            }


        } catch (SQLException throwables) {
            throwables.printStackTrace();
        }finally {
            JdbcUtils.release(conn,st,rs);
        }
    }
}

4、查询

package lesson03;

import lesson02.utils.JdbcUtils;

import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;

public class TestSelect {
    public static void main(String[] args) {
        Connection conn =null;
        PreparedStatement st=null;
        ResultSet rs=null;


        try {
            // Connection connection = JdbcUtils.getConnection();
            conn = JdbcUtils.getConnection();

            //PreparedStatement preparedStatement = conn.prepareStatement();
            //使用?占位符代替参数
            String sql="select  * from users where id=?";
            st = conn.prepareStatement(sql);  //预编译SQL,先写sql,然后不执行

            //手动给参数赋值
            st.setInt(1,1);

            rs=st.executeQuery(); //执行

            if (rs.next()){
                System.out.println(rs.getString("name"));
            }


        } catch (
                SQLException throwables) {
            throwables.printStackTrace();
        }finally {
            JdbcUtils.release(conn,st,rs);
        }
    }
}

5、防止SQL注入

package lesson02.utils;

import java.sql.*;

public class SQL注入 {

    public static void main(String[] args) {
        //login("xiaochen","123456");  //正常登陆 正常输出
        //login("'or'1=1 ","'or'1=1");  //不正常输出,结果是全部用户名和密码

        login("xiaochen","123456");

    }
    public static void login(String username,String password){

        Connection conn=null;
        PreparedStatement st=null;
        ResultSet rs=null;

        try {
            conn = JdbcUtils.getConnection();  //获取数据连接

            //prepareStatement 防止SQL 注入的本质  把传递进来的参数当作字符
            // 假设其中存在转义字符,直接忽略  如'' 会直接被转义掉
            String sql="select * from users where `name`=? and `password` =?";

            st=conn.prepareStatement(sql);
            st.setString(1,username);
            st.setString(1,password);

            rs=st.executeQuery();

