PreparedStatement like 的用法

最新推荐文章于 2021-02-17 17:17:54 发布

最新推荐文章于 2021-02-17 17:17:54 发布 · 498 阅读

文章标签：

#SQL

本文介绍如何正确使用PreparedStatement防止SQL注入攻击，展示了错误的参数拼接方式可能导致的问题，并给出正确的做法。

String expr = "select * from table where url like ?";
pstmt = con.prepareStatement(expr);
String a="a";
pstmt.setString(1, "%"+a+"%");
pstmt.execute();

这样写 PreparedStatement 会默认生成sql语句： select * from table where url like '%http%'

不要这样写

String expr = "select * from table where url like %?%";

也不要这样写

pstmt = con.prepareStatement(expr);
String a="%a%";
pstmt.setString(1, a);
pstmt.execute();

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

ritcher

关注关注

1
点赞
踩
1

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

PreparedStatement，分页查询

qq_45939736的博客

09-01

850

PreparedStatement，分页查询

Java学习教程，从入门到精通，JDBC LIKE 子句语法知识点及案例代码（108）

最新发布

qq_45746668的博客

02-01

397

使用JDBC应用程序创建新数据库需要执行以下步骤- 导入包:要求您包含包含数据库编程所需的JDBC类的软件包。通常，使用 import java.sql.* 就足够了。注册 JDBC 驱动程序: 要求您初始化驱动程序，以便您可以打开与数据库的通信通道。建立连接:需要使用 DriverManager.getConnection() 方法来创建一个Connection对象，该对象表示与数据库服务器的物理连接。执行查询:需要使用Statement类型的对象来构建和提交SQL语句，以从满足给定条件的表

参与评论您还未登录，请先登录后发表或查看评论

PreparedStatement 使用like 模糊查询

Jason分享，共同进步

03-03

789

PreparedStatement 使用like 在使用PreparedStatement进行模糊查询的时候废了一番周折，以前一直都没有注意这个问题。一般情况下我们进行精确查询，sql语句类似：select * from table where name =?，然后调用 PreparedStatement的setString等方法给？指定值。那么模糊查询的时候应该怎么写呢？我首先尝试了：sele...

PreparedStatement中使用like

华格瑞沙的博客

12-14

564

String sql = "SELECT a.title,a.content FROM poetries a WHERE a.title LIKE ?"; PreparedStatement prep = conn.prepareStatement(sql); prep.setString(1, "%"+poetries.getTitle()+"%"); ResultSet result = pre

PreparedStatement中的like

......

12-21

683

PreparedStatement这个类估计都比较熟,我在网上看过一片文章http://cuisuqiang.iteye.com/blog/1480525 但是这里讨论的不是相同问题我曾在一个sql查询中用到这样一条语句简化后的原理select * from table where field like ? 这本是很简单的一个问题,但是如果是这样的参数 "2013"也许你在sql s

PreparedStatement 使用like

Java海洋

07-15

2138

使用PreparedStatement 动态拼装like 条件。

王佳楠的专栏

04-13

1420

在使用java PreparedStatement 时，执行拼装的sql总是报错 1、错误的sql拼装: // 拼装修改记录查询条件 if(changeRecord != null && !"".equals(changeRecord)){ changeRecord = URLDecoder.decode(changeRecord, "utf-8"); whereSql.app

PreparedStatement 不定参数处理

xingyuncaojun的博客

04-25

1511

最近项目用到PreparedStatement，根据输入条件查询数据，输入条件不为空，则参与查询，为空，则不参与查询。网上搜了，也是按照网上的方法，也不算原创，记录一下。参考文章：https://blog.youkuaiyun.com/dream_broken/article/details/44681597/ 代码如下： Connection conn = null; PreparedStatem...

JDBC 操作预编译语句中LIKE模糊匹配怎么用

Jason的学习笔记

04-14

1756

问题描述在使用JDBC 预编译执行语句时，遇到一个问题，那就是在含有LIKE的查询语句时，我到底怎么使用匹配符%、_呢。如： SELECT * FROM "+LQ_USERS+" WHERE "+USER_LOGIN+" LIKE ? 问题分析我们先看看我们要实现的结果： SELECT * FROM lq_users WHERE user_login LIKE "%2%"; 既然这样，我...

