PreparedStatement笔记

最新推荐文章于 2023-04-21 10:13:37 发布
最新推荐文章于 2023-04-21 10:13:37 发布
阅读量138 收藏
点赞数 1
分类专栏: JDBC基础
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zjhzxjq/article/details/88682505
版权

(1)PreparedStatement:是Statement 的子接口,可以传入带占位符的 SQL 语句。并且提供了补充占位符变量的方法。
(2)使用PreparedStatement
①创建PreparedStatement:
String sql = “INSERT INTO examstudent VALUES(?,?,?,?)”
PreparedStatement ps = conn.prepareStatement(sql);

②调动 PreparedStatement 的setXxx(int index, Object val) 设置占位符的值从1开始

③执行SQL语句: executeQuery() 或 executeUpdate()
注意:执行时不再需要传入SQL语句。

preparedStatement = connection.prepareStatement(sql);

(3)可以有效的禁止SQL注入
1.SQL 注入是利用某些系统没有对用户输入的数据进行充分的检查,而在用户输入数据中注入非法的 SQL 语句段或命令,从而利用系统的 SQL 引擎完成恶意行为的做法
2.对于java而言,要防范 SQL 注入。只要用PreparedStatement 取代 Statement 就可以了。
3.SQL注入代码:

String username = "a' OR PASSWORD = ";
		String password = " OR '1'='1";

		String sql = "SELECT * FROM users WHERE username = '" + username
				+ "' AND " + "password = '" + password + "'";

		System.out.println(sql);

