后台请求数据时候用占位符写sql语句

最新推荐文章于 2025-02-21 14:54:03 发布
最新推荐文章于 2025-02-21 14:54:03 发布
阅读量365 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_44804494/article/details/103664306

后台请求数据时候用占位符写sql语句

这里用案例说明

@Override
public ArrayList<Guider_table> queryGuiderAll2(Map<String, Object> map) {
	ArrayList<Guider_table> list=new ArrayList<Guider_table>();
	Connection conn=DBUtil.getConn();
	PreparedStatement ps=null;
	ResultSet rs=null;
	try {
		//定义sql语句
		StringBuffer sql = new StringBuffer();
		sql.append("select * from guider_table where 1=1");
		//判断是否有条件查询遍历数据
		if(!map.get("content").equals("")){
			sql.append(" and g_name like ? or id = ? or g_phone = ? ");
		}			
		sql.append(" limit ?,?");
		ps =conn.prepareStatement(sql.toString());		
		ps.setInt(1,Integer.parseInt(map.get("star")+""));
		ps.setInt(2,Integer.parseInt(map.get("size")+""));
		
		//判断是否有条件查询遍历数据
		if(!map.get("content").equals("")){		
			ps.setString(1,"%"+map.get("content")+"%");
			for (int i = 2; i <4; i++) {
				ps.setString(i,map.get("content")+"");
			}
			ps.setInt(4,Integer.parseInt(map.get("star")+""));
			ps.setInt(5,Integer.parseInt(map.get("size")+""));
			
