PreparedStatement:执行sql的对象

最新推荐文章于 2023-08-25 11:24:19 发布
最新推荐文章于 2023-08-25 11:24:19 发布
阅读量368 收藏
点赞数
文章标签: 数据库 java mysql jdbc
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weiyoo55/article/details/108330026
版权

PreparedStatement:执行sql的对象

​ 1.SQL注入问题:在拼接sql时,在一些sql的关键字参与字符串的拼接。会造成安全性问题

  • ​ 1)输入用户随便,输入密码: a’ or ‘a’ = 'a;
  • ​ 2)sql:select * from user where username =
    ‘fghsasdfd’ and passwprd = a’ or ‘a’ = 'a;

在这里插入图片描述

​ 2.解决sql注入问题:使用PrepareStatement对象来解释

​ 3.预编译的sql:参数使用?作为占位符

​ 4.步骤:

  • ​(1)导入驱动包mysql-connection-java-5.1.37-bin.jar
  • ​(2)注册驱动
  • (3)获取数据库连接对象Connection
  • ​(4)定义sql
    *注意:sql的参数使用占位符:select * from user where username = ? and passwprd = ?;
  • ​(5)获取执行sql语句的对象PrepareStatement
  • (6)给?去赋值
    方法:setXxx(参数1,参数2)
    参数1:?的位置编号从1开始
    参数2:?的值
  • (7)执行sql,接收返回结果,不需要传递sql语句
  • ​(8)处理结果
  • ​(9)释放资源

​ 5.后期都会使用PreparedStatement来完成增删改查的所有操作

  • (1)可以防止SQL注入
  • ​(2)效率更高
package cn.laowang.jdbc;

import cn.laowang.util.JDBCUtils;

import java.sql.*;
import java.util.Scanner;

