sql插入还是用PrepareStatement安全些

最新推荐文章于 2023-05-30 01:36:12 发布
最新推荐文章于 2023-05-30 01:36:12 发布
阅读量2.5k 收藏 1
点赞数
分类专栏: 数据库 文章标签: PrepareStatement
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/z507263441/article/details/41549985
版权

今天往数据库插入新数据,没多想就用了字符串拼接插入额

sql_insert = "insert into Table(name,sex,resum) values('"+name+"','"+sex+"','"+resum+"')";

statement.executeUpdate(sql_insert );

resum是一个字符串变量,resum部分数据中含有'    就因为“'”中的一个'就把数据给分开了,导致抛出异常:com.microsoft.sqlserver.jdbc.SQLServerException: 's' 附近有语法错误。所以为了防止插入的数据中含有特殊的字符而导致抛异常,选用prepareStatement处理比较好。

//prepareStatement

sql_insert = "insert into Table(name,sex,resum) values(?,?,?)";

prepareStatement pst = conn.prepareStatement(sql_insert);

pst.setString(1,name);

pst.setString(2,sex);

pst.setString(3,resum;

pst.executeUpdate();

这种方法就不用担心上述情况的发生了。


boker
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
sql注入及用PrepareStatement就不用担心sql注入了吗?
ZouChuangji的博客
01-24 9413
首先讲一下sql注入 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。比如先前的很多影视网站泄露
MySQL预处理语句PREPARE SQL示例
学亮编程手记
05-15 376
预处理语句允许你先定义一个SQL模板,并且之后可以用不同的参数多次执行这个模板,而不需要每次执行时都解析和编译SQL语句。这样可以减少解析时间,提高执行效率,同时也增强了安全性,特别是对于包含用户输入的查询。
使用PrepareStatement预编译对象执行sql语句
m0_70503831的博客
05-22 1139
使用PrepareStatement预编译对象执行sql语句 prepareStatementStatement的对比
Statement和PrepareStatement的理解批量插入
tiantiantbtb的博客
05-30 859
的方式适用于需要分别处理每条SQL语句结果的场景,并且每条语句都是一个独立的事务。而批处理适用于一次性执行多个SQL语句,并进行批量操作和事务处理的场景,以提高执行效率。的方式,每条语句都会被视为一个独立的事务,即每次执行都是自动提交的(autocommit)。1. void addBatch(String sql):将给定的SQL语句添加到此Statement对象的当前命令列表中(但并不执行),可以提高执行效率。的方式时,如果某个语句执行失败,会立即抛出异常,并终止执行后续的语句。
Statement 和 PrepareStatement执行SQL
weixin_52629592的博客
05-26 1625
Statement和Preparedment都是用来实现数据库连接的API接口,下面我们对两者的实现方式分别进行介绍 一.Statement 概述 statement用于执行一些简单的静态SQL语句,并返回它所生成的结果对象 接口: public interface Statement extends Wrapper 在默认情况下,同一时间内每个Statement对象只能打开一个ResultSet对象.因此,如果读取一个ResultSet对象与另一个交叉,则这两个对象必须..
java preparestatement sql注入_浅析Statement和PreparedStatementSQL注入
weixin_30950075的博客
03-06 2621
一、SQL注入所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。上述语句摘自百度百科,可能对于有些人来说晦涩难懂,那么我举个最简单的例子,来体验这一过程;假设有一个登录表单,后台数据校验sql为select * from user where username = 'XXX' and password = 'XXX',...
使用PrepareStatement实现插入数据、查询数据、ResultSet和ResultSetMetaData及资源释放
m0_61961937的博客
09-19 2341
使用PrepareStatement实现插入数据、查询数据、ResultSet和ResultSetMetaData及资源释放
JDBC用PrepareStatement解决SQL注入
qq_46534049的博客
01-31 2250
setXxx()方法有两个参数,第一个参数是要设置的SQL语句中的参数的索引(从1开始),第二个是设置的SQL语句中的参数的值。SQL注入(SQL injection)是因为应用程序在执行SQL语句的时候没有正确的处理用户输入字符串,将用户输入的恶意字符串拼接到了SQL语句中执行,从而导致了SQL注入。这个代码中1=1永远都是对的,#后面的成了注释,所以这条语句会将表中所有的数据查询出来,然后再做数据判断的时候,就会得到正确结果,从而说用户名和密码正确,登录成功。这是查询一条数据的运行结果。
PrepareStatement中的动态sql及时间处理
weixin_43729186的博客
04-16 624
动态sql public int updateBooks(Books books) throws SQLException { //获取连接 Connection conn = DBUtils.getConnection(); //存储参数 List params = new ArrayList(); ...
使用PrepareStatement实现批量插入操作
有上进心的阿龙
12-08 1065
使用PrepareStatement实现批量插入操作
利用JDBC的PrepareStatement打印真实SQL的方法详解
08-29
PreparedStatement ps = connection.prepareStatement(sql); ps.setInt(1, 10); ``` 在这个例子中,我们想知道实际执行的SQL语句是"SELECT * FROM table WHERE id = 10"。为了实现这个需求,我们可以自定义一个辅助...
JDBC PrepareStatement 使用(附各种场景 demo)
01-14
PrepareStatement是JDBC提供的一种预编译的SQL语句,它可以提高数据库操作的效率和安全性。本资源主要涵盖了使用JDBC PrepareStatement进行MySQL数据库操作的各种场景,包括基本的查询、更新以及批量处理。 首先,...
MySQL prepare语句的SQL语法
09-11
MySQL PREPARE语句是数据库查询优化的一种方法,主要用于创建可重复使用的SQL语句模板,以便在后续操作中高效地执行。它允许你先定义一个SQL语句,然后使用参数来执行这个语句,这在处理大量重复的相似查询时非常...
java使用JDBC动态创建数据表及SQL预处理的方法
08-29
ps = conn.prepareStatement(sql); ps.executeUpdate(sql); ps.close(); conn.close(); } catch (SQLException e) { System.out.println("建表失败" + e.getMessage()); } } ``` 三、动态添加数据 使用 ...
sql语句中用问号代替参数
08-02
PreparedStatement pstmt = conn.prepareStatement(sql); pstmt.setString(1, "usernameValue"); // 设置参数值 ResultSet rs = pstmt.executeQuery(); // 处理结果集... ``` 在这里,`setString(1, "usernameValue...
2024浙江省行政区划矢量图层-省市县乡镇四级行政区划数据下载-带python代码
最新发布
08-02
2024最新浙江省行政区划矢量图层数据,包含省、市、县、乡镇四级行政区划数据下载,附带shp转geojson的python代码
年度销售计划表.xlsx.xlsx
08-01
销售统计,调查问卷,库存明细,跟进表,业绩统计表,差异分析 ,产品清单 适用人群:学习不同技术领域的小白或进阶学习者;可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。
蓝牙BLE 4.0开发课程
08-01
蓝牙BLE 4.0课程
java 打印插入sql preparestatement
12-01
3. 创建PrepareStatement对象:使用连接对象的prepareStatement()方法创建一个PreparedStatement对象,并将插入SQL作为参数传递进去。 4. 设置插入参数:如果需要在SQL语句中使用参数,可使用PreparedStatement对象...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值