JDBC 模糊查询传参问题

最新推荐文章于 2024-10-08 15:31:49 发布

原创最新推荐文章于 2024-10-08 15:31:49 发布 · 2.4k 阅读

1 ·

CC 4.0 BY-SA版权

javase 专栏收录该内容

11 篇文章

订阅专栏

本文介绍了在Java JDBC编程中如何正确使用SQL LIKE语句。错误的使用方式可能导致SQL注入风险，正确的做法是在PreparedStatement中使用参数占位符，并在执行时设置具体的通配符值。

在写JDBC是发现的问题。

错误写法

sql = "select * from test_user where name like %?%";

PreparedStatment stat = con.prepareStatement(sql);

stat.setString(1,"郑");

正确写法：

select * from test_user where name like '%"+user.getName()+"%'

也可

在sql变量中的LIKE只写一个问号，其余的通配符在setString的时候加上去。

String sql = "SELECT name FROM emp WHERE name LIKE ?";

PreparedStatment stat = con.prepareStatement(sql);

stat.setString(1,"%xia%");

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

a331251021

关注关注

0
点赞
踩
1

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

新手入门之模糊查询与封装请求参数和返回参数

weixin_64863035的博客

03-19

684

我们想采用关键词搜索某条数据，比如我们用name作为查询条件，那么我们应该怎么做？

mybaits 报错之 mysql模糊查询乱码_Mybatis使用MySQL模糊查询时输入中文检索,接收到乱码报错

YZRHANYU的博客

05-26

659

mysql模糊查询乱码_Mybatis使用MySQL模糊查询时输入中文检索,接收到乱码报错

参与评论您还未登录，请先登录后发表或查看评论

JDBC 模糊查询传参

06-07

3993

写dao的时候碰到模糊查询的传参，无法识别引号下的问号 1）可以利用拼接变量的方式 String sql = "select domin_id , domin_name from dmn_domin where domin_code like '"+domin_code +"%'"+" and state=? order by domin_id"; 2)利用传参函数 S

【Java+Springboot】------ 通过JDBC+GetMapping方法进行数据select查询、多种方式传参、最简单的基本示例!

皮皮冰要做大神

04-07

622

提示：postgresql数据库中如果表字段名使用大写方式、sql语句的字段名需要使用“\"” 引用起来。5、json格式数据传参方式获取数据。1、在application.properties中加上连接池配置。2、在pom.xml 再引用postgresql组件。红框里面的代码不能丢了很重要不然系统找不到入口.1、在pom.xml 先引用jdbc组件。1、创建Controller控制器类。4、单个参数查询数据方式。2、调用JDBC连接类。3、无参数查询数据方式。4、多个参数获取数据方式。

jdbc查询select

小猴子的博客

07-26

1270

package dao.impl; import java.sql.ResultSet; import java.sql.SQLException; import java.util.List; import org.junit.Test; import bean.User; import com.mysql.jdbc.Connection; import com.mysql.jdbc.P...

sql 模糊查询传递参数

weixin_30275415的博客

05-13

1071

按常规的思路，我们会这样写 String searchName ="Sam";String strSql = "select * FROM Table1 where Name like '%@Name%' ";SqlParameter[] parameters = {new SqlParameter("@Name", searchName)}; 但结果是查询不到结果，跟踪代码也没有发...

jdbc的使用，如何传参查询，如何关闭连接、对象、结果集，如何将查询的数据封装进对象集合

C19150872001的博客

04-14

1677

jdbc的使用，如何传参查询，如何关闭连接、对象、结果集，如何将查询的数据封装进对象集合

使用MVC模式和分层完成商品的增删改查和模糊查询

LOOKOUTSTT的博客

02-25

728

这个是在服务端运行的，对浏览器来说是透明的。3.函数里面有三个参数，第一个是数组的每一项值（必选），第二个是数组下标（可选），第三个是原数组（可选）2.forEach()有三个参数，第一个是function()函数，第二个是对象；1.forEach()方法用于调用数组的每个元素，并将元素传递给回调函数。()是重新定向，前后页面不是一个request。4.forEach()第二个参数对象，使第一个参数函数的this指向对象。写完后点击修改是这个页面就成功了在去尝试修改。在主页里添加注册，删除，和修改超链接。

