JDBC中PreparedStatement的应用

已于 2023-03-24 15:45:05 修改
阅读量772 收藏
点赞数 1
文章标签: mysql java intellij-idea
于 2022-07-02 08:55:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51232559/article/details/125568662
版权

PreparedStatement的应用

PreparedStatement:是Statement的子接口,可以传入带占位符的SQL语句,提供了补充占位符变量的方法

可以防止SQL注入
SQL注入指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。

//获得preparedStatement对象 预编译SQL语句
PreparedStatement preparedStatement = connection.prepareStatement("select * from user " +
                    "where username = ? and password = ?");
System.out.println(preparedStatement);

打印preparedStatement对象,有一个预编译的过程,得:

com.mysql.cj.jdbc.ClientPreparedStatement: select * from user where
username = ** NOT SPECIFIED ** and password = ** NOT SPECIFIED **

使用NOT SPECIFIED占用需要赋值得位置。

赋值方法:
在这里插入图片描述

再次打印该对象:

com.mysql.cj.jdbc.ClientPreparedStatement: select * from user where
username = ‘abc’ or 1=1; #’ and password = ‘12345’

这时就不难发现无论你输入什么样的字符,都会被当作字符填充到?占位符的位置,就解决SQL注入的问题。

代码展示:

/*
* PreparedStatement的应用(解决SQL注入导致的密码失效问题)
* */
package JavaPrepard;
import java.sql.*;
import java.util.Scanner;

public class LoginJdbc2 {
    public static void main(String[] args) {
        Scanner scanner = new Scanner(System.in);
        System.out.println("请输入用户名称:");
        String username = scanner.nextLine();
        System.out.println("请输入用户密码:");
        String password = scanner.nextLine();

        //加载驱动
        try {
            Class.forName("com.mysql.cj.jdbc.Driver");
        } catch (ClassNotFoundException e) {
            e.printStackTrace();
        }

        try {

            //获得链接
            Connection connection = DriverManager.getConnection("jdbc:mysql://localhost:3306/school?useUnicode=true" +
                    "&characterEncoding=UTF-8&useSSL=false&serverTimezone=GMT%2B8","root","123456");

            //获得preparedStatement对象 预编译SQL语句
            PreparedStatement preparedStatement = connection.prepareStatement("select * from user " +
                    "where username = ? and password = ?");
            System.out.println(preparedStatement);

            //为?占位符  赋值
            preparedStatement.setString(1,username);
            preparedStatement.setString(2,password);
            System.out.println(preparedStatement);

            //执行sql语句,接收结果
            ResultSet resultset = preparedStatement.executeQuery();

            //结果处理
            if(resultset.next()){
                System.out.println("登录成功!!!");
            }else{
                System.out.println("登录失败!!!");
            }

            //释放资源
            resultset.close();
            preparedStatement.close();
            connection.close();
        } catch (SQLException e) {
            e.printStackTrace();
        }
    }
}

写在最后:

作者:小兰学编程(一个学编程的一年级新生)
更多内容请关注公众号:小兰小栈

欢迎各位大神指点一二!!!