            while(rs.next()){
                System.out.println(rs.getString("name"));
                System.out.println(rs.getString("password"));
                System.out.println("=======================");
            }
        } catch (SQLException throwables) {
            throwables.printStackTrace();
        }finally {
            JdbcUtils.release(conn,st,rs);
        }
    }
}
不易撞的网名
关注
  • 2
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
preparestatment获取sql_总是报ps=conn.prepareStatement(sql);为空,怎么回事
weixin_35987118的博客
01-28 1268
这是本人的代码jdbcDB.javaprivatestaticStringdrivername=“com.mysql.jdbc.Driver”;privatestaticStringurl=“jdbc:mysql://localhost:3306/hotel”;privatestaticStringuser=“root”;privatestaticStringp...
用传参数的方法实现Java对SQLite的添加和查询
04-26
总的来说,通过使用`PreparedStatement`,我们不仅可以避免SQL注入,还可以提高代码的可读性和可维护性。这种方法使得SQL语句中的参数化更加清晰,降低了错误的可能性。在实际项目中,还可以根据需求进行更复杂的...
使用Statement进行删除,然后执行查询语句判断删除是否成功
ikeseo的博客
05-29 111
使用Statement进行删除,然后执行查询语句判断删除是否成功。
使用preparedStatement进行删除,然后执行查询语句判断删除是否成功
最新发布
ikeseo的博客
05-29 623
使用preparedStatement进行删除,然后执行查询语句判断删除是否成功。
preparestatment获取sql_java sql: PrepareStatement详解
weixin_42355744的博客
01-28 540
public classDbUtil {public static final String URL = "jdbc:mysql://localhost:3306/imooc";public static final String USER = "liulx";public static final String PASSWORD = "123456";private static Connect...
转!! PreparedStatement是如何防止SQL注入
weixin_30437337的博客
01-04 116
SQL注入最简单也是最常见的例子就是用户登陆这一模块,如果用户对SQL有一定的了解,同时系统并没有做防止SQL注入处理,用户可以在输入的时候加上’两个冒号作为特殊字符,这样的话会让计算机认为他输入的是SQL语句的关键字从而改变你的SQL语句,造成不可估量的损失。在JDBC中通常会使用PreparedStatement来代替Statement来处理sql语句,如 Stri...
mysql prepare 防注入_mysql-preparestatement防止sql注入
weixin_31088605的博客
01-19 474
项目中--遇到类似问题。一、什么是sql注入?先举个栗子:用户登录SELECT * From Table WHERE Name='XX' and Password='YY' and Corp='ZZ'注入之后:SELECT * From Table WHERE Name='SQL inject' and Password='' and Corp='' or 1=1--'可以看到注入后可以免密码登录...
PrepareStatement防止数据库注入
nuptxiaoli
10-23 453
package cn.test.javaee.service; import org.junit.Test; import cn.test.entity.User; import cn.test.javaee.service.impl.UserServiceImpl; public class IUserServiceTest { @Test public void testLogin
JDBC连接数据库(适当的封装查询新增修改删除)的方法
11-12
对于多次执行的SQL语句,预编译能提高效率并防止SQL注入。比如查询操作: ```java String sql = "SELECT * FROM users WHERE id = ?"; PreparedStatement pstmt = conn.prepareStatement(sql); pstmt.setInt(1,...
JDBC批量插入 更新 删除等操作
03-23
它支持预编译SQL语句,提高了SQL语句的执行效率,同时还能有效防止SQL注入攻击。以下是具体的代码示例: ```java try { Class.forName("com.mysql.jdbc.Driver"); Connection conn = DriverManager.get...
JDBC 增删改的操作.docx
06-26
在这个例子中,我们使用`PreparedStatement`来防止SQL注入,并设置参数值。注意,这里使用了try-with-resources语句,它会在操作完成后自动关闭资源。 对于删除更新操作,逻辑大致相同,只需更改SQL语句并设置...
在同一数据库中将一个表中文件备份到另一个表
08-05
// 使用PreparedStatement防止SQL注入 PreparedStatement pstmt = conn.prepareStatement(sqlInsert.toString()); // 执行SELECT查询并逐行处理结果 String selectSql = "SELECT * FROM " + sourceTable; ...
PreparedStatement防止SQL注入
qq_42732184的博客
04-19 1562
添加数据: package com.hyc.study03; import com.hyc.study02.utils.JDBCUtils; import java.sql.Connection; import java.sql.ResultSet; import java.util.Date; import java.sql.PreparedStatement; import java.sql.SQLException; public class TestInsert { public stat
使用PreparedStatement避免sql注入
qq_40327787的博客
06-07 1235
此时#后面的就变成了注释,而select查询时,判断的是哪条语句能使where后面为真,当输入or 1=1 时候,后面就永远为真,所有语句都会存入resultSet中,这时候就会有人说可以将判断设置成resultSet = 1;这里产生这种情况的原因是,我们在定义sql语句时,是把我们输入的部分聚合成字符串,再去执行语句,当时输入的部分内容有关键字时,他并不会做特殊处理,只会一股脑执行。当我们输入 dqwdqw’ or 1 = 1;但我们输入如下代码,就会提示登录成功。当我们随便输入时,会提示登录失败!
【运维】PreparedStatement防止SQL注入
weixin_37543485的博客
09-15 497
参数化查询是编写安全数据库代码的最佳实践之一。
PrepareStatement用于防止SQL注入
乐子
06-01 527
prepareStatement 更加安全,能够防止sql注入,威胁数据库安全。  例如:    如果用户输入'' or 1=1  登录验证时查询语句变为select * from user where username='' or 1=1;  依然成立 绕过验证。  还有很多sql注入代码~~  prepareStatement 能够预处理sql语句,防止这种情况 在使用prep
【大数据系列之JDBC】(五):使用PrepareStatement防止SQL注入
CSDN 精品推荐
12-22 269
PreparedStatement 对象所代表的 SQL 语句中的参数用问号(?)来表示,调用 PreparedStatement 对象的 setXxx() 方法来设置这些参数. setXxx() 方法有两个参数,第一个参数是要设置的 SQL 语句中的参数的索引(从 1 开始),第二个是设置的 SQL 语句中的参数的值。PreparedStatement 接口是 Statement 的子接口,它表示一条预编译过的 SQL 语句。
PreparedStatement防注入demo
欧阳子遥的博客
08-01 210
PreparedStatement有效防止注入的简单示例(源码在后面): (statement实现简单注入在上一篇博客) 程序截图: 图一 登录成功 图二 登录失败 图三 SQL简单注入失效 图四 数据库表截图 程序源码: package sqlzhuru; import java.sql.Connection; import java.sql.DriverManager; import java.sql.PreparedStatement; import java.sql.ResultSet;
掌握数据库操作的关键技巧:深入解析prepareStatement方法
2301_77478553的博客
07-12 4363
prepareStatement是表示预编译的 SQL 语句的对象。prepareStatement方法是Java中用于准备执行SQL语句的方法。它可以避免SQL注入攻击,提高执行效率,且支持占位符,可以方便地设置参数。2.为什么要使用prepareStatementStatement与preparedStatement的区别:1. preparedStatement可以写动态参数化的查询
使用一条动态sql完成新增和修改的操作
09-25
在拼接SQL语句时,需要注意参数化处理,以防止SQL注入等安全问题的出现。只有在清楚了解需求和使用正确的编码规范的情况下,才能有效地使用动态SQL完成新增和修改的操作。 ### 回答3: 动态SQL是一种根据不同条件...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

不易撞的网名

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值