Spring JDBC - Spring JDBC模版使用

weixin_52937170的博客

10-08

1504

Spring JDBC模版；Spring JDBC支持类

第二十一章 Wed完成登录.注册并查询商品模糊查询

weixin_73656040的博客

02-17

195

第三步在baen包创建用户的实体类 User ，商品的实体类·GoodsUser 是为了连接数据库做准备。在dao包里创建 UserDao类编写登录代码，注册代码。并在 wed项目要创建一个注册的映射代码如下。第二步创建 Registter编写注册代码。最后完成网页用户登陆，注册查询商品，第四步编写登录java代码完成用户需。第一步创建Login编写登录java代码。bean包使用编写数据库的参数。第一步创建四个页面。在Wed在中输入一下代码。在servlet包中。

模糊查询语句如何从传过来的参数拿值

JavaNovice_Wy的博客

09-04

372

记录一下今天查询语句的接口出现的问题：首先一开始：我用的是%+#{title}+%取传过来的值，但是大花括号自带引号所以拼接不了“%”号。解决方法： @Select("SELECT * FROM article WHERE title LIKE '%${title}%'") List<Article> findByTitle(@Param("title")String title); 使用了 ‘%${title}%’ 完美解决仅记录个人错误，希望对你有用~ ...

JDBC基础知识

qq_50048558的博客

09-01

162

一、JDBC 1.定义 JDBC(Java Data Base Connectivity) 是 Java 访问数据库的标准规范.是一种用于执行SQL语句的Java API，可以为多种关系数据库提供统一访问，它由一组用Java语言编写的类和接口组成。是Java访问数据库的标准规范. JDBC就是由sun公司定义的一套操作所有关系型数据库的规则(接口)。二、JDBC 开发 public class JDBC01 { public static void main(String[] args) throws

java简单jdbc查询操作

weixin_38169769的博客

09-11

960

所采用的mysql的数据库驱动版本：5.0.8 mysql-connector-java-5.0.8-bin.jar 程序结构图：表结构：创表sql: Create Table CREATETABLE`users`( `id`int(11)NOTNULLAUTO_INCREMENT, `username`...

JDBC中PreparedStatement中Like后面的参数

java小强

11-13

1220

好久没发博客，因为解决一些技术问题后要做业务开发。欢迎大家访问我的博客来和我交流：http://cuisuqiang.iteye.com/ 可是最近麻烦又来了，在还没有彻底结束上一个之前，领导把我安排到了新的岗位，我那个郁闷啊。由于我们的项目不大，所以刚开始决定时我为了省事想用SSH，可是后来觉得只有Struts2好了，后来的查询等数据库操作我自己写方法不行了嘛！刚才写一个公共

JDBC 操作 SQL Server 时如何传入列表参数

一叶不知秋

11-22

804

本文是作为将要对 PostgreSQL 的 in, any() 操作的一个铺垫，也是对先前用 JDBC 操作 SQL Server 的温习。SQL Server 的 PreparedStatement 的实现类 SQLServerPreparedStatement 的 setArray() 未实现，反编译出它的 setArray() 方法是。这里所引用的 SQL Server 的 JDBC 驱动是 com.microsoft.sqlserver:mssql-jdbc:11.2.0.jre8。

Java学习笔记：JDBC的参数化查询（避免写的程序被黑客搞到手）

薛定谔的猫

10-02

1550

SQL注入漏洞SQL拼接把用户输入的恶意字符串拼接起来形成一个恶意的SQL。System.out.println("请输入用户名");System.out.println("登录成功");System.out.println("登录失败");System.out.println("请输入密码");需求要求用户输入姓名、密码，然后检查登录是否成功。打印SQL语句看一下就知道了。execute方法也支持参数化查询。就8行代码实现了这个SQL注入。密码输入'or'1'='1。原则尽量避免SQL拼接。...