小兰学编程
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
JDBC之PreparedStatement预编译的综合应用解析
09-05
SQL 语句被预编译并存储在 PreparedStatement 对象。然后可以使用此对象多次高效地执行该语句
jdbc使用过程
06-03
JDBC简介 (全称) JDBC数据库连接方式 JDBC数据库连接的实现 使用JDBC-ODBC实现数据库连接(class,connect..,statement,preparedstatement区别,resultset,元数据访问,) 使用JDBC实现数据库的访问(流程。。) JDBC对数据库的事务操作(acid,commit,rollback)
JDBC编程流程与原理
zxg的博客
12-29 1729
JDBC编程流程与原理 JDBC介绍 JDBC是指JAVA数据库连接,Java database connectivity的缩写,是Java提供的一个独立于特定数据库,通用的数据库存储和操作的公共接口。 它为Java开发人员操作数据库提供了一个标准的API,可以为多种数据库提供统一访问。 JDBC优势: Java语言访问数据库操作完全面向抽象接口编程。 代码不依赖于任何的数据库,只要少量的修改就可以访问其它数据库。 程序的可移植性增强。 现在操作数据库的框架像Mybatis,Hibernate都非常优秀
PrepareStatement用法(附源码解析)
Sherlock1020的博客
08-11 4819
PrepareStatement 基本用法 与 SQL注入分析
Mysql得知道的: Client 端调用主流程
q1472750149的博客
11-25 667
一 .前言 出于好奇 , 这一篇来看一下 MySQL Client 端的调用主流程 , 为后续的 MySQL 系列文档开个头 二 . 创建 Connect 以获取连接为例 , 当获取连接时 , 会通过多种方式调用 Spring 的 DataSourceUtils # getConnection 此时还处在 Spring 的业务体系. Connect 的流程在启动时创建和运行时调用是两个完全不同的流程 , 先来看一 CreateConnect 的主流程 // Step 1 : Connect 的
数据库间件 MyCAT源码分析 —— PreparedStatement 重新入门
芋艿V
07-19 989
相信很多同学在学习 JDBC 时,都碰到 PreparedStatementStatement。究竟该使用哪个呢?最终很可能是懵里懵懂的看了各种总结,使用 PreparedStatement。那么本文,通过 MyCAT 对 PreparedStatement 的实现对大家能够重新理解下。 本文主要分成两部分....
JDBC连接Mysql数据库过程之代码实战【一条命途多舛的SQL】
一不小心的程序员
06-25 516
上一篇我们已经了解了JDBC连接Mysql的数据库操作的过程,那这一篇我们就来一下实战。 话不多说,就是干,拿起你的手,撸一下 我们先定义一些变量,这样便于后期的维护和管理,此处需要修改自己的数据库的地址和账户密码 private static final String DRIVER_CLASS_NAME = "com.mysql.jdbc.Driver"; /** * 数据库连接地址 * 如果出现文乱码,请添加 【?useUnicode=true&characterEnc
mysql logger connector_mysql-connector-j SQL 请求执行过程梳理
weixin_28685483的博客
02-26 305
本次源码分析基于 mysql-connector-8.0.20一、SQL 请求调用链路跟踪当上层应用或 ORM 框架调用 PreparedStatement#execute 方法时,会直接调用 mysql-connector-j 包 ClientPreparedStatement#execute 方法,从此处开始正式进入 MySQL 驱动程序的逻辑。后续的源码我会进行相应的简化,突出重点,方便理...
MySQL攻略 - JDBC程序SQL注入,PreparedStatement接口详解与案例练习,JDBC相关API小结
qq_39123467的博客
03-01 436
Statement、PreparedStatement增删改查情况案例(SQL注入,预处理)
mysql-connector-j SQL 请求执行过程梳理
LZN的博客
11-08 553
文章目录一、SQL 请求调用链路跟踪1.1 ClientPreparedStatement:SQL 请求入口1.2 NativeProtocol:执行 SQL 请求并返回结果1.2.1 发送 SQl 命令包,获取结果集包头1.2.2 读取结果集包的字段包和行数据包1.3 SQl 请求执行时序图(无拦截器)二、QueryInterceptor2.1 前置拦截2.1.1 第一处拦截2.1.2 第二处拦截2.2 后置拦截2.2.1 第一处拦截2.2.2 第二处拦截2.3 拦截器总结 本次分析基于 mysql-co
Java_JDBC由浅入深
11-15