		}

	/*  //获取参数 map中不为空的键
		Set<String> nam_space = map.keySet();	
		for (String str : nam_space) {
			if(str!=null && !("").equals(str)){
				if("content".equals(str)){
					sql.append("or g_name like ? ");
				}else if("content".equals(str)){
					sql.append("or id = ? ");
				}else if("content".equals(str)){
					sql.append("or g_phone = ? ");
				}
			}
		}	
		//给问号 赋值
		int i=1;
		for (String str : nam_space) {
			//取键对应的值 
				Object knames = map.get(str);
				if(knames!=null && !("").equals(knames)){
					ps.setObject(i,knames);
					i++;
				}
			}*/				
		rs=ps.executeQuery();
		while(rs.next()&&rs!=null){
			Guider_table guider=new Guider_table(
					rs.getInt("id"),
					rs.getString("g_name"), 
					rs.getString("g_sex"), 
					rs.getInt("g_age"),
					rs.getString("g_phone"),
					rs.getString("g_header"), 
					rs.getDouble("g_grade"), 
					rs.getString("g_introduce"),
					rs.getInt("g_status"));
			list.add(guider);	
		}				
	} catch (Exception e) {
		e.printStackTrace();
	}finally {
		DBUtil.dbClose(rs, ps, conn);
	}	
	return list;
}
java中http请求外部接口的时候传递sql语句过程记录
Miracle.Zhao的博客
09-29 2868
第一次做这种对接外部(第三方)接口的开发。记录一下: 介于保密的原因,外部接口就不公开了。我的需求是根据第三方提供的接口,查询数据。但是我的请求是包含了sql语句的。类似于下面这样的URL: http://X.X.X.X/tb/re?select * from table where name='zhangsan' ?前面的是他们提供的接口。后面是我传的sql语句,当然还需要你的用户名密码或...
Python攻城师的成长————python操作MySQLSQL语句补充
fonnt的博客
05-09 268
今日学习目标 熟悉掌握python操作MySQL 文章目录今日学习目标学习内容一、python操作MySQL安装pymysql基本使用conn.cursor():获取游标补充二、SQL注入问题二次确认三、修改表SQL语句补充1.修改表的名字 rename2.添加字段 add3.修改字段 change(名字类型都可)/modify(只能改类型不能改名字)4.删除字段 drop四、视图、触发器、存储过程视图触发器存储过程五、事务事务的概念事务的作用事务的四大特性(重点)具体使用六、流程控
dbhelper java 占位符_DBExecutor
weixin_33255691的博客
02-25 123
DBExecutor主要的功能1.使用了读锁,支持多线程操作数据。2.支持事务3.支持ORM4.缓存Sql,缓存表结构这个类库主要用于android 数据库操作。始终围绕着一个类对应一个表的概念。只要创建一个实体类,就不用当心它怎么存储在数据库中,不用重新增删改查的代码。基本的功能已经帮你实现好了。增删改查数据只要一句搞定boolean isSuccess = db.insert(person...
前端Ajax传参,后台接收参数的几种方式
whyrookie的博客
04-13 3857
相关说明 格式说明: 1.参数名; 2.参数类型; 3.参数说明,默认值,可选值; url String (默认: 当前页地址) 发送请求的地址。 type String (默认: "GET") 请求方式 ("POST" 或 "GET"), 默认为 "GET"。 注意:其它 HTTP 请求方法,如 PUT 和 DELETE 也可以使用,但仅部分浏览器支持。 timeout N...
Oracle的动态SQL
NowOrNever
10-05 1万+
原文:http://space.itpub.net/26622598/viewspace-718134 在PLSQL中使用EXECUTE IMMEDIATE语句处理动态SQL语句。 语法如下: EXECUTE IMMEDIATE dynamic_string [INTO {define_variable[, define_variable]... | record}] [USING [I
sql语句中编占位符的方法
MrLi_IT的博客
07-30 3131
在平常的sql语句的过程中肯定会用到占位符来进行数据的传递的,在xml中,我们可以使用“#{}”,或者“${}”来进行占位符操作,这些大家应该都是知道的,而使用#{}是可以防止sql注入的,在编译的时候,#{}会被转换为?,而${}是直接将数据替换,所以#{}是比较安全的 但是在最近工作中,我用到hibernate的dao层时,发现,还有一种法是在拼接sq...
C#sql语句如何使用占位符
weixin_30446613的博客
07-28 444
背景:在程序中,sql语句时,可能要根据变量的值不同,SQL语句产生相应的变化。比如说存在变量StuName,根据变量值的不同,检索不同姓名的学生记录,这时需用到占位符的知识。 1,{0}占位符,代码如下: 1 string sql=@"select top 1 * from Student where StuName='{0}'"; 2 ...
数据库课程设计-基于的周易预测网站的建表语句.sql
10-07
11. 由于标题中存在一处占位符“基于的”,这可能是信息提供者疏忽导致的错误,实际标题应完整明确,例如“数据库课程设计-基于周易理论的预测网站建表语句.sql”。 12. 文件类型“.sql”指的是该文件是一个结构化...
Unity SQLite本地数据库 添加数据,删除数据,上传数据后台功能项目,亲测好用!
02-16
这里,`@id`是参数化查询的占位符,避免了SQL注入风险。 6. **更新数据**: 更新用户信息时,使用`UPDATE`语句: ```csharp string updateUser = "UPDATE Users SET Password = @newPassword WHERE Username = ...
安全测试|常见SQL注入攻击方式、实例及预防
m0_60889254的博客
02-21 916
SQL注入是一种将SQL代码添加到输入参数中,传递到服务器解析并执行的一种攻击手法。SQL注入攻击是输入参数未经过滤,然后直接拼接到SQL语句当中解析,执行达到预想之外的一种行为,称之为SQL注入攻击。
sql占位符的使用
欢迎访问,Viola的博客!
07-16 1万+
1.增加SQL代码可读性2.占位符可以预先编译,提高执行效率3.防止SQL注入4用占位符的目的是绑定变量,这样可以减少数据SQL的硬解析,所以执行效率会提高不少 绑定变量是Oracle解决硬解析的首要利器,能解决OLTP系统中library cache的过度耗用以提高性能绑定变量是Oracle解决硬解析的首要利器,能解决OLTP系统中library cache的过度耗用以提高性能。然刀子磨的太快,...
sql语句中的#{}占位符和${}占位符
JavaClub
06-09 9203
#方式能够很大程度防止sql注入;$方式无法防止Sql注入。
占位符式的查询
专栏
07-15 2233
占位符式的查询 ( 就是采用 ? 替换查询语句中的变量 ) 是在采用 sql 的情况下经常使用的一种查询方式,也是查询时推荐使用的一种方式。 Hibernate 中的查询参数主要有两种类型:值类型和实体类型,值类型就是指一个切实的值 ( 如 String 、 int 、 List 这些 ) ,实体类型就是一个具体的实体,如编的 User 、 Organization 等,值类型的查询和普通 sq
SQL占位符?的用法介绍~
热门推荐
程序人生~
11-14 3万+
Sql语句中的占位符?有什么作用 String sql = "SELECT userid,name FROM tuser WHERE userid=? AND password=?" ; pstmt = conn.prepareStatement(sql) ; pstmt.setString(1,userid) ; // 这里设置了第一个?的值 pstmt.setString(2,pas...
sql占位符的作用
woshiliulei0的专栏
03-07 8114
这两天在上课时被同学拿了一段代码问我,这段代码有什么问题,我看了一会说:Connection和PreparedStatement都没关。他说不止这方面的问题,还有sql注入的问题,我就坚决的说使用了占位符不存在sql注入的问题,但是他提出了一种情况,在我看来也很有道理的情况。 [java] view plain copy pstmt = conn
Springboot JPA 执行原生sql ,自定义SQL占位符增加参数
专注于后端开发,时常接触大数据 、人工智能等
11-14 4791
 JPA   实际上就是  Hibernate  的封装,根据Interface 方法名,生成对应的方法,也支持Query注解的方式。现在说说执行原生  SQL  。 1、注解@Query方式执行原生SQL语句:   @Query(value="select user.id from user where user.id =15", nativeQuery = true) public...
后台交互中特殊字符的处理
此情可待成追忆的博客
05-15 9791
一、特殊字符需要做处理1. 单引号    后台返回的json中包含单引号,可能会引起前端页面js报错,可以在前端对单引号进行转义,或者在后台进行转义,再生成json返回到前端。    后台根据前端传递的数据拼接sql时,单引号会导致sql语句报错,且不推荐直接使用字符串进行sql拼接,可以使用JDBC中的类,通过占位符传递参数,防止sql注入。    如果sql中有单引号导致sql语句报错,可以将...
Oracle 数据库基础SQL语句
qq_44804494的博客
01-09 400
Oracle 数据库基础SQL语句
sql注入sleep语句
最新发布
03-17
- **预编译语句**:采用占位符代替手动拼接字符串的方式构建最终要被执行的实际SQL文本减少人为失误来的风险因素影响程度降到最低限度之内 - **最小权限原则**:合理分配账户角色职能划分清楚各自的职责边界避免...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值