JDBC传入参数使用LIKE模糊搜索

qq2462914396的博客

08-10

1981

paramMap.put("name", "%" + name + "%"); sql += " AND VALUE.DB_TYPE_VALUE_NAME LIKE(:name) ";

PreparedStatement中setString用法

weixin_43971862的博客

10-09

8558

源码中：void setString(int parameterIndex, String x) throws SQLException; 实际开发中，conn = DriverManager.getConnection(url, userName, password);//自己链接数据库 PreparedStatement pstmtInsert = conn.prepareStatement(“INSERT INTO student VALUES(?, ?, ?, ?)”); // 创建语句，里面的参数

Java操作数据库（二，SQL注入与PreparedStatement）

weixin_47514459的博客

12-07

3720

JDBC入门https://blog.youkuaiyun.com/weixin_47514459/article/details/121719450 小编相信，通过对上文的阅读，让各位对jdbc（Java对数据库的操作）已经有一定的认识，下面我们就来看看SQL注入的问题与PreparedStatement（对数据库的增删查改）的内容吧！ SQL注入 PreparedStatement ...

plsql的api接口传参

最新发布

10-30

<think>首先，用户的问题是："plsql的api接口传参"，我需要理解这个。看起来是关于PL/SQL（Oracle的存储过程语言）中的API接口如何传递参数。PL/SQL通常用于Oracle数据库，可能涉及到如何调用存储过程或函数时传递参数。用户指定必须使用中文回答问题，所以我会用中文回复。我的回答需要完整回答问题，然后在回答的最后添加3-5个相关问题。第一行必须是"§§相关问题§§"，且不能换行分散；必须完整输出"§§相关问题§§"，然后列出问题。从示例中看： - 回答问题部分（这里是关于快速排序的解释和代码）。 - 然后是"§§相关问题§§" - 接着是编号的问题列表（1. ..., 2. ..., etc.）所以，我的结构： 1. 回答问题：解释PL/SQL的API接口传参。 2. 结束回答后，输出"§§相关问题§§"（不换行）。 3. 然后列出3-5个相关问题。现在，回答问题：PL/SQL的API接口传参。我认为用户指的是在PL/SQL中如何通过API（可能是通过JDBC、ODBC或其他接口）调用存储过程或函数时传递参数。PL/SQL本身不是API，但可以通过外部接口调用PL/SQL代码。关键点： - PL/SQL存储过程可以有输入参数、输出参数、输入输出参数。 - API调用时，如使用Java JDBC调用Oracle存储过程，需要设置参数。 - 参数可以是IN（输入）、OUT（输出）、IN OUT（双向）。 - 数据类型需要匹配。我需要给出一个清晰的解释，可能包括一个简单的例子。用户提到了API接口，所以焦点是如何通过外部程序（如Java、Python）调用PL/SQL并传参。例如： - 使用JDBC调用存储过程：设置CallableStatement，绑定参数。 - 或者在PL/SQL中定义存储过程参数。但用户说"plsql的api接口传参"，这可能有点模糊。或许是问如何在PL/SQL存储过程中定义参数，或者是如何外部调用。我应该覆盖基础。为了全面： - 解释在PL/SQL中声明参数。 - 解释如何通过API（如JDBC）传递参数。提供一个简单的代码示例，类似于示例中的Python代码。但示例是Python快速排序，这里是PL/SQL，所以我可以给出一个PL/SQL存储过程的例子。例如： ```sql CREATE OR REPLACE PROCEDURE my_proc( p_param1 IN NUMBER, p_param2 OUT VARCHAR2 ) IS BEGIN -- 处理代码 p_param2 := 'Result: ' || TO_CHAR(p_param1); END; / ``` 然后解释如何调用它，比如从Java： ```java CallableStatement cstmt = conn.prepareCall("{call my_proc(?, ?)}"); cstmt.setInt(1, 123); // IN parameter cstmt.registerOutParameter(2, Types.VARCHAR); // OUT parameter cstmt.execute(); String result = cstmt.getString(2); ``` 但用户指定了代码块，我可以只给出PL/SQL部分，因为问题焦点是PL/SQL的API接口传参。