使用Map集合,PreparedStatement 接口对 MySQL 语句中的?占位符进行设置

最新推荐文章于 2023-11-14 08:50:34 发布
最新推荐文章于 2023-11-14 08:50:34 发布
阅读量1.3k 收藏 2
点赞数 3
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/duanbaoke/article/details/85109848

使用?占位符的原因:Statement不安全,存在SQL注入防风险!

涉及知识点:Map集合,PreparedStatement 接口,MySQL数据库,ResultSet结果集
使用方法:
博主是用的是 eclipse Jee IDE,使用MySQL需要在

.....\工程名\WebContent\WEB-INF\lib

中放入mysql数据库驱动文件,mysql-connector-java-5.1.21.jar
长这个样子,1M左右的大小
在这里插入图片描述
Jsp文件form表单中发送用户名和密码,通过Servlet获取并在数据库中进行查找,如果数据库中不存在,则提示“用户名密码输入有误”,并转发到登录界面,如果存在,则进入到mainpage.jap中。
以下是Servlet文件中的doPost()方法中的代码

String username=request.getParameter("username");
String password=request.getParameter("password");
boolean flag=false;
DBUtil db = new DBUtil();	//引入 数据库工具类 对象
String sql="select count(*) from user where username=? and password=?";
Map<Integer,Object> param =new HashMap<Integer,Object>();
param.put(1,username);
param.put(2,password);
ResultSet rs = db.eQuery(sql, param);//获取返回的结果集rs
		