/**
 *需求:
 * ​  1.通过键盘录入用户名和密码
 *    2.判断用户是否登录成功
 */
public class JDBCDemo10 {

    public static void main(String[] args) {
        //1.键盘录入,接收用户名和密码
        Scanner sc = new Scanner(System.in);
        System.out.println("请输入用户名:");
        String username = sc.nextLine();
        System.out.println("请输入密码:");
        String password = sc.nextLine();
        //2.调用方法
        boolean flag = new JDBCDemo10().login2(username, password);
        //3.判断结果,输出不同语句
        if (flag){
            System.out.println("登录成功!");
        }else {
            System.out.println("用户名或密码错误!");
        }
    }
    /**
     * 登录方法,使用PreparedStatement实现
     * @param username
     * @param password
     * @return
     */
    public boolean login2(String username,String password)  {
        if (username ==null||password ==null){
            return false;
        }
        Connection conn = null;
        PreparedStatement pstmt = null;
        ResultSet rs = null;
        //连接数据库是否登录成功
        try {
            //1.获取数据库连接
            conn = JDBCUtils.getConnection();
            //2.定义sql
            String sql = "select * from user where username = ? and password = ?";
            //3.获取执行sql的对象
            pstmt = conn.prepareStatement(sql);
            //4.给?赋值
            pstmt.setString(1,username);
            pstmt.setString(2,password);
            //4.执行查询
            rs = pstmt.executeQuery();
            //5.判断
            return  rs.next();  // 如果有下一行,返回true
        } catch (SQLException e) {
            e.printStackTrace();
        }finally {
            JDBCUtils.close(rs,pstmt,conn); //关闭资源
        }
        return false;
    }
}
野生技术协会副会长
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
如何获得PreparedStatement最终执行sql语句
03-24
这篇博客可能是探讨如何在实际运行中获取`PreparedStatement`最终执行SQL语句,这对于调试和分析数据库操作非常有帮助。 在Java中,`PreparedStatement`对象通常会接收参数占位符(如`?`),然后在执行前填充具体...
JDBC Preparedstatement执行sql对象
七七的博客
04-07 230
Preparedstatement :执行sql对象 SQL注入问题:在拼接sq1时,有一些sql的特殊关 键字参与字符串的拼接。会造成安全性问题 输入用户随便,输入密码: ‘a’ or ‘a’ = ‘a’ sql : select * from user where username = ’ wdaad’ and password = ‘a’ or ‘a’= ‘a’ 解决sql注入问题...
课堂笔记【java JDBC
主神的博客
04-14 573
JDBC简介 JDBCJDBC在应用程序与数据库之间起到了一个桥梁作用,当应用程序使用JDBC访问特定的数据库时,只需要通过不同的数据库驱动与其对应的数据库进行连接,连接后即可对该数据库进行相应的操作。 工作原理: 工作过程: JDBC驱动与连接 JDBC驱动 由JDBC驱动直接访问数据库 优点:纯java,快,跨平台 缺点:访问不同的数据库需要下载专用的JDBC驱动...
PreparedStatement ps = conn.prepareStatement(sql);在eclipse中跑不通的问题,http报错500
热门推荐
XRN的博客
05-20 2万+
博主在eclipse中运行tomcat跑web项目进行学习的时候,愣是发现老是报错500,500不是404这种连不上数据库的问题。百度了好多都是说标题这句话传的是空指针导致错误,可是我感觉我的问题跟这个空指针有点不一样的。具体代码如下public class UserDAO { //用户名、密码、手机号 //数据的插入 //sql // insert into 表名(字段名1,字段名2,....
使用preparedStatement执行sql语句 20210411094249744
pyhui的技术博客
04-11 641
目标 使用preparedStatement对象操作sql语句 实现登陆的功能 编写代码 import java.sql.*; import java.util.Scanner; public class Test10 { public static void main(String[] args) throws ClassNotFoundException, SQLException { // 加载驱动 Class.forName("com.mysql.jdbc
基于PreparedStatement抓取带参最终SQL(oracle,mysql,PostgreSQL等通用)
大吉的博客
08-25 2250
在日志中打印所有数据库通用的不带?的原生SQL,放在navicat就能直接执行
JDBC+注册驱动+获取连接+定义sql语句+获取执行sql对象+执行sql
最新发布
10-15
执行SQL语句之前,我们需要一个`Statement`或`PreparedStatement`对象。如上所述,根据SQL语句的性质选择适当的对象。 **五、执行SQL** 有了SQL语句和执行对象,我们就可以执行SQL了。对于`Statement`,可以使用`...
JDBC执行SQL操作.docx
06-26
在本文中,我们将深入探讨如何利用JDBC执行SQL操作,包括数据查询、操纵、定义和控制。 首先,SQL语句分为四大类: 1. 数据查询语言(DQL):用于检索数据,如`SELECT`语句。 2. 数据操纵语言(DML):涉及数据的...
hibernate执行原生sql语句
04-06
Hibernate 提供了多种方式来执行原生 SQL 语句,其中之一是使用 `Session.createSQLQuery()` 方法,该方法返回一个 `SQLQuery` 对象,该对象提供了执行原生 SQL 语句的方法。 例如,我们可以使用以下代码来执行一个...
详解JavaJDBCStatement与PreparedStatement对象
09-03
如同Statement,PreparedStatement也有执行SQL的方法,如`execute()`, `executeQuery()`, 和 `executeUpdate()`,但它们接受预编译的SQL语句和参数。在执行前,必须用setXXX()方法为每个参数提供值,否则会抛出...
JDBC学习笔记(4)—PreparedStatement执行SQL语句
MasterSpecter的博客
11-11 544
1.PreparedStatement概述该 PreparedStatement接口继承Statement,并与之在两方面有所不同。 PreparedStatement 实例包含已编译的 SQL 语句。这就是使语句“准备好”。包含于 PreparedStatement 对象中的 SQL 语句可具有一个或多个 IN 参数。IN参数的值在 SQL 语句创建时未被指定。相反的,该语句为每个 IN 参数保留
JDBC进阶之PreparedStatement执行SQL语句(MySQL)
