预处理 PreparedStatement和JDBC API

最新推荐文章于 2023-11-09 21:45:11 发布
原创 最新推荐文章于 2023-11-09 21:45:11 发布 · 327 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #数据库 #sql

本文详细介绍了JDBC中PreparedStatement的使用方法,包括参数设置、预处理查询与DML操作,以及其在防止SQL注入和提高效率方面的优势。通过实例演示了如何利用PreparedStatement进行管理员登录验证和数据操作。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

本次博客带领大家学习JDBC中的预处理 PreparedStatement 的查询和DML的使用和JDBC API。

预处理 PreparedStatement的基本介绍

  1. PreparedStatement 对象执行的SQL语句中的参数用问号(?)来表示,调用PreparedStatement 对象的 setXXX()方法来设置这些参数,setXXX()方法有两个参数,第一个参数是要设置的SQL语句中的参数的索引(从1开始),第二个是设置的SQL语句中的参数的值。
  2. 调用 executeQuery(),返回 ResultSet对象。
  3. 调用 executeUpdate(),执行更新,包括增、删、修改。

预处理 PreparedStatement的好处

  1. 不再使用 + 拼接sql语句,减少语法错误。
  2. 有效的解决了sql注入问题!
  3. 大大减少了编译次数,效率较高。

预处理查询操作

  • 预处理查询可以有效的解决了sql注入问题。
 public static void main(String[] args) throws IOException, ClassNotFoundException, SQLException {
        Scanner scanner = new Scanner(System.in);
        System.out.println("请输入管理员的名字:");
        String admin_name =scanner.nextLine();
        System.out.println("请输入管理员的密码");
        String admin_pwd=scanner.nextLine();
        Properties properties = new Properties();
        properties.load(new FileInputStream("src\\mysql.properites"));
        String user = properties.getProperty("user");
        String password = properties.getProperty("password");
        String driver = properties.getProperty("driver");
        String url = properties.getProperty("url");
        Class.forName(driver);
        Connection connection = DriverManager.getConnection(url, user, password);

        // 得到PrepareStatement
        //组织SQL,sql 语句的? 就相当于占位符
        String sql = "select name,pwd from admin where name =? and pwd =?";
        PreparedStatement preparedStatement = connection.prepareStatement(sql);
        // 给?赋值
        preparedStatement.setString(1,admin_name);
        preparedStatement.setString(2,admin_pwd);

        ResultSet resultSet = preparedStatement.executeQuery();
        if(resultSet.next()){
            System.out.println("恭喜登录成功!");
        }else{
            System.out.println("对不起,登陆失败");
        }
        resultSet.close();
        preparedStatement.close();
        connection.close();
    }

预处理的DML操作

public static void main(String[] args) throws IOException, ClassNotFoundException, SQLException {
        Scanner scanner = new Scanner(System.in);
        System.out.println("请输入添加的名字");
        String admin_name =scanner.nextLine();
        System.out.println("请输入添加的密码");
        String admin_pwd=scanner.nextLine();
        Properties properties = new Properties();
        properties.load(new FileInputStream("src\\mysql.properites"));
        String user = properties.getProperty("user");
        String password = properties.getProperty("password");
        String driver = properties.getProperty("driver");
        String url = properties.getProperty("url");
        Class.forName(driver);
        Connection connection = DriverManager.getConnection(url, user, password);

        // 得到PrepareStatement
        //组织SQL,sql 语句的? 就相当于占位符
        //添加记录
        String sql = "insert into admin VALUES(?,?)";
        //修改记录
        String sql = "UPDATE admin set pwd=? where name=?";
        //删除记录
        String sql = "DELETE from admin where name = ?";
        PreparedStatement preparedStatement = connection.prepareStatement(sql);
        // 给?赋值
        preparedStatement.setString(1,admin_name);

        int row = preparedStatement.executeUpdate();
        if(row > 0){
            System.out.println("修改成功!");
        }else{
            System.out.println("修改失败!");
        }
        preparedStatement.close();
        connection.close();
    }

