动力节点Statement与PreparedStatement比较

最新推荐文章于 2024-07-07 12:29:28 发布
最新推荐文章于 2024-07-07 12:29:28 发布
阅读量327 收藏
点赞数
文章标签: mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhouzhiyan01/article/details/127522757
版权 
package com.bjpowernode.jdbc;

import java.sql.*;
import java.util.HashMap;
import java.util.Map;
import java.util.Scanner;

/*
怎样避免SQL注入?
SQL注入的根本原因是:先进行了字符串的拼接,然后再进行的编译

java.sql.Statement接口的特点:先进行字符串的拼接,然后再进行的编译
优点:使用statement可以进行sql语句的拼接
缺点:因为拼接的存在,可能给不法分子机会,到值SQL的注入

java.sql.PreparedStatement接口的特点:先进行SQL语句的编译,然后再进行SQL语句的传值
优点:避免SQL注入
缺点:无法进行字符拼接

思考:什么时候用Statement?
比如考虑用户自主选择升序降序(输入asc还是desc自主选择)
如果使用PreparedStatement则会自动添加'',变成 'desc' 或者 'asc' ,程序会报错
所以这种情况使用Statement,
所以一般开发者不会让用户自主输入,而是选择点击选择升序还是降序
 */

public class Text07 {
    public static void main(String[] args) {

        Map<String,String> userLoginInfo = initUI();

        //连接数据验证用户名和密码是否正确
        boolean ok = checkNameAndPwd
                (userLoginInfo.get("loginName"),userLoginInfo.get("loginPwd"));

        System.out.println(ok?" 登录成功":"登录失败");
    }

    private static boolean checkNameAndPwd(String loginName,String loginPwd) {
        boolean ok = false; //默认登录失败
        Connection conn = null;
        PreparedStatement stmt = null;
        ResultSet rs = null;

        try {
            Class.forName("com.mysql.cj.jdbc.Driver");

            //2.获取连接
            conn = DriverManager.getConnection
                    ("jdbc:mysql://localhost:3306/bjpowernode",
                            "root", "123456");

            //3.获取预编译的数据库操作对象
            //注意:一个问号是一个占位符,一个占位符只能接收一个“值”
            String sql = "select * from t_user where login_name = ? and login_pwd = ?";
            stmt = conn.prepareStatement(sql);
            //给占位符?传值
            //JDBC所有下标都是从1开始
            //怎么结局SQL注入的?即使用户信息中有SQL关键字,但不参加编译就没有事
            stmt.setString(1,loginName);//1代表第1个?
            stmt.setString(2,loginPwd);//2代表第2个?

            //4.执行SQL
            rs = stmt.executeQuery();

            //5.处理查询结果集
            if (rs.next()) {
                //匹配到值,登录成功
                ok = true;
            }
        } catch (Exception e) {
            e.printStackTrace();
        } finally {
            if (rs != null) {
                try {
                    rs.close();
                } catch (SQLException e) {
                    e.printStackTrace();
                }
            }
            if (stmt != null) {
                try {
                    stmt.close();
                } catch (SQLException e) {
                    e.printStackTrace();
                }
            }
            if (conn != null) {
                try {
                    conn.close();
                } catch (SQLException e) {
                    e.printStackTrace();
                }
            }
        }
        return ok;
    }

    private static Map<String,String> initUI() {
        //初始化一个界面,可以让用户输入用户名和密码
        System.out.println("欢迎进入系统");
        Scanner s = new Scanner(System.in);
        System.out.println("账号:");
        String longinName = s.next();
        System.out.println("密码:");
        String longinPwd = s.next();