Java JDBC技术：（六）SQL 注入与PreparedStatement 对象的使用-5000字匠心出品

地球村

05-15

691

SQL 注入与PreparedStatement 对象的使用1.什么是 SQL 注入2.SQL 注入案例3.PreparedStatement 对象的使用1.PreparedStatement 特点2.通过 PreparedStatement 对象向表中插入数据4.PreparedStatement 的预编译能力1.什么是预编译1.SQL 语句的执行步骤2.解析过程2.预编译方式1.依赖数据库驱动完成预编译2.依赖数据库服务器完成预编译5.通过 PreparedStatement 对象完成数据的更新6.通过

PreparedStatement使用like的方法

wangxu496677829的博客

01-28

476

sql = " and a.name like '%' || ? || '%'"; value.add(name); 或者 sql = " and a.name like ? "; value.add("%"+name+"%");

PreparedStatement 使用like 模糊查询

Alu_em的博客

09-16

447

sql语句不必修改，在填充占位符时将需要模糊查询的字段拼接 % 即可，如下代码 @Override public List<Book> selectByName(Connection conn, String name) { String sql = "select * from book where book_name like ?"; return getForList(conn, sql, "%" + name + "%"); } .

preparedStatement中的like模糊查询

zhuyx808的专栏

07-16

271

sqlStr = "select id,name from 表 where name like ?"; 这种方式对应的ps.setString(1, "%"+"abc"+"%"); 这种方式更为通用，不管对什么样的数据库另外还有种方式sqlStr = "select id,name from 表 where name like '%'+?+'%'";这种方式对应的ps.setString...

mysql like preparedstatement_用java PreparedStatement就不用担心sql注入了吗

weixin_42486337的博客

02-17

173

展开全部对32313133353236313431303231363533e78988e69d8331333361313865java有了解的同学基本上都体验过JDBC，基本都了解PreparedStatement，PreparedStatement相比Statement基本解决了SQL注入问题，而且效率也有一定提升。关于PreparedStatement和Statement其他细节我们不讨论，只...

关于PreparedStatement中数据库like查询的小问题

02-01

323

数据库:MySQL IDE:eclipse 查询表建立方法如下： CREATE TABLE `student` ( `id` int(10) NOT NULL auto_increment, `name` char(10) default NULL, `sex` char(10) default NULL, `age` int(10) default NULL, `pass...

mysql prepare 模糊查询_java mysql prepareStatement模糊查询like使用注意

weixin_34644072的博客

01-19

299

今天在使用mysql 的like语句是，发现prepareStatement的like语句和一般的=写法有一样。当要使用prepareStatement的like查询时，按照一般写法，都会写成：String sql = "select * from tablename like '%?%'";String sqlParasValue = "2015-03-23";pStmt=conn.prepa...

JDBC PreparedStatement 字符串字段模糊查询注意事项

jackpk的专栏

03-31

7511

JDBC PreparedStatement 字符串字段模糊查询注意事项针对字符串类型字段模糊查询的正确写法：String sql = "select count(*) from category c where 1 = 1 and c.category_name like ? "; pstmts = conn.prepareStatement(sql); p

mysql like preparedstatement_JDBC PreparedStatement Like参数报错解决方案

weixin_33418394的博客

02-17

287

由于我们的项目不大，所以刚开始决定时我为了省事想用SSH，可是后来觉得只有Struts2好了，后来的查询等数据库操作我自己写方法不行了嘛！刚才写一个公共查询的方法，在增加参数时出了点错误，就是使用模糊查询时犯晕了。我写的方法如下：/*** @说明执行一条查询SQL语句，可以带参数*/public static List excuteQuery(String sql, Object[] objs)...

java代码sql语句中like的用法

05-26

在Java中使用SQL语句中的LIKE功能，需要使用预编译的语句（PreparedStatement）来执行。下面是一个示例： ```java String searchTerm = "%apple%"; // 搜索的关键词 String sql = "SELECT * FROM products WHERE name LIKE ?"; // SQL语句 try { Connection conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/mydatabase", "username", "password"); // 连接到数据库 PreparedStatement stmt = conn.prepareStatement(sql); // 预编译语句 stmt.setString(1, searchTerm); // 将搜索关键词设置到预编译语句中 ResultSet rs = stmt.executeQuery(); // 执行查询语句 while (rs.next()) { // 处理查询结果 } } catch (SQLException e) { // 处理异常 } ``` 在上面的代码中，`searchTerm`是要搜索的关键词，其中`%`表示通配符，可以匹配任何字符。例如，`%apple%`可以匹配包含`apple`的任何字符串。 `PreparedStatement`提供了一个`setString()`方法，可以将搜索关键词设置到预编译语句中。注意，在设置参数时不需要加上`%`，因为预编译语句会自动将参数转义为SQL语句中的通配符形式。最后，使用`executeQuery()`方法执行查询语句，并使用`ResultSet`对象处理查询结果。