PreparedStatement 和Statement用法区别,加和不加转义字符

最新推荐文章于 2025-06-30 18:15:59 发布
最新推荐文章于 2025-06-30 18:15:59 发布
阅读量1.3k 收藏
点赞数
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/hlxstc_xly/article/details/39211675
本文通过一个具体的更新操作案例,详细对比了PreparedStatement与Statement在Java中使用的不同之处,特别是在参数处理和SQL注入防护方面的差异。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

PreparedStatement 和Statement用法区别:

String hidden = request.getParameter("action");

if(hidden != null && hidden.trim().equals("post")) {
String userId = request.getParameter("userId") ;
String userName = request.getParameter("userName") ;
String password = request.getParameter("password");
String contactTel = request.getParameter("contactTel") ;
String email = request.getParameter("email");
Connection conn = DB.getConnect();
String sql = "update t_user set user_name = ?, password = ?, contact_tel = ?, email = ? where user_id = ? ";
PreparedStatement preStat = DB.getPreStat(conn, sql);
preStat.setString(1, userName);
preStat.setString(2, password);
preStat.setString(3, contactTel);
preStat.setString(4, email);
preStat.setString(5, userId);
preStat.close();
conn.close();

}


以上是PreparedStatement的用法,如果是Statement的话

String userId = "\"" + request.getParameter("userId") + "\"" ;   //需要转义字符,使得变量传递给sql语句的值带有双引号
String userName ="\"" +  request.getParameter("userName")  + "\"";

String sql = "update t_user set user_name = " + userName + " where user_id =  " + userId ;


为什么使用PreparedStatementStatement
m0_46552684的博客
06-26 1079
SQL注入是一种网络安全攻击技术,其原理在于利用web应用程序对用户输入数据的合法性判断或过滤严的漏洞,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添额外的SQL语句,从而欺骗数据库服务器执行非授权的任意查询,进而获取或篡改数据库中的敏感信息。在安全性、性能、代码可读性、数据类型自动转换、支持批量操作以及资源管理等方面都优于。通过以上措施,可以大大降低Web应用程序遭受SQL注入攻击的风险。,因此在开发中推荐使用。
PreparedStatementStatement区别,以及为什么推荐使用 PreparedStatement
程序员学习园地。
06-27 577
在Java中,Statement都是用于执行SQL语句的重要接口,但它们在功能、安全性性能上有着显著的差异。理解这些差异对于编写高效且安全的数据库应用程序至关重要。
PreparedStatement
06-09
jdbc2.0版 PreparedStatement接口的用法
PreparedStatement详解
最新发布
echo_123qq的博客
06-30 1011
PreparedStatement 是 JDBC 中用于执行预编译 SQL 语句的接口,它继承自 Statement 接口,提供了更安全、更高效的 SQL 执行方式。
preparedStatement
遨游奋飞
04-16 368
问题1: 在用JDBC的PreparedStatement类时,使用insert插入数据到数据表中,sql语句在执行preparedStatement.executeUpdate()方法后,成功返回了操作行数,表明程序没有问题,但就是在数据库中看到插入的数据。 这个问题的原因在于,设置了 connection.setAutoCommit(false),使得preparedStatement的...
Java PreparedStatementStatement区别与SQL注入防范
在MySQL数据库的实现中,PreparedStatement的`setString()`方法会处理单引号等特殊字符,确保它们被适当地转义,以防止它们被解释为SQL语法的一部分。这表明数据库驱动在内部对用户输入进行了处理,以增强安全性。 ...
PreparedStatementStatement的主要区别是什么?
03-19
嗯,用户想了解Java中PreparedStatementStatement的主要区别用法比较。我需要先回忆一下相关的知识,然后结合提供的引用资料来组织回答。首先,PreparedStatement是继承自Statement的,所以它们之间应该有共同的...
16.PreparedStatementStatement区别
04-04
嗯,用户问的是PreparedStatementStatement区别,这个问题在数据库编程里挺常见的。首先得理清楚它们的基本概念,然后分点说明区别。可能用户正在学习JDBC或者数据库操作,想了解为什么推荐使用...
PreparedStatementStatement
03-22
NULL 博文链接:https://stevenjohn.iteye.com/blog/968877
JDBC中PreparedStatement
一个很懒的人
01-28 350
1.SQL注入问题 1.什么是SQL注入问题? 用户输入的数据中有SQL关键字或语法并且参与了SQL语句的编译,导致SQL语句编译后的条件含义为true,一直得到正确的结果。这种现象称为SQL注入。 2.如何避免SQL注入 由于编写的SQL语句是在用户输入数据,整合后再进行编译。所以为了避免SQL注入的问题,我们要使SQL语句在用户输入数据前就已进行编译成完整的SQL语句,再进行填充数据。 2.PreparedStatement PreparedStatement继承了Statement接口,执行SQ.
知识点——PreparedStatement
weixin_43527766的博客
03-24 341
PreparedStatement是java.sql下的api,相比Statement(通用查询),CallableStatement(存储过程查询),PreparedStatement适用于参数化查询过绝大部分的时候,PreparedStatement可以代替Statement,有以下好处: 1.处理参数(日期转换之类)更方便 2.执行更快捷,如名字所言,它是预编译的 3.更安全,能防止...
JDBC中StatementPreparedStatement的择弃
分享,卓越
07-20 1511
PreparedStatement是用来执行SQL查询语句的API之一,Java提供了 StatementPreparedStatement  CallableStatement三种方式来执行查询语句,其中 Statement 用于通用查询, PreparedStatement 用于执行参数化查询,而 CallableStatement则是用于存储过程。同时PreparedStatement
PreparedStatement(防止SQL注入)
abc98526的博客
03-09 349
PreparedStatement PreparedStatement是防止Sql注入的类 本质:把传递进来的参数当作字符进行转义! package com.text; import java.sql.*; public class test72 { public static void main(String[] args) throws ClassNotFoundException, SQLException { //1.载驱动 Class.fo
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值