JDBC | 3 - PreparedStatement |

最新推荐文章于 2023-01-31 20:57:38 发布
最新推荐文章于 2023-01-31 20:57:38 发布
阅读量150 收藏
点赞数
分类专栏: JDBC
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_36409509/article/details/78754834
版权

Statement 的执行模式采用拼凑字符串的形式,不适合处理一些敏感性字符。

PreparedStatement 执行的是一个完整的具备特殊占位标记的 SQL 语句,并且可以动态地设置所需要的数据。

使用 PreparedStatement 的优点

代码拥有更好的可读性和可维护性。

尽可能提升性能。用Statement对象时,每次执行一个 SQL 命令,都会对它进行解析编译。而使用 PreparedStatement 时,数据库会对 SQL 语句进行预编译,下次执行相同的 SQL 语句时,数据库端不会再进行预编译了,而直接用数据库的缓冲区,提高数据访问的效率

极大地提高了安全性。传递给 PreparedStatement 对象的参数可以被强制进行类型转换,使开发人员可以确保在插入或查询数据时与底层的数据库格式匹配。从安全性上来看, PreparedStatement 是通过 ? 来传递参数的,避免了拼 sql 而出现 sql 注入的问题,所以安全性较好。

import java.sql.*;

public class Main {
    private static final String DBDRIVER = "com.mysql.jdbc.Driver";
    private static final String DBURL = "jdbc:mysql://localhost:3306/TEACH?characterEncoding=utf-8&useSSL=true";
    private static final String DBUSER = "root";
    private static final String DBPASSWORD = "newpass";
    public static void main(String[] args) throws Exception{
        // 加载数据库驱动程序
        Class.forName(DBDRIVER);

        // 连接数据库
        Connection connection = DriverManager.getConnection(DBURL,DBUSER,DBPASSWORD);
        System.out.println(connection);

        String sql = "INSERT into ELECTIVE VALUES (?,?,?)";
        PreparedStatement preparedStatement = connection.prepareStatement(sql);
        preparedStatement.setString(1,"100");
        preparedStatement.setString(2,"D");
        preparedStatement.setString(3,"99");
        preparedStatement.executeUpdate();

