JDBC预编译学习笔记

最新推荐文章于 2023-03-22 00:18:46 发布
最新推荐文章于 2023-03-22 00:18:46 发布
阅读量138 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52235791/article/details/110939642
版权
JDBC预编译学习笔记

使用JDBC中的statement对象执行SQL语句时,由于SQL语句可以通过字符串进行拼接,因此会出现SQL注入问题,是不安全的。

例如:

//定义SQL 
String sql = "select * from user where userName='"+userName+"' and password="+password;

输入的用户名与密码匹配才能获得用户的信息,但是如果把[or 1 = 1]作为password传入进来,就成了

String sql = "select * from user where userName='随意用户名' and password='' or 1=1";

因为 1=1 成立,where条件一定为真,所以密码错误也可以通过验证。

使用PreparedStatement

​ 预编译语句PreparedStatement 是java.sql中的一个接口,它是Statement的子接口。使用PreparedStatement的参数化的查询可以阻止大部分的SQL注入。

预编译的使用:

​ 1.在定义sql语句的时候,待填入的参数用 ? 占位。例如下面的代码

//定义SQL 
String sql = "select * from student where sname=? and sid=?";

​ 2.创建 PreparedStatement 预编译对象 ,并把sql语句传入。

//预编译sql,conn是Connection对象
PreparedStatement ps = conn.prepareStatement(sql);

​ 3.给占位符 ? 设置参数,方法的参数一代表占位符的位置(从1开始),参数二代表要设置的值,使用的setXX()方法与数值类型有关,字符串就是setString(index,str).

ps.setString(1, "张三");
ps.setInt(2, 9);
// sql语句设置成了 "select * from student where sname='张三' and sid=9";

​ 4.执行sql语句,第二步已经把sql语句与preparedStatement绑定,所以此时无需再把sql语句作为参数传入executeQuery。

//执行SQL获取结果集
ResultSet rs = ps.executeQuery();

​ 一旦设置了给定语句的参数值,其值将一直保留,直到被设置为新值或者调用clearParameters()方法清除它为止。

​ 在使用参数化查询的情况下,数据库系统不会将参数的内容视为SQL指令的一部分来处理,而是在数据库完成SQL指令的编译后,才套用参数运行,因此就算参数中含有破坏性的指令,也不会被数据库所运行。

预编译增删改封装
/**
 * 数据库连接工具类
 */
public class DBUtil {
	
	//数据库驱动
	private static final String DRIVER = "com.mysql.cj.jdbc.Driver";
	//数据库连接参数,staff_manager是数据库名称
	private static final String URL = "jdbc:mysql://localhost:3306/staff_manager?characterEncoding=UTF-8&serverTimezone=Asia/Shanghai";
	//登录数据库的用户名
	private static final String USER = "root";
	//数据库登录密码
	private static final String PASSWORD = "123456";
	
	private static Connection conn =null;
	
	//注册驱动
	static {
		try {
			//反射
			Class.forName(DRIVER);
		} catch (ClassNotFoundException e) {
			e.printStackTrace();
		}
	}
	
	/**
	 * 获取连接对象
	 */
	public static Connection newInstance() {
		
			 try {
				conn = DriverManager.getConnection(URL, USER, PASSWORD);
			} catch (SQLException e) {
				e.printStackTrace();
			}
		
		return conn;
	}
	
	/**
	 * 使用预编译对象的增删改通用方法
	 * @param sql  预编译sql语句
	 * @param objects  给占位符设置参数
	 * @return
	 */
	public static int precurdMethod(String sql,Object...objects) {
		//PreparedStatement类有预编译sql语句的方法,变量定义在上面供下面各个代码块使用
		PreparedStatement ps = null;
		
		//创建连接
		newInstance();
		
		//创建预编译对象,并连接sql语句
		try {
			ps = conn.prepareStatement(sql);
			//先判断sql语句是否有占位符要设置
			if(objects != null) {
				//第二个参数不为null,则说明需要设置sql语句的占位符
				for(int i=0;i<objects.length;i++) {
					//每次循环就给一个占位符 ? 设置参数,注意占位符下标是从1开始
					ps.setObject(i+1, objects[i]);
				}
			}
			