2.2 Jdbc应用程序的关系 3 2.3 数据库的连接步骤 4 2.4 Quick Start 4 第三节 如何与数据库建立连接 6 3.1 注册驱动 6 3.2 建立数据库的连接 8 3.3 规范Quick Start的例子 10 第四节 Statement 接口的使用详解 ...
JDBC详解HTML-JDBC.pp
05-11
<1>.JDBC-ODBC桥加ODBC驱动程序:需要ODBC驱动,适合于企业网或三层结构应用程序 <2>.本地API:需要驱动程序的二进制代码支持 <3>.JDBC网络纯java驱动程序:将JDBC转换为与DBMS无关的网络协议,又被某服务器转换...
JDBC连接所有数据库步骤
11-21
1 将数据库的JDBC驱动加载到classpath,在基于JAVAEE的WEB应用实际开发过程,通常要把目标数据库产品的JDBC驱动复制到WEB-INF/lib下. 2 加载JDBC驱动,并将其注册到DriverManager。 3 建立数据库连接,取得...
mysql 意向锁
csdn问鼎
04-25 203
介绍mysql 意向锁的作用
88张表-Mysql
2301_80151755的博客
04-25 222
【代码】88张表-Mysql
一文整理完MySQL关系型数据库相关知识
打代码是一天,不打代码也是一天
04-23 1153
在开发,数据库是专门用来存取数据的软件。数据库的职责就是管理数据的。根据存取数据的类型分为关系型数据库和非关系型数据库数据存储后呈现出来的效果类似上图的,是关系型数据库数据存储后呈现出来的效果类似上图的,是非关系型数据库。
Python 将Influxdb时序数据写入mysql库时遇到的问题
zhuzhuxiazst的专栏
04-24 793
influxdb数据库查询结果集合,返回到dataframe类
深入了解MySQL:从基础到特性,全面解读关系数据库管理系统的历史与应用
lph159的博客
04-23 1137
本文全面介绍了MySQL,这是一种广泛使用的开源关系数据库管理系统(RDBMS),由瑞典MySQL AB公司开发,目前由Oracle公司维护。作为一款具有强大后端功能的数据库软件,MySQL在网站建设、商业智能、数据分析等多个领域发挥着关键作用。文章从MySQL的历史起源、核心特性,到其在实际应用的广泛用途进行了详细的阐述。特别指出了MySQL的开源性、高性能、高可扩展性、安全性和灵活性等关键特性,并通过实例展示了如何使用MySQL进行数据库的创建和数据管理。
Centos7.9系统MySQL5.7.32升级为5.7.44(生成环境操作)
最新发布
BY_xiaopeng的博客
04-26 334
生成环境mysql5.7版本升级
jdbc使用preparedstatement需要配置环境吗
06-07
不需要特殊的环境配置来使用PreparedStatement。只需要在Java程序正确引用JDBC驱动程序,即可使用PreparedStatementJDBC驱动程序是连接Java应用程序和数据库的桥梁。如果您使用MySQL数据库,可以使用MySQL提供的JDBC驱动程序。如果您使用其他数据库,可以使用相应的JDBC驱动程序。 在使用PreparedStatement之前,您需要在Java程序加载JDBC驱动程序。例如,如果您使用MySQL数据库,则需要加载MySQL提供的JDBC驱动程序。可以使用Class.forName()方法加载JDBC驱动程序。例如: ``` Class.forName("com.mysql.jdbc.Driver"); ``` 加载JDBC驱动程序后,您就可以通过DriverManager获取数据库连接。例如: ``` String url = "jdbc:mysql://localhost:3306/test"; String user = "root"; String password = "123456"; Connection conn = DriverManager.getConnection(url, user, password); ``` 在获取数据库连接后,您就可以创建PreparedStatement对象,并使用它执行SQL语句。例如: ``` String sql = "INSERT INTO user (name, age) VALUES (?, ?)"; PreparedStatement pstmt = conn.prepareStatement(sql); pstmt.setString(1, "Tom"); pstmt.setInt(2, 18); pstmt.executeUpdate(); ``` 在这个例子,我们创建了一个PreparedStatement对象,并使用它执行了一条插入语句。通过setXXX()方法,我们设置了SQL语句的两个占位符的值。 需要注意的是,使用PreparedStatement时,应该使用问号(?)作为占位符,而不是直接拼接SQL语句。这样可以避免SQL注入攻击,并且可以提高SQL语句的可读性和可维护性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小兰学编程

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值