(4)PreparedStatement能最大可能提高性能

zjhzxjq
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用PrepareStatement,防止SQL注入
Ant_in_IT的博客
03-11 358
* 模拟sql注入,使用preparedstatment防止sql注入 import java.sql.Connection; import java.sql.DriverManager; import java.sql.PreparedStatement; import java.sql.ResultSet; import java.sql.SQLException; import java....
JDBC用PrepareStatement解决SQL注入
qq_46534049的博客
01-31 2276
setXxx()方法有两个参数,第一个参数是要设置的SQL语句中的参数的索引(从1开始),第二个是设置的SQL语句中的参数的值。SQL注入(SQL injection)是因为应用程序在执行SQL语句的时候没有正确的处理用户输入字符串,将用户输入的恶意字符串拼接到了SQL语句中执行,从而导致了SQL注入。这个代码中1=1永远都是对的,#后面的成了注释,所以这条语句会将表中所有的数据查询出来,然后再做数据判断的时候,就会得到正确结果,从而说用户名和密码正确,登录成功。这是查询一条数据的运行结果。
PreparedStatement类对SQL注入问题的解决
LOVE_Me__的博客
03-04 791
1.Satement对象每执行一条SQL语句都会先将这条SQL语句发送给数据库编译,数据库再执行。 如果有1万条类似的SQL语句,数据库需要编译1万次,执行1万次,显然效率就低了。 并且statement执行的是静态的sql语句 2.prepareStatement()会先将SQL语句发送给数据库预编译。PreparedStatement会引用着预编译后的结果。可以多次传入不同的参数...
JDBC~Java中的JDBC概述、连接数据库的注意点、利用PreparedStatement实现增删改
zxc的博客
05-14 410
文章目录JDBC概述步骤连接数据库的几种方式利用JDBC操作数据库利用JDBC实现添加(insert)利用JDBC实现删除(delete)包装相同的代码,实现修改(update)利用JDBC实现一个方法增删改 JDBC概述 JDBC是JAVA提供的一组API,可以用来访问不同的数据库 这组接口是sun公司提供的,不同的数据库厂商会针对这组接口提供不同的实现,这些实现就是每个数据库的驱动 步骤 必须有的对象:ConnectionStatement 中间执行SQL语句 使用完成后关闭资源 连接数据库
preparestatement中的反射原理_Spring框架持久层连接不同类型数据库SQL查询底层实现原理详解...
weixin_39857876的博客
11-21 155
前言在日常的项目开发中,项目可能需要适配不同的数据库类型。而你需要做的仅是修改对应datasource配置即可。不知你是否曾想过,在不同数据库间,更换完对应的数据库配置后,框架究竟为我们都做了哪些内容,其实现机制是什么。正文为了使理解更清楚,这里有一个小的功能需求,如下图:根据上面图中输入的对应数据库用户名、密码、驱动、连接查询出对应sql的内容。并返回List>的结果集,或者List的结果...
javaweb笔记
02-28
这份"javaweb笔记"旨在为学习者提供一个全面而精炼的学习指南,帮助你在JavaWeb开发领域快速成长。下面将详细阐述其中涉及的核心概念和技术。 1. **Servlet**:Servlet是Java平台上的服务器端组件,用于处理HTTP...
JDBC学习笔记
10-10
### JDBC学习笔记知识点详解 #### 一、JDBC理论概述 **JDBC**(Java Database Connectivity)是一种用于执行SQL语句的Java API,可以为多种关系数据库提供统一访问,它由一组用Java语言编写的类和接口组成。JDBC提供...
SpringJDBC笔记
10-10
- **maxStatements**:JDBC 的标准参数,用以控制数据源内加载的 PreparedStatement 数量。如果 maxStatements 与 maxStatementsPerConnection 均为 0,则缓存被关闭,默认为 0。 - **maxStatementsPerConnection**...
jdbc学习笔记
02-13
### JDBC学习笔记详解 #### 一、JDBC简介 JDBC (Java Database Connectivity) 是 Java 数据库连接技术的标准,它是一套用于执行 SQL 语句的 Java API,为 Java 应用程序提供了与多种数据库进行交互的能力。JDBC ...
JDBC笔记.docx
06-23
"JDBC 笔记" 本资源摘要信息主要介绍了 Java 数据库连接(JDBC)的相关知识,包括单例模式、JDBC 概述、JDBC 实现原理、JDBC 开发主要类和 JDBC 开发步骤等内容。 单例模式 单例模式是一种常用的软件设计模式,...
Java Web 学习之JDBC 基础(篇2)
焱宣的博客
03-07 778
篇1 介绍了使用JDBC 连接数据库及部分API 实现sql 查询,及数据库资源的回收,本篇主要是围绕 PrepaeredStatement对象的使用及Sql注入相关: 1.Sql 注入: sql注入是比较常见的网络攻击形式,它利用现有的程序漏洞,将恶意的Sql命令注入后台数据库,最终达到欺骗服务器并实现攻击者的意图,在程序运行过程中,Sql注入会造成数据库信息泄露,网页被篡改,网站被挂木马等问题, 如接下来的两个Sql 语句: Select * from ...
【JDBC】-- PreparedStatement实现数据库查询操作
张修宇的博客
07-21 4123
ORM思想(objectrelationalmapping)1、一个数据表对应一个java类2、表中一条记录对应java类的一个对象3、表中一个字段对应java类的一个属性JDBC结果集的元数据获取列数获取列的别名反射通过反射,创建指定类的对象,获取指定的属性并赋值。...
使用PreparedStatement对数据库的增删改查
qq_56627079的博客
10-10 1131
JDBC的增删改查
JDBC中使用PreparedStatement执行SQL语句并管理结果集
机械键盘侠博客
10-31 2756
基本说明 1、使用PreparedStatement在对反复操作多条结构相似的SQL语句时效率更高,并且可以使用参数替代变量,可以防止SQL注入。 2、PreparedStatement也提供了 execute() 、 executeUpdate() 、 executeQuery() 三个方法来执行crud操作,这三个方法无需传递参数,因为PreparedStatsments已经存储了预...
JDBC之PreparedStatement的用法
最新发布
shuo_Java的博客
04-21 1049
JDBC之PreparedStatement的用法
JDBC(五)PreparedStatement 详解
weixin_33962923的博客
03-03 311
PreparedStatement 是一个特殊的Statement对象,如果我们只是来查询或者更新数据的话,最好用PreparedStatement代替Statement,因为它有以下有点: 简化Statement中的操作 提高执行语句的性能 可读性和可维护性更好 安全性更好。 使用PreparedStat...
PreparedStatement ps = conn.prepareStatement(sql);在eclipse中跑不通的问题,http报错500
XRN的博客
05-20 2万+
博主在eclipse中运行tomcat跑web项目进行学习的时候,愣是发现老是报错500,500不是404这种连不上数据库的问题。百度了好多都是说标题这句话传的是空指针导致错误,可是我感觉我的问题跟这个空指针有点不一样的。具体代码如下public class UserDAO { //用户名、密码、手机号 //数据的插入 //sql // insert into 表名(字段名1,字段名2,....
Java数据库JDBC——prepareStatement的用法和解释
热门推荐
nnzhuilian的博客
01-10 14万+
转自:http://blog.csdn.net/QH_JAVA/article/details/48245945 一、prepareStatement 的用法和解释 1.PreparedStatement是预编译的,对于批量处理可以大大提高效率. 也叫JDBC存储过程 2.使用 Statement 对象。在对数据库只执行一次性存取的时侯,用 Statement 对象进行处理。Prepared...
JavaWeb学习笔记:从基础到高级实战
深入讨论了JDBC,包括PreparedStatement以防止SQL注入,JdbcUtils和Dao模式,以及时间类型处理、大数据批处理。讲解了事务管理、CommonUtils、JdbcUtils、DbUtils和BaseServlet的实用工具。在服务层处理事务,并设计...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值