在回答中，我需要用中文解释。提纲回答： 1. 介绍PL/SQL参数传递。 2. 解释参数类型：IN, OUT, IN OUT。 3. 给出一个代码示例。 4. 简要说明外部调用。然后，最后添加相关问题。相关问题：需要3-5个，基于用户的问题和我的回答。必须相关。可能的§§相关问题§§： 1. 如何在PL/SQL中使用绑定变量？ 2. 如何处理PL/SQL存储过程中的数组参数？ 3. 通过JDBC调用PL/SQL时的常见错误是什么？ 4. PL/SQL中参数传递的最佳实践有哪些？ 5. 如何在Oracle中配置API接口的安全性？确保问题是封闭的，适合后续讨论。现在，构建回答。首先，回答部分： - 用中文。 - 解释PL/SQL API接口传参：通常指通过外部应用程序调用Oracle数据库中的PL/SQL存储过程或函数时传递参数。 - 参数类型：IN, OUT, IN OUT。 - 示例代码：一个简单的存储过程。 - 简短描述如何调用。代码示例：使用SQL或PL/SQL块。类似于示例的格式。例如： ```sql -- 定义存储过程 CREATE OR REPLACE PROCEDURE example_proc( in_param IN NUMBER, -- 输入参数 out_param OUT VARCHAR2 -- 输出参数 ) IS BEGIN out_param := '输入值是: ' || TO_CHAR(in_param); END; / ``` 然后解释。在回答末尾，输出"§§相关问题§§"，然后列表。相关问题列表： 1. 如何在Java中使用JDBC调用PL/SQL存储过程并传递参数？ 2. PL/SQL中如何处理NULL参数值？ 3. 使用API接口调用PL/SQL时有哪些性能考虑？ 4. 如何在PL/SQL中定义和使用游标参数？ 5. PL/SQL参数传递与SQL语句中的绑定变量有何不同？确保3-5个问题。完整输出： - 回答内容。 - "§§相关问题§§" - 1. ... - 2. ... - 3. ... - 4. ... (可选) - 5. ... (可选) 现在，写回答。 </think>在PL/SQL中，API接口传参通常指通过外部应用程序（如Java、Python或REST服务）调用Oracle数据库中的PL/SQL存储过程或函数时传递参数。参数类型包括： - **IN参数**：仅用于输入，值传递给存储过程。 - **OUT参数**：仅用于输出，存储过程返回值给调用者。 - **IN OUT参数**：双向传递，既输入初始值又输出结果。 PL/SQL存储过程通过声明参数列表定义接口，外部API（如JDBC、ODBC或Oracle REST Data Services）通过绑定机制传参。例如，使用JDBC调用时，需设置输入值并注册输出参数。以下是简单示例，展示一个PL/SQL存储过程定义及其参数传递： ```sql -- 创建PL/SQL存储过程：计算数字平方 CREATE OR REPLACE PROCEDURE calculate_square( p_input IN NUMBER, -- 输入参数 p_output OUT NUMBER -- 输出参数 ) IS BEGIN p_output := p_input * p_input; -- 计算平方并赋值给输出参数 END; / -- 示例调用（在Oracle SQL Plus或JDBC中执行匿名块） DECLARE v_result NUMBER; BEGIN calculate_square(5, v_result); -- 传递输入值5，获取输出结果 DBMS_OUTPUT.PUT_LINE('计算结果: ' || v_result); -- 输出: 计算结果: 25 END; / ``` 在实际API调用中（如Java JDBC），需使用`CallableStatement`绑定参数： ```java CallableStatement cstmt = connection.prepareCall("{call calculate_square(?, ?)}"); cstmt.setInt(1, 5); // 设置IN参数值 cstmt.registerOutParameter(2, Types.NUMERIC); // 注册OUT参数类型 cstmt.execute(); int result = cstmt.getInt(2); // 获取OUT参数值 ``` 关键注意事项： - 参数数据类型必须一致（如NUMBER对应Java的int）。 - 默认参数模式为IN，OUT参数需显式注册。 - 使用绑定变量避免SQL注入风险。

JDBC 模糊查询 传参问题

JDBC 模糊查询传参问题