PreparedStatement

最新推荐文章于 2023-04-10 23:39:01 发布
最新推荐文章于 2023-04-10 23:39:01 发布
阅读量125 收藏
点赞数
分类专栏: JavaWeb笔记 文章标签: sql 数据库 mysql sql注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhujianghan/article/details/120587739
版权
这篇博客探讨了SQL注入问题,强调了PreparedStatement相对于Statement的优势。PreparedStatement通过预编译和使用占位符防止SQL注入,提高安全性。文章介绍了使用PreparedStatement的步骤,并指出其在执行效率上的提升。
摘要由CSDN通过智能技术生成

PreparedStatement

SQL注入问题

在拼接SQL时,有一些sql的特殊关键字参与字符串的拼接,会造成安全性的问题。

  1. 输入用户名随便,密码:a’ or ‘a’='a
  2. sql : select * from users where user=‘nejfrbv’ and password=‘a’ or ‘a’=‘a’;(or后面是一个恒等式)
    在这里插入图片描述

Statement 和 PreparedStatement

Statement是静态sql,表示所有参数在生成sql时都是拼接好的,静态sql容易产生SQL注入问题。
PreparedStatement是预编译sql,参数使用?作为占位符,你需要在执行sql的时候给?赋上值。安全

步骤

  1. 注册驱动
  2. 获取连接对象Connection
  3. 定义SQL(参数用占位符?)
  4. 获取执行sql语句的对象 PreparedStatement Connection.prepareStatement(String sql)
  5. 给?赋值
    setXxx(参数1,参数2);参数1是?的位置编号,参数2 是赋的值
  6. 执行sql的时候不需要
最低0.47元/天 解锁文章
葡萄玛奇朵朵
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PreparedStatement接口
08-06
NULL 博文链接:https://chaoyi.iteye.com/blog/2088080
PreparedStatement字符串拼接
dicmo的专栏
11-18 1323
这在里求JDBC中PreparedStatement的实现,我想不会是这样来拼接。 [code="java"] package com.dicmo.test; import java.util.ArrayList; import java.util.List; public class PreparedStatement{ private String sql; ...
使用JdbcTemplate的BatchPreparedStatementSetter批量插入数据
最新发布
zhangbeizhen18的博客
04-10 2915
记录:397 场景:使用JdbcTemplate从一个数据库批量查出数据存放在List中,把查出的结果数据批量写入到另一个数据库
用预查询(JDBC里的preparedstatement)为什么比直接用字符串拼SQL效率高
g2kajun的博客
06-11 521
用预查询(JDBC里的preparedstatement)为什么比直接用字符串拼SQL效率高 用JDBC里的preparedstatement的好处 1、相对比较安全,可以防止sql注入 举个例子,假如我们在做用户的登录认证,里面有两个字段username,passwword,我们如果用字符串拼接,我们一般这么写:“select id from users where username = '”+username +"’ and password = ‘" + password +"’" 这里的us
jdbc总结5-preparedStatement解决-sql语句的拼写问题
zhangxucumt的博客
08-29 403
在读写数据库的时候在经常遇到要拼写sql语句的问题 例如 插入一个数据 // 获取数据库操作对象 Statement stat=cnn.createStatement(); // 执行sql语句 String sql="insert into student(name,sex,id,age)values('zhangsan6','boy',123,18)"; int row=stat.executeUpdate(sql); 在开发过程中,‘zhangsan6’,‘boy’,123,18这些信
sql学习9
yuezheyue123的博客
12-18 208
数据库存取计算书 JDBC 最基本的 JDO  java data Object 第三方O/R工具mybatis  hibernate    使用PreparedStatement能够解决sql拼接sql的注入的问题   try {               // 加载jdbc.properties资源配置文件               Properties pro = ...
使用PreparedStatement访问数据库
12-14
在Java的数据库编程中,`PreparedStatement`是Java.sql包下的一个重要接口,它是`Statement`接口的子接口。这个接口主要用于处理包含动态参数的SQL语句,以提高性能和安全性。`PreparedStatement`的主要特点是预编译...
java中PreparedStatementStatement详细讲解
08-25
Java 中的 PreparedStatementStatement 详细讲解 Java 中的 PreparedStatementStatement 是两个常用的数据库操作接口,但是它们之间存在着一些关键的区别,特别是在防止 SQL 注入攻击方面。...
PreparedStatementStatement
03-22
在Java编程中,数据库操作是常见任务之一,而`PreparedStatement`和`Statement`是Java JDBC(Java Database Connectivity)中用于执行SQL语句的两种主要接口。它们都是`java.sql`包下的类,用来与数据库进行交互,但...
Java数据库连接PreparedStatement的使用详解
08-29
Java 数据库连接 PreparedStatement 的使用详解 Java 数据库连接 PreparedStatement 是 Java 语言中连接数据库的重要组件之一。通过使用 PreparedStatement,可以实现对数据库的 CRUD(Create, Read, Update, ...
详解Java的JDBC中Statement与PreparedStatement对象
09-03
在Java的JDBC(Java Database Connectivity)中,与数据库交互的核心接口是Statement和PreparedStatement。这两个接口都是用于执行SQL语句的,但它们在特性和效率上有所不同。 Statement接口是最基本的SQL执行方式...
JSP中的PreparedStatement对象操作数据库的使用教程
10-22
主要介绍了JSP中的PreparedStatement对象操作数据库的使用教程,文中举了一些使用PreparedStatement预处理语句对象进行MySQL增删查改的例子,需要的朋友可以参考下
练习3:使用PreparedStatement插入宠物信息.zip
08-27
在Java编程中,PreparedStatement是Java SQL API中的一个接口,它是Statement接口的子接口。这个练习主要涉及如何使用PreparedStatement来插入宠物信息到数据库中。PreparedStatement的主要优势在于它的预编译能力和...
如何获得PreparedStatement最终执行的sql语句
03-24
在Java的JDBC编程中,`PreparedStatement`是一个非常重要的接口,它用于预编译SQL语句,提高了数据库操作的效率和安全性。当我们处理大量重复的SQL操作时,使用`PreparedStatement`可以避免SQL注入等问题,同时提升...
Preparedstatement的使用
Garson的博客
11-01 753
如何使用PreparedStament以及PreparedStatment和Statement的区别
SQL注入+PreparedStatement使用
小汤圆
02-03 190
SQL注入+PreparedStatement使用
使用PreparedStatement 动态拼装like 条件。
王佳楠的专栏
04-13 1330
在使用java PreparedStatement 时,执行拼装的sql总是报错 1、错误的sql拼装: // 拼装修改记录查询条件 if(changeRecord != null && !"".equals(changeRecord)){ changeRecord = URLDecoder.decode(changeRecord, "utf-8"); whereSql.app
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值