10-13 6621
从上一篇文章《JDBC连接MySQL数据库及示例》(前往该文章)的示例中,我们提到,使用Statement执行SQL语句,例如: Connection connection; Statement statement ; ... ... statement
使用PreparedStatement执行sql语句
LFSenior
03-29 4980
使用PreparedStatement执行sql语句 public class Demo1 { /** * 增加 */ @Test public void testInsert() { Connection conn = null; PreparedStatement stmt = null; try { //1.获取连接 conn = JdbcUtil.
JDBC查看Preparedstatement执行sql语句
qq_42352406的博客
07-26 9429
通过JDBC4查看 String sql = "select * from user where uname = ?"; //执行sql语句 ps=conn.prepareStatement(sql); ps.setString(1, uname); res = ps.executeQuery(); String rsq = ((JDBC4PreparedStatement)ps).asSql()...
得到PrepareStatement最终执行sql语句的方法
06-02 9919
得到PrepareStatement最终执行sql语句的方法   在CSDN的JAVA基础版,常常有人问及如何得到PreparedStatement最终执行SQL语句;或者如何在控制台输出占位符的真实值..... 原因就是PreparedStatement执行sql语句有大量的占位符?.... 问题诸如JDBC中: 如何得到 conn.prepareSta
JDBC详解
斯文~
07-05 1578
详解讲解JDBC的使用及其API。 1.编写Java代码; 2.Java代码将SQL发送到MySQL服务端; 3.MySQL服务端接收到SQL语句并执行SQL语句; 4.将SQL语句执行的结果返回给Java代码;JDBC具体实现流程 1.创建工程,导入驱动jar包; 2.注册驱动: 3.获取连接: Java代码需要发送SQLMySQL服务端,就需要先建立连接; 4.定义SQL语句:; 5.获取执行SQL对象执行SQL语句需要SQL执行对象,而这个执行对象就是Stateme...
Statement 和 PrepareStatement执行SQL
weixin_52629592的博客
05-26 1635
Statement和Preparedment都是用来实现数据库连接的API接口,下面我们对两者的实现方式分别进行介绍 一.Statement 概述 statement用于执行一些简单的静态SQL语句,并返回它所生成的结果对象 接口: public interface Statement extends Wrapper 在默认情况下,同一时间内每个Statement对象只能打开一个ResultSet对象.因此,如果读取一个ResultSet对象与另一个交叉,则这两个对象必须..
preparestatment获取sql_如何从Oracle, MySql, PostgreSQL的PreparedStatement获得所执行sql语句?...
weixin_39630771的博客
12-19 1711
一、问题提出从且只从一个PreparedStatement中获取执行sql语句(包括运行时绑定的参数值),是实际工作中经常遇到的一个问题。网上很多文章提到用自定义的增强类或中间件(p6spy, log4jdbc)来实现,但这需要对现有代码进行修改,工作量很大,能不能有更直接的办法?由于java.sql.PreparedStatement并没有提供相应接口,此功能是否实现及如何实现,不同数据库的J...
使用PreparedStatement执行批量插入sql的三种方式以及效率
weixin_45861045的博客
08-01 5189
jdbc学习
java通过PreparedStatement执行sql
06-13
Java 中的 PreparedStatement 可以用来执行 SQL 查询和更新操作。相比于 Statement,使用 PreparedStatement 可以提高 SQL 执行的效率和安全性。以下是通过 PreparedStatement 执行 SQL 的基本步骤: 1. 建立数据库连接 首先需要建立与数据库的连接,可以使用以下代码: ```java import java.sql.*; public class MySQLConnection { public static void main(String[] args) { String url = "jdbc:mysql://localhost:3306/mydatabase"; String user = "root"; String password = "mypassword"; Connection conn = null; try { conn = DriverManager.getConnection(url, user, password); System.out.println("Connected to the database"); } catch (SQLException e) { System.out.println(e.getMessage()); } finally { try { if (conn != null) { conn.close(); System.out.println("Disconnected from the database"); } } catch (SQLException e) { System.out.println(e.getMessage()); } } } } ``` 在建立连接时,需要使用 DriverManager 类的 getConnection() 方法。 2. 创建 PreparedStatement 对象 在建立数据库连接之后,可以通过 Connection 对象创建 PreparedStatement 对象。PreparedStatement 对象可以通过 SQL 语句创建,例如: ```java PreparedStatement pstmt = conn.prepareStatement("SELECT * FROM mytable WHERE id = ?"); ``` 在上述代码中,使用了带有占位符的 SQL 语句创建 PreparedStatement 对象。占位符用于动态设置 SQL 查询语句中的参数。 3. 设置参数值 在创建 PreparedStatement 对象之后,需要为占位符设置参数值。可以使用以下方法为参数设置值: ```java pstmt.setInt(1, 1); // 设置第一个占位符的值为 1 pstmt.setString(2, "hello"); // 设置第二个占位符的值为 "hello" ``` 在上述代码中,使用了 setInt() 和 setString() 方法分别设置占位符的值。需要注意的是,参数的索引从 1 开始。 4. 执行 SQL 查询语句 在设置完参数值后,可以使用 PreparedStatement 对象执行 SQL 查询语句,例如: ```java ResultSet rs = pstmt.executeQuery(); while (rs.next()) { int id = rs.getInt("id"); String name = rs.getString("name"); System.out.println("ID: " + id + ", Name: " + name); } ``` 在上述代码中,使用 executeQuery() 方法执行 SQL 查询语句,并使用 ResultSet 对象获取查询结果。通过 ResultSet 对象可以获取查询结果中的数据。 5. 执行 SQL 更新语句 另外,PreparedStatement 也可以用来执行 SQL 更新操作,例如: ```java PreparedStatement pstmt = conn.prepareStatement("UPDATE mytable SET name = ? WHERE id = ?"); pstmt.setString(1, "world"); pstmt.setInt(2, 1); int rowsAffected = pstmt.executeUpdate(); System.out.println(rowsAffected + " rows affected"); ``` 在上述代码中,使用 executeUpdate() 方法执行 SQL 更新语句,并使用返回值获取更新操作受影响的行数。 以上就是通过 PreparedStatement 执行 SQL 的基本步骤。需要注意的是,在使用 PreparedStatement 时,应该尽量避免使用拼接 SQL 语句的方式,而应该使用带有占位符的 SQL 语句。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值