try
最低0.47元/天 解锁文章

200万优质内容无限畅学
Flink DataStream 实战:通过 JDBC Connector 写入 MySQL
SmartSi
05-18 1245
本文介绍了如何在 Flink 1.13.5 中使用 JDBC Connector 将 DataStream 数据实时写入 MySQL 数据库。首先,需要在项目中添加 Flink JDBC Connector 和 MySQL JDBC 驱动程序的依赖。接着,创建了一个 MySQL 表 tb_user_active 用于存储用户活跃数据。文章详细剖析了 JdbcSink 的核心组件,包括 SQL 语句、JDBC 语句构建器、执行控制参数和数据库连接参数,并提供了完整的 JdbcSink 示例代码。通过这些步骤,
mysql 返回map_MyBatis查询返回Map示例代码
weixin_28718345的博客
01-19 1227
前言有时候我们做查询, 只需要返回两个string类型的字段,方便我们后续的处理.比如根据商品的code查询对应的分类的名字,需要返回一个map, key为商品code, value为商品分类对应的名称.以方便我们后续对结果集的处理.如果你直接用mybatis返回一个map, 你可能会发现,结果根据不是自己需要的.这时候我们需要自己实现一个ResultHandler来实现我们想要的结果,废话不多说...
PreparedStatement接口的补充问题——占位符
FutureFlyme的博客
07-24 2171
PreparedStatement接口继承于Statement接口,所以它拥有Statement接口中的方法,详情见 在实际开发中我们在编写SQL语句的时候可能会用到占位符?,它可以代替SQL语句的参数,然后通过setXXX()方法对SQL语句的参数进行赋值。例如public List<Employee> selectEmp(int firstResult, int pageSize) {
mysql(增删改查)语句占位符 ?的使用
qq_47735503的博客
01-31 3191
mysql(增删改查)语句占位符 ?的使用 ctrl+/ 注释sql语句 ctrl+shift+/ 解除注释 // 查询用户 selects: 'select * from slogin where name like ?',//slogin:表名 name:字段名 sselect:'select * from slogin',//slogin:表名 //修改密码 updates:'UPDATE slogin SET pwd = ? WHERE name like ?',//slogin:表名 pwd:字段
mysql PreparedStatement 占位符注意事项
云淡风轻
08-30 5496
注意事项 下标从1开始 赋值的时候不需要为字符串变量的两边加上’’ 直接ps.setString(1, “liguang”); 占位符只能替换值类型,不能替换表名、字段名或者其他关键词。 PreparedStatement会为占位符?的两边自动加上单引号,这样会使得SQL语句不可执行,比如使用将表名设置占位符,数据库执行sql语句时,表名会用单引号引起来,这样会使得sql语句执行出错或者查询不...
7.PreparedStatement使用占位符
T_P_F的博客
10-31 1211
各种字段对应的set方法 PreparedStatement stat = conn.preparedStatement(sql); 1.VARCHAR2 stat.setString(); 2.NUMBER stat.setString(); 3.TIMESTAMP stat.setTimestamp(int, timestamp); 4.DATE stat.setDate(i...
prepareStatement 占位符(?)的使用
weixin_49066429的博客
08-26 2327
public void PrepareStatementInsertTest(){ Scanner input = new Scanner(System.in); System.out.println("请输入姓名"); String name = input.next(); System.out.println("请输入年龄"); int age = input.nextInt(); try { ..
go语言连接sqlserver数据库,使用?作为占位符报错
最新发布
09-30
3. **绑定参数**:在绑定占位符时,确保参数的数量和顺序与SQL语句中的占位符一致,并且是正确的数据类型。 4. **编码/解码**:如果涉及到字符串传递,可能需要处理字符集编码的问题,比如从UTF-8到SQL Server的...
MySQL JDBC为什么都不开启PreparedStatement Cache
xieyuooo的专栏
08-20 9221
同样技术的文章我发现几年前写过一次,^_^:https://blog.youkuaiyun.com/xieyuooo/article/details/10732375 当时写这篇文章更多偏重于内部的代码实现逻辑来写,可能很多朋友看得更多是云里雾里,不知道对自己有什么帮助,最近也有人在问我为什么我们写代码不开启PS Cache,其实从源码确实可以找到答案,不过我觉得用博客写源码分析可能更多是对我自己有帮助,对...
mysql中like语句注入_like查询中的SQL注入
weixin_39643865的博客
01-19 4371
list = schoolDao.getSchoolByName("长乐一中%' or '1%' = '1");for(School school : list){System.out.println(school.getName());}}catch(Exception e){e.printStackTrace();}}用p6spy查看最后生成的sql语句:Sql代码sql1:select *...
mysql的prepared statement
feigeswjtu的专栏
03-16 1929
写过java,rails,php等的同学都知道,mysql在执行中有一个占位符的sql,比如rails里: ModelTest.where("id = ?", 100) 但是在这个语句的背后,语言又做了什么事情呢? 调研看,它在生成sql之前会将占位符替换掉,生成真正的sql。 但是mysql里却是真正支持占位符的,它叫prepared statement。 用法如下: mysql>
PreparedStatement解读
wliang578的博客
03-28 1050
preparestatment
mapreduce连接mysql_MapReduce直接连接Mysql获取数据 (新API写法)
weixin_42201721的博客
02-07 334
创建表:DROP TABLE IF EXISTS `sqooptest`.`lxw_tabls`;CREATE TABLE `sqooptest`.`lxw_tabls` (`TBL_NAME` varchar(20) default NULL,`TBL_TYPE` varchar(20) default NULL) ENGINE=InnoDB DEFAULT CHARSET=utf8;创建hdf...
MySQL数据库干货_27——PreparedStatement使用(重点)
guojiaqi_的博客
11-14 455
PreparedStatement对象简介 继承自 Statement 接口,由 preparedStatement方法创建。PreparedStatement具有预编译SQL语句能力,所以PreparedStatement 对象比 Statement 对象的效率更高,由于实现了动态的参数绑定,所以可以防止 SQL 注入,所以我们一般都使用 PreparedStatement
JDBC之PreparedStatement的用法
shuo_Java的博客
04-21 1342
JDBC之PreparedStatement的用法
Statement和PreparedStatement的区别及占位符使用方法
lzhNox的博客
07-19 1540
Statement与PreparedStatement的区别及占位符使用
mysql 参数类型为map的用法
热门推荐
自由的刺猬
07-13 1万+
//应用业务场景: 你有一个商品表,每个商品都有可以替代的商品;当你点击一个商品详情的时候,要对应展示该商品所有可替代商品的的列表(个人所遇到的一些情况,特此记录,以备后用~~~) xml文件: 获取可替代商品信息--> id="getReplaceFixture" resultMap="BaseResultMap" parameterType="java.util.Map"> se
使用ResultSetMetaData获取map结果集
天道酬勤
05-26 612
import java.sql.Connection;  import java.sql.PreparedStatement;  import java.sql.ResultSet;  import java.sql.ResultSetMetaData;  import java.sql.SQLException;  import java.util.ArrayList;  im...
Mysql中的Statement、PreparedStatement 和 CallableStatement
nfzhlk的专栏
10-26 2830
首先,官方对于这3个接口定义是这样的: PreparedStatement是用来执行SQL查询语句的API之一,Java提供了 Statement、PreparedStatement 和 CallableStatement三种方式来执行查询语句,其中 Statement 用于通用查询, PreparedStatement 用于执行参数化查询,而 CallableStatement则是用于存储过...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值