JDBC API

请添加图片描述

数据库技术四:JDBC预处理对象,JDBC事务控制
bier_zm的博客
08-24 936
JDBC概述 什么是JDBC JDBC (Java Data Base Connectivity) 是 Java 访问数据库的标准规范。是一种用于执行 SQL 语句的 Java API,可以为多种关系数据库提供统一访问,它由一组用 Java 语言编写的类接口组成。是 Java 访问数据库的标准规范。 JDBC原理 JDBC 是接口,驱动是接口的实现,没有驱动将无法完成数据库连接,从而不能操作数据库。每个数据库厂商都需要提供自己的驱动,用来连接自己公司的数据库,也就是说驱动一般都由数据库
Java学习日志(三十三): JDBC预处理对象,连接池C3P0
12-14
本篇日志主要探讨了两个重要的概念:预处理对象(PreparedStatement连接池(Connection Pool),特别是C3P0作为连接池的实现。下面我们将深入讲解这两个主题。 **JDBC预处理对象(PreparedStatement)** ...
JDBC接口———PreparedStatement预处理
weixin_42472048的博客
09-24 961
PreparedStatement * 它是Statement接口的子接口; * 强大之处: - 防SQL攻击; - 提高代码的可读性、可维护性; - 提高效率! * 学习PreparedStatement的用法: - 给出SQL模板! - 调用Connection的PreparedState...
JDBC 预处理PreparedStatement
m0_71917549的博客
09-27 193
【代码】JDBC 预处理PreparedStatement
PreparedStatement预处理的原理
weixin_46245201的博客
02-13 257
PreparedStatement预处理的原理
java 预处理语句_预处理语句PreparedStatement到底咋用啊
weixin_39622655的博客
02-16 263
该楼层疑似违规已被系统折叠隐藏此楼查看此楼我自己试了一下直接查询id为1的语句,有一条结果出来,但是用了PreparedStatement后就没有结果了,有大佬知道为什么吗orzpackage test;import java.io.IOException;import java.io.PrintWriter;import java.sql.*;import javax.servlet.Serv...
jdbcPreparedStatement预处理对象、连接池详解
m0_48811221的博客
03-01 1058
jdbc 概念 操作数据库有三种方式 cmd 操作 工具操作(sqlYog ,navicate ) 通过java的方式操作 数据库 jdbc :java中用来操作数据库的 一种技术 Java DataBase Connectivity (java数据库连接) JDBC由来 jdbc的含义 :接口概念 1.jdbc的接口中api是什么 2.导入驱动jar包 jdbc快速入门 1.数据库 CREATE DATABASE day06; USE day06; CREATE TABLE `user
JDBC预处理语句:了解使用PreparedStatement
Java中,JDBCJava Database Connectivity)是一种用于执行SQL语句的Java API,它提供了与多种数据库进行连接、查询更新的方法。通过JDBC,开发人员可以使用统一的接口来访问不同类型的数据库。 ## 1.2 预处理...
Oracle JDBC API
05-18
数据挖掘通常包括预处理、模式发现、评估模型应用等步骤,对于业务智能预测分析的应用非常关键。 2. ojdbc5.jar:这是Oracle JDBC Thin Driver的版本,同样适用于Java 5。它是轻量级的纯Java驱动,不需要任何...
JDBC中的预处理语句存储过程的使用
Java数据库连接(JDBC)是一种用于执行SQL语句的Java API,可以通过JDBC与各种数据库进行通信交互。它提供了一种用于查询更新数据库的标准方法,为开发人员提供了一种编写数据库应用程序的便捷方式。 ## 1.2 ...
jdbc预处理对象 - PreparedStatement
XiaoJian的博客
09-19 1943
SQL注入问题: 用户 输入的内容作为了SQL语句语法的一部分,改变了原有SQL真正的意义。 当用户输入密码为: or 1=1 时 , 用户名密码是什么已经不重要了 , 因为1=1相当于是true , OR关系有一个条件满足 , 用户就会永远登录成功了 . 例: SELECT * FROM users WHERE username=‘a’ AND PASSWORD=‘2’ OR 1=1;...
访问数据库使使用PreparedStatement预处理
cleverlzc的专栏
12-13 1062
该篇文章还是以简单为主: 1.首先直观的附上例子:          string sql = "select * from people p where p.id = ? and p.name = ?";   preparedstatement ps = connection.preparestatement(sql);   ps.setint(1,id);   ps.s
3.0 PreparedStatement
GabrielCP的博客
05-01 323
当使用statement , 假设有登录案例SQL语句如下: SELECT * FROM 用户表 WHERE NAME = 用户输入的用户名 AND PASSWORD = 用户输的密码; 此时,当用户输入正确的账号与密码后,查询到了信息则让用户登录。 但是当用户输入的账号为XXX 密码为:XXX’ OR ‘a’=’a时,则真正执行的代码变为: SELECT * FROM 用户表 WHERE NA...
JDBC预处理查询 PreparedStatement
Thumb_的博客
02-24 1121
package com.hspedu.jdbc.preparedStatement_; import java.io.FileInputStream; import java.sql.*; import java.util.Properties; import java.util.Scanner; public class PreparedStatement_ { public static void main(String[] args) throws Exception { .