			//执行设置完占位符后的sql,返回值是sql语句影响到数据库的行数
			int result = ps.executeUpdate();
			
			return result;
		} catch (SQLException e) {
			e.printStackTrace();
			
		}finally {
			//关闭连接
			close(conn,ps,null);
		}
		return 0;		
		
	}
	
	
	/**
	 * 关闭连接对象
	 * @param conn  连接数据库对象
	 * @param sta	预编译sql语句对象
	 * @param rs	结果集对象
	 */
	public static void close(Connection conn,Statement sta,ResultSet rs) {
			try {
				if(rs != null){
					rs.close();
				}
				if(sta != null) {
					sta.close();
				}
				if(conn != null) {
					conn.close();
				}
			} catch (SQLException e) {
				e.printStackTrace();
			}		
	}
}
水和方便面
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
3.JDBC预编译
pony的博客
02-18 483
由于在书写sql语句时拼接时容易出错 举个栗子: String sql = "insert into stu values("+stu.getId()+",'"+stu.getName()+"',"+stu.getAge()+")"; 当用预编译语句时直接写成这样: String sql = "insert into stu values(?,?,?)"; 基本知识: 预编译语句通过Prepa...
JAVA预编译类_Java学习笔记——JDBC之PreparedStatement类中“预编译”的综合应用
weixin_30225755的博客
02-24 571
预编译SQL 语句被预编译并存储在 PreparedStatement 对象中。然后可以使用此对象多次高效地执行该语句。预编译的优点1、PreparedStatement是预编译的,对于批量处理可以大大提高效率. 也叫JDBC存储过程。2、使用 Statement 对象。在对数据库只执行一次性存取的时侯,用 Statement 对象进行处理。PreparedStatement 对象的开销比Stat...
jdbc预编译
grefr的技术博客,博客已迁移至 http://blog.yemou.net
05-23 190
详见:[url]http://blog.yemou.net/article/query/info/tytfjhfascvhzxcytp20[/url] JAVA_JDBC预编译 相关知识点 什么是预编译语句? 预编译语句PreparedStatement是java.sql中的一个接口,它是Statement的子接口。通过Statement对象执行sql语句时,需要将sql语句发送给DB...
JDBC预编译语句
热门推荐
苍月
02-28 1万+
什么是预编译语句 预编译语句PreparedStatement 是java.sql中的一个接口,它是Statement的子接口。通过Statement对象执行SQL语句时,需要将SQL语句发送给DBMS,由DBMS首先进行编译后再执行。预编译语句和Statement不同,在创建PreparedStatement 对象时就指定了SQL语句,该语句立即发送给DBMS进行编译。当该编译语句被执行时
JDBC预编译
w_夕颜的博客
12-21 351
JDBC预编译
JDBC笔记_JDBC学习笔记_
10-03
在本篇JDBC学习笔记中,我们将深入探讨JDBC的基础知识、核心概念以及实际应用。 一、JDBC基础 1. JDBC驱动程序:JDBC驱动是连接Java应用程序和数据库之间的桥梁。根据实现方式,JDBC驱动分为四种类型:类型1(JDBC...
JDBC学习笔记
10-10
### JDBC学习笔记知识点详解 #### 一、JDBC理论概述 **JDBC**(Java Database Connectivity)是一种用于执行SQL语句的Java API,可以为多种关系数据库提供统一访问,它由一组用Java语言编写的类和接口组成。JDBC提供...
JDBC个人学习笔记
12-14
JDBC学习笔记JDBC,全称Java Database Connectivity,是Java编程语言中用来规范客户端程序如何访问数据库的应用程序接口,由Sun Microsystems公司提出。它为程序员提供了标准的API,使得开发者可以使用Java...
JDBC学习笔记笔记+包含详细注释的代码)
09-03