        String sql2 = "SELECT SNO,CNO,SCORE FROM ELECTIVE";
        PreparedStatement preparedStatement1 = connection.prepareStatement(sql2);
        ResultSet resultSet = preparedStatement1.executeQuery();
        while (resultSet.next()){
            String SNO = resultSet.getString("SNO");
            String CNO = resultSet.getString("CNO");
            String SCORE = resultSet.getString("SCORE");
            System.out.println(SNO + " " + CNO + " " + SCORE);
        }
        // 关闭连接
        connection.close();
    }
}
preparedstatement对象的setstring方法_设计模式 —— 模版方法(Template Method)模式...
weixin_39917211的博客
12-16 683
写在前面设计模式贯穿软件开发整个过程,虽然看了很多相关的文章和书籍,但是理解和使用感觉都差点儿意思。所以借再看设计模式——《漫谈设计模式,从面向对象开始》,梳理其中精髓的设计思想。为什么需要设计模式?变化是永恒的无论你处于多大的团队,团队采用什么样的开发模式,你总是能听到这样的一句话:The Only Thing In The World That Doesn't Change Is C...
使用JDBC操作数据库-----PreparedStatement对象
qq_48788523的博客
02-03 698
JDBC-----PreparedStatement对象的使用,难易程度**
PreparedStatement 中的setString
ElectronStorm的专栏
09-25 3398
如果使用了setString(),则会自动为你的变量添加单引号 比如: String str="nowdate"; ...setString(1,str); 这样在生成的SQL中,str会变为:' nowdate ',而不是 nowdate。 如果是模乎查询的话,比如: String str="haha"; 在SQL中: ........ like '%?%'..... s
PreparedStatement.setString() PreparedStatement.setCharacterStream()
weixin_30596165的博客
03-13 953
  mysql数据导入oracle数据过程中,使用的PreparedStatement,当setString时,由于byte过大,导致发生错误:java.lang.sql:超出了该类型最大值   BD之:     1】PreparedStatement 会将string转化为byte,而oracle varchar2类型支持的最大字节数为4000   继续BD:     1】当数...
PreparedStatement中setString用法
weixin_43971862的博客
10-09 8490
源码中:void setString(int parameterIndex, String x) throws SQLException; 实际开发中,conn = DriverManager.getConnection(url, userName, password);//自己链接数据库 PreparedStatement pstmtInsert = conn.prepareStatement(“INSERT INTO student VALUES(?, ?, ?, ?)”); // 创建语句,里面的参数
hive-jdbc-1.1.0-cdh5.12.1 连接库 jar包
08-01
3. 使用`Class.forName()`加载Hive JDBC驱动。 4. 使用`DriverManager.getConnection()`方法建立与Hive服务器的连接。 5. 获取`Statement`对象,执行SQL语句。 6. 处理查询结果,关闭连接。 Hive JDBC还支持多种...
JDBC--利用preparedstatement实现select查询
weixin_45063957的博客
05-22 1779
查询的方法实现--对确定的表 public static void selectdemo() throws Exception { //1、获取连接 Connection conn = connection(); //2、预编译sql语句 String sql = "select id,name,email,birth from customers where id = ?"; PreparedStatement pre
JDBC-example-in-Java:JDBC应用程序
06-20
3. **创建Statement或PreparedStatement**:一旦有了数据库连接,就可以创建一个Statement对象来执行SQL查询,或者创建PreparedStatement对象来执行预编译的SQL语句。PreparedStatement对于防止SQL注入更安全,也更...
jdbc.rar_jdbc_jdbc-odbc
09-23
3. **创建Statement或PreparedStatement对象**:根据需求选择创建哪种对象。 4. **执行SQL**:调用Statement或PreparedStatement对象的`executeQuery()`或`executeUpdate()`方法。 5. **处理结果**:对于查询语句,...
JavaEE--prepareStatement后面的setString()方法是为何?
热门推荐
山顶雨人
04-15 1万+
prepareStatement执行sql代码进行username和password验证后,还要把两者通过setString()再插入下。 [pstmt = ct.prepareStatement("sql");pstmt.setString(1,name);ResultSet rs = pstmt.executeQuery();]
preparedstatement对象的setstring方法_上线项目:java服务器内存爆满导致宕机-实操方法...
weixin_39602976的博客
12-02 441
java服务器在线上运行了一段时间后,服务器响应缓慢排查。命令:toptop命令截图通过top命令分析:进程编号'17195'占用内存达到5.2g,但是此进程使用cpu却很少,说明不是进程内存死循环造成的内存开销很大,而是由进程内部资源没有释放掉。(死循环同表示是cpu和内存都高)命令:jmap -histo:live 17195 >a.log通过jmap获得内存对象列表中,我们可以看见大量...
PreparedStatement的setString与setObject关于传入为null值时替换
zhangbeizhen18的博客
03-21 1万+
报错信息:org.springframework.jdbc.UncategorizedSQLException: PreparedStatementCallback; uncategorized SQLException for SQL [ INSERT INTO M_OP (ID,AG,FLAG) VALUES(?,?,?)]; .....Incorrect decimal value: 'nu...
PreparedStatement的setString()长度
绿色天空
05-18 966
前段时间在做一登录模块时,遇到一个文本输入的问题。即,文本的最大值为40000,varchar2类型的,当输入的内容为40000时,却报错。后来查看一下才知道是oracle问题。 参考资料如下: 一、异常情况: 有了一定Java编程经验之后,一般都使用PreparedStatement代替Statement。 但实际开发中对数据库进行操作时,字段遇到大数据并且该字段为非BL...
使用PreparedStatement的setString方法会自动在数据库相应表项后面补空格解决办法
evilcry2012的专栏
11-14 8208
使用PreparedStatement的setString方法会自动在数据库相应表项后面补空格解决办法 原创 2013年10月03日 19:20:27 标签:数据库 /sql /java /Preparedment /产生空格 1910 数据库表的数据项如果设置为char、verchar类型,使用PreparedStatement向表中插入字符串
JDBCPreparedStatement接口
cccccccmmm的博客
08-19 1606
继承自 Statement 接口,由 preparedStatement方法创建。PreparedStatement具有预编译SQL语句能力,所以PreparedStatement 对象比 Statement 对象的效率更高,由于实现了动态的参数绑定,所以可以防止 SQL 注入,所以我们一般都使用 PreparedStatementPreparedStatement执行sql语句的编写顺序:1、获取Connection对象2、编写sql语句。
preparedStatement的使用
zyp_zl的博客
12-09 994
快速使用preparedStatement
JDBC查询中PreparedStatement的setString方法中\的影响
Beyourselfsun的博客
01-12 208
JDBC查询中PreparedStatement的setString方法中\的影响
JDBC用PrepareStatement解决SQL注入
qq_46534049的博客
01-31 2509
setXxx()方法有两个参数,第一个参数是要设置的SQL语句中的参数的索引(从1开始),第二个是设置的SQL语句中的参数的值。SQL注入(SQL injection)是因为应用程序在执行SQL语句的时候没有正确的处理用户输入字符串,将用户输入的恶意字符串拼接到了SQL语句中执行,从而导致了SQL注入。这个代码中1=1永远都是对的,#后面的成了注释,所以这条语句会将表中所有的数据查询出来,然后再做数据判断的时候,就会得到正确结果,从而说用户名和密码正确,登录成功。这是查询一条数据的运行结果。
按以下要求设计程序,完成对数据表users的查询操作,已知表记录如下。 mysql> select * from users; +----+--------+----------+-----------------+------------+ | id | name | password | email | birthday | +----+--------+----------+-----------------+------------+ | 1 | zhangs | 123456 | zs@sina.com | 1980-12-04 | | 2 | lisi | 123456 | lisi@sina.com | 1981-12-04 | | 3 | wangwu | 123456 | wangwu@sina.com | 1979-12-04 | +----+--------+----------+-----------------+------------+ (1)使用DBCP数据库连接池的BasicDataSource类直接创建数据源对象,类名为DBCPUtils。 (2)创建QueryState类,完成查询操作id=1,并返回对象。
最新发布
06-12
3. 创建User类 ```java import java.util.Date; public class User { private int id; private String name; private String password; private String email; private Date birthday; // 省略getter和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值