原⽣jdbc预处理对象PreparedStatment 5
消极的人永远是对的,积极的人选择勇往直前
08-02 278
PreparedStatement SQL注⼊问题 SQL注⼊:⽤户输⼊的内容作为了SQL语句语法的⼀部分,改变了原有SQL真正的意义。假设有登录案例SQL语句如下: SELECT * FROM ⽤户表 WHERE NAME = ⽤户输⼊的⽤户名 AND PASSWORD = ⽤户输的密码; 此时,当⽤户输⼊正确的账号与密码后,查询到了信息则让⽤户登录。但是当⽤户输⼊的账号为XXX 密码为: XXX’ OR ‘1=1 时,则真正执⾏的代码变为: select * from users wher
Jdbc预处理
仓爸爸java成长过程中的分享
07-13 3399
大家都知道,JavaJDBC中,有个预处理功能,这个功能一大优势就是能提高执行速度尤其是多次操作数据库的情况,再一个优势就是预防SQL注入,严格的说,应该是预防绝大多数的SQL注入。 用法就是如下边所示: [java]view plaincopy Stringsql="updatecz_zj_directpaymentdp"+ "setdp.proj
jdbc预处理
Susir001的博客
11-09 145
JDBCJavaDatabaseConnectivity) Java 连接数据库的规范(标准),可以使用 Java 语言连接数据库完成 CRUD 操作。目前使用JDBC完成了CRUD,但是现在是进行CRUD,增删改方法要设计很多参数,查询的方法需要设计集合才能返回.在实际开发中,我们需要将零散的数据封装到对象处理.ORM (Object Relational Mapping) 对象关系映射是指数据库表与Java的实体类有关系,可以进行映射数据库表 --> Java的类。
需要预处理JDBC
tao0801的博客
02-23 337
public static void main(String[] args) {     Connection conn = null;// 特定的数据库链接对象     try {       // 通过DriverManager与Connection的连接       conn = DriverManager.getConnection(       "jdbc:oracle:thin:@lo...
jdbc预处理 查询 预处理DML jdbc常用API汇总
LuckyJerry66的博客
08-21 675
1 jdbc 预处理 PreparedStatement 预处理 1 PreparedStatement 执行的SQL语句中的参数用问号(?)来表示,调用PreparedStatement 对象的setXxx()方法来设置这些参数 . setXxx()方法有两个参数,第一个参数是要设置的SQL语句中的参数的索引(从1开始) ,第二个是设置的SQL语句中的参数的值 2 调用 excuteQuery() ,返回ResultSet 对象 3 调用 excuteUpdate() : 执行更新 ,包括增,删,修改.
jdbc 插入 非预处理
最新发布
12-19
JDBCJava Database Connectivity)是一种用于存取数据库的标准API,它允许Java应用程序与各种类型的数据库交互。非预处理语句是指在SQL查询中直接拼接字符串形式的数据,这种方式存在安全性问题,因为如果数据来自用户输入,可能会导致SQL注入攻击。 插入操作在非预处理模式下通常是这样的: ```java Connection conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/mydb", "username", "password"); String sql = "INSERT INTO table_name (column1, column2) VALUES (?, ?)"; PreparedStatement statement = null; try { statement = conn.prepareStatement(sql); statement.setString(1, userInput1); statement.setInt(2, userInput2); // 假设这里输入的是整数 int rowsInserted = statement.executeUpdate(); if (rowsInserted > 0) { System.out.println("Data inserted successfully."); } else { System.out.println("Failed to insert data."); } } catch (SQLException e) { e.printStackTrace(); } finally { try { if (statement != null) statement.close(); if (conn != null) conn.close(); } catch (SQLException ex) { ex.printStackTrace(); } } ``` 在这个例子中,我们没有使用`?`占位符,而是直接将值插入到SQL字符串中,这降低了程序的安全性维护性。相比之下,使用预处理语句更为推荐: ```java // 使用预处理语句 String sql = "INSERT INTO table_name (column1, column2) VALUES (?, ?)"; PreparedStatement preparedStatement = conn.prepareStatement(sql); preparedStatement.setString(1, userInput1); preparedStatement.setInt(2, userInput2); int rowsInserted = preparedStatement.executeUpdate(); ... ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值