        //将用户名和密码放到MAP集合中
        Map<String,String> userLoginInfo = new HashMap<>();
        userLoginInfo.put("loginName",longinName);
        userLoginInfo.put("loginPwd",longinPwd);
        return userLoginInfo;
    }
}
zhouzhiyan01
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
详解Java的JDBC中Statement与PreparedStatement对象
09-03
在Java的JDBC(Java Database Connectivity)中,与数据库交互的核心接口是Statement和PreparedStatement。这两个接口都是用于执行SQL语句的,但它们在特性和效率上有所不同。 Statement接口是最基本的SQL执行方式...
Statement和PreparedStatement之间的区别
01-14
Statement和PreparedStatement之间的区别 Statement和PreparedStatement是JDBC中的两种不同的语句对象,用于执行数据库操作。虽然它们都可以执行SQL语句,但是它们之间存在着很大的区别。 首先, Statement对象...
JDBC(三)—PreparedStatementStatement的区别和使用(动力节点杜老师)
GDFHGFHGFH的博客
03-10 744
背景 学习与反思 异同 PreparedStatementStatement都是JDBC中执行sql的对象,他们都可以执行sql语句,但是后者会给一些人创建出sql注入的条件,而前者不会。 prepareStatement :不存在sql注入;效率略高,编译一次,执行多次;在传值后编译时存在类型安全检查。(原理:当历史(预)编译sql语句完全一样时,sql跳过编译,直接执行) statement :存在sql注入问题;编译一次,执行一次 本质 第一步:假如这里使用Statement
动力节点-MyBatis框架笔记
凝聚力安全团队
10-09 1085
目录MyBatis 框架第1章 框架概述1.1 软件开发常用结构1.1.1 三层架构1.1.2 常用框架1.2 框架是什么1.2.1 框架定义1.2.2 框架解决的问题1.3 JDBC 编程1.3.1 使用 JDBC 编程的回顾1.3.2 使用 JDBC 的缺陷1.4 MyBatis 框架概述1.4.1 MyBatis 解决的主要问题第2章 MyBatis 框架快速入门2.1 入门案例2.1.1 使用 Mybatis 准备2.1.2 搭建 MyBatis 开发环境2.2 基本的 CURD2.2.1 inse
动力节点—2020最新MyBatis教程笔记
weixin_41677899的博客
08-15 686
文章目录1 介绍2 快速入门2.1 操作步骤(P9)2.1.1 首先创建maven2.1.2 接着会做一些配置2.2 在编译的target目录下面缺少xml的解决方式(P11)2.3 日志的输出2.4 注意事项2.5对各个对象的分析**Resources** **类****SqlSessionFactoryBuilder** **类****SqlSessionFactory** **接口****SqlSession** **接口**2.6 工具类3 MyBatis DAO代理3.1两种sql的执行方式3.2
Mybatis从入门到精通 | 动力节点老杜
weixin_54232666的博客
12-30 1580
深入理解mybatis,这一篇就够了。 看动力节点mybatis课程的学习笔记。
[Java]Mybatis学习笔记(动力节点老杜)
emmmm.....
02-01 2927
🥽 Mybatis下载 🥽 了解Mybatis 🌊 ORM思想 🌊 Mybatis与ORM 🌊 MyBatis框架特点 🥽 Mybatis入门程序 🌊 数据库表的准备 🌊 创建Project 🌊 创建Module 🌊 设置打包⽅式 🌊 引⼊依赖 🌊 编写mybatis核心配置文件:mybatis-config.xml 🌊 mybatis中有两个主要的配置文件: 🌊 编写XxxxMapper.xml文件 🌊 在mybatis-config.xml文件中指定XxxxMapper.x
JDBC学习笔记-B站动力节点
m0_52041525的博客
02-15 689
文章目录1.JDBC是什么?2.JDBC的本质是什么?3.JDBC开发前的准备工作,先从官网下载对应的驱动jar包,然后将其配置到环境变量classpath当中。4.JDBC编程六步(需要背会)5.案例一:6.案例二(JDBC大致的步骤 框架): 1.JDBC是什么? Java DataBase Connectivity(Java语言连接数据库) 2.JDBC的本质是什么? JDBC是SUN公司制定的一套接口(interface) java.sql.*; (这个软件包下有很多接口) 接口都有调用者和实
servlet实现在线考试系统,参考动力节点
m0_52255061的博客
04-01 1115
servlet实现考试系统源代码一、Jdbcutil工具包二、users实体类,dao类三、servlet实现的注册,查询,删除用户数据四、其余网页(html)代码以及web.xml配置五、结果图, 整体布局 一、Jdbcutil工具包 连接数据库嘛,非它不可,毕竟数据库连接就那几步,总不能一直重复写 public class JdbcUtil { //数据库url、用户名和密码 private static String driver="com.mysql.jdbc.Driver";//C