**JDBC学习笔记** Java Database Connectivity (JDBC) 是Java平台中用于与各种数据库进行交互的一组接口和类。它是Java SE的一部分,允许Java应用程序连接到数据库,执行SQL语句,处理结果集,并进行事务管理。这篇...
JDBC:预编译
weixin_45215505的博客
03-24 119
对于整个DB中,只要预编译的语句语法和缓存中匹配.那么在任何时候就可以不需要再次编译而可以直接执行.而statement的语句中,即使是相同一操作,而由于每次操作的数据不同所以使整个语句相匹配的机会极小,几乎不太可能匹配 ...
JDBC使用预编译
Albdon的博客
03-24 1268
import java.sql.*; 注册驱动(不同的数据库驱动不同) Class.forName("com.ibm.db2.jcc.DB2Driver"); 创建连接对象 Connection conn = DriverManager.getConnection(url,username,password); 创建预编译命令对象 PreparedStatement pstat = conn.prepareStatement(sql); pstat.setInt(1,1); //给第1个
Java新人之路 -- JDBC预编译
m0_51709303的博客
12-09 2256
JDBC预编译 原始的JDBC操作,因为SQL语句可以通过字符串进行拼接,因此会出现SQL注入问题,这样是不安全的。 所以我们使用占位符 “?” 来直接修改SQL语句 示例: insert into emp(eno,ename,phone) values(?,?,?); select e.eno,e.ename,e.phone from emp e where e.eno=?; 关键词 PreparedStatement 是Statement的子接口 PreparedStatement 表示预编译
JDBC预编译PreparedStatement
李昆鹏的博客
06-15 324
-----------------------------------------------------------JDBC预编译PreparedStatement----------------------------------------JDBC预编译 1 什么是SQL注入在需要用户输入的地方,用户输入的是SQL语句的片段,最终用户输入的SQL片段与我们DAO中写的SQL语句合成一个完整的...
jdbc与mysql预编译
jl1850957991的博客
03-02 540
http://cs-css.iteye.com/blog/1847772
JDBC基础(6)_JDBC 连接 Oracle 数据库的预编译
魏宇轩
04-14 729
JDBC JDBC 连接数据库的预编译 ● 什么是SQL注入 在需要用户输入的地方,用户输入的是 SQL 语句的片段,最终用户输入的 SQL 片段与我们 DAO 中写的 SQL 语句合成一个完整的 SQL 语句!例如用户在登录时输入的用户名和密码都是为 SQL 语句的片段! ● 演示SQL注入 首先我们需要创建一张用户表,用来存储用户的信息。 按照之前的方法,生成数据库脚本文件以后,在PL...
JDBC-预编译原理
hunter_wyh
10-29 1491
预处理的原理 Ø  服务器的工作: 1.     校验sql语句的语法! 2.    编译:一个与函数相似的东西! 3.      执行:调用函数 Ø  PreparedStatement: 1.      前提:连接的数据库必须支持预处理!几乎没有不支持的! 2.      每个pstmt都与一个sql模板绑定在一起,先把sql模板给数据库,数据库先进行校验,再进行
03. JDBC 预编译SQL语句 & 储存过程调用
Al_assad的博客
07-27 1266
JDBC中,Statement接口用于进行Java程序和数据库之间的数据传输,具体类有3个实现,如下:Statement用于对数据库进行通用访问,在运行时使用静态SQL语句时使用。 PreparedStatement当计划要多次使用SQL语句时使用。PreparedStatement接口在运行时接受输入参数。CallableStatement当想要访问数据库存储过程时使用。CallableSta...
JdbcTemplate 预编译语句中 like 查询方法
最新发布
qq_41190902的博客
03-22 1182
推荐使用第3中方式,因为保持原SQL整洁 直接 like?就可以了,其而方便对原SQL进行强制性检查是否包含 ‘ “ 等关键性字符 , 如果使用 带有 ‘%’ 等关键字,就不好判断是否是SQL注入攻击。正常 SQL中的condition 采用 select * form t where a=?自己分装了JdbcTemplate很多方法,其中为了避免SQL注入攻击,采用预编译SQL的。对于like 查询有3种解决方案。(3)args 参数中再加入 %(1)concat 函数。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值