Ajax学习笔记-动力节点-王鹤老师
深思纵似丁香结,一展芭蕉寸凡心。
06-01 782
需求计算某个用户的BMI,用户在jsp输入自己的身高,体重servlet中计算BMI,并显示BMI的计算结果和建议BMI指数身体质量指数(BodyMassindex)体重公斤数除以身高米数平方得出的数字目前国际上常用的衡量人体胖瘦程度以及是否健康的一个标准成人的 BMI 数值过轻:低于18.5正常:18.5 ~ 23.9过重:24 ~ 27肥胖:28 ~32非常肥胖:高于32用户在文本框架输入省份的编号id,在其他文本框显示省份名称问题的引入。
JDBC学习笔记(动力节点+附代码分析)
Nohara Rin
03-15 2271
JDBC学习笔记 1.JDBC是什么? Java DataBase Connectivity(Java语言连接数据库) 2.JDBC的本质是什么? JDBC是SUN公司制定的一套接口(interface)。 接口都有调用者和实现者。 面向接口调用、面向接口写实现类,这都属于面向接口编程。 3.为什么要面向接口编程? 解耦合:降低程序的耦合度,提高程序的扩展力。 多态机制就是非常典型的:面向抽象编程。(不要面向具体编程) [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-OxfSi
java中PreparedStatementStatement详细讲解
08-25
Java 中的 PreparedStatementStatement 详细讲解 Java 中的 PreparedStatementStatement 是两个常用的数据库操作接口,但是它们之间存在着一些关键的区别,特别是在防止 SQL 注入攻击方面。...
PreparedStatementStatement
03-22
在Java编程中,数据库操作是常见任务之一,而`PreparedStatement`和`Statement`是Java JDBC(Java Database Connectivity)中用于执行SQL语句的两种主要接口。它们都是`java.sql`包下的类,用来与数据库进行交互,但...
000_动力节点_JDBC_源码.rar_java_jpg_noonnk4_roomqyf_动力节点源码
09-15
动力节点的JDBC源码分析 在Java编程领域,JDBC(Java Database Connectivity)是连接Java应用程序和数据库的标准接口,它允许程序通过SQL语句与各种数据库进行交互。本资源"000_动力节点_JDBC_源码.rar"包含了动力...
MySQL表的增删查改
Yuan_o_的博客
07-05 1266
- 把lisi尝试转换成int失败了第二种情况成功:上述这样的转换就是 “隐式类型转换” ,在Java中是非常排斥这一点的比较支持隐式类型转换的称为“弱类型系统”,C/SQL对于隐式类型转换触发的情况更多不太支持隐式类型转换的称为“强类型系统”,虽然Java排斥,但是Java中也有自动装箱、自动拆箱。
MySQL之备份与恢复(十)
最新发布
Cover_sky的博客
07-07 1070
有各种各样的好的和不是那么好的备份工具。我们喜欢对LVM使用mylvmbackup做快照备份,使用Percona Xtrabackup(开源)或MySQL Enterprise Backup(收费)做InnoDB热备份。不建议对大数据量使用mysqldump,因为它对服务器有影响,并且漫长的还原时间不可预知。有一些备份工具已经出现多年了,不幸的是有些已经过时。最明显的例子是Maatkkit的mk-parallel-dump。它从没有正确运行,甚至被重新设计过好几次还是不行。
Fastapi 项目第二天首次访问时数据库连接报错问题Can‘t connect to MySQL server
qq_27371025的博客
07-06 553
Fastapi 项目使用 sqlalchemy 连接的mysql 数据库,每次第二天首次访问数据库相关操作,都会报错:sqlalchemy.exc.OperationalError: (pymysql.err.OperationalError) (2003, “Can’t connect to MySQL server on ‘x.x.x.x’ ([Errno 111] Connection refused)”)
Mysql——子查询
weixin_59369438的博客
07-05 432
子查询Where子查询 单行单列 多行单列Form子查询 多行多列查询比SMITH工资高的人select * from emp where sal > (select sal from emp where ename = 'SMITH');查询比平均工资高的人select * from emp where sal > (select avg(sal) from emp);查询和经理工资相同的员工信息select * from emp where sal in (select sal from emp
java中Statement 和 PreparedStatement 比较两者区别
05-31
在Java中,Statement和PreparedStatement都是用于执行SQL语句的接口,但是它们有以下区别: 1. SQL注入攻击:使用Statement执行SQL语句时,需要将SQL语句拼接成一个完整的字符串,容易受到SQL注入攻击。而使用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值