java statement 参数_java中statement、prepareStatement的相关理解

最新推荐文章于 2022-08-01 21:51:08 发布
原创 最新推荐文章于 2022-08-01 21:51:08 发布 · 523 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java statement 参数

本文介绍了如何使用PreparedStatement来预防SQL注入攻击,对比了Statement与PreparedStatement的不同之处,并解释了预编译语句如何提升效率及安全性。

statement使用方法Statement statement = connection.createStatement();

String queryString = "select username,password from user_table where username='" +

username + "' and password='" + password + "'";

ResultSet resultSet = statement.executeQuery(queryString);

statement 为非预编译语句,每次执行会去数据库 生成一条语句执行。

如果 password 变量 赋值为 ' or '1'='1’ 则 整个语句为select username,password from user_table where username='zhagnsan' and password='' or '1'='1'

statement会把这个字符串传给数据库进行执行,此字符串带有注入,所以输入任何信息都会 登陆成功。

prepareStatement 使用方法String queryString = "select username,password from user_table where username = ? "

+ "and password = ?";

preparedStatement = connection.prepareStatement(queryString);

preparedStatement.setString(1, username);

preparedStatement.setString(2, password);

resultSet = preparedStatement.executeQuery();

connection.prepareStatement(queryString); 会把语句传给数据库 生成预编译语句。

然后username ,password 的值就会变成 两个问号的参数。输入 or ''1'='1'的值只会当成第二个参数值,数据库里预编译的语句 不会把 or 当成 选择关系关键字,只会当成一个参数字符串,传进预编译的语句,这样预编译语句 可以防止注入。

并且预编译语句 不用每次执行都去生成一条执行语句,而是生成一次之后可以多次调用使用,而statement是每次都会将拼接的 String字符串 去数据库生成语句执行。

预编译prepareStatement是statement更有效率。

Runhua Zhao
关注
java中jdbc技术_详解Java连接数据库JDBC技术中的prepareStatement
weixin_30002151的博客
02-28 869
详解Java连接数据库JDBC技术中的prepareStatement发布时间:2020-07-18 09:14:24来源:亿速云阅读:107作者:小猪这篇文章主要是详解Java连接数据库JDBC技术中的prepareStatement,内容清晰明了,对此有兴趣的小伙伴可以学习一下,相信大家阅读完之后会有帮助。一、prepareStatement 的用法和解释1.PreparedStatement...
利用JDBC的PrepareStatement打印真实SQL的方法详解
08-29
PreparedStatement ps = connection.prepareStatement(sql); ps.setInt(1, 10); ``` 在这个例子中,我们想知道实际执行的SQL语句是"SELECT * FROM table WHERE id = 10"。为了实现这个需求,我们可以自定义一个辅助...
javastatementprepareStatement相关理解
weixin_34324081的博客
05-18 184
statement使用方法Statementstatement=connection.createStatement(); StringqueryString="selectusername,passwordfromuser_tablewhereusername='"+ username+"'andpassword='"+pas...
javastatement对象的作用_javaStatement 对象
weixin_42412524的博客
02-13 2944
1、创建Statement对象建立了到特定数据库的连接之后,就可用该连接发送 SQL 语句。Statement对象用 Connection 的方法 createStatement 创建,如下列代码段中所示:Connection con = DriverManager.getConnection(url, "sunny", "");Statement stmt = con.createStatem...
Statement数据库操作接口
liangyuanhao46的博客
11-03 2609
1、创建 Statement 对象: 建立了到特定数据库的连接之后,就可用该连接发送 SQL 语句。Statement 对象用 Connection 的方法createStatement 创建,如下列代码段中所示 package JDBC;//导入包 import com.mysql.cj.protocol.Resultset; import javax.xml.transform.Result; import java.sql.Connection; import java.sql.DriverMana
PrepareStatement 中文参数 ?问题
爱爬的乌龟
05-04 2468
昨天和朋友调了一个系统,在写SQL代码的时候需要传两个参数,不过两个都是中文参数,但是在获取数据集的是否一直都没有获取成功。     但是将SQL代码放到查询框里去查询并不是SQL代码问题,通过Debug后只知道是通过PrepareStatement后,中文参数全部变成了?(问号),在网上搜了好久,看见几个方案,最后发现是自己的编码问题,通过纠结的几个小时,最终解决。     方案如下:
PreparedStatement设置的参数在哪看!
人真正变得强大,不是因为守护着自尊心,而是抛开自尊心的时候。
09-22 2301
现在的公司经常使用PreparedStatement,防止sql注入,但有时设置的参数就忘记咋看了,做下记录,下次直接翻阅博客 // 代码块 PreparedStatement statement = null; DruidPooledConnection connection = null; connection = this.getUCDruidConnection(); String sql="select * from xxxx where xx=? and xx=? and xx=? and xx
java中PreparedStatementStatement详细讲解
08-25
pstmt = conn.prepareStatement("SELECT * FROM admin WHERE username = ? AND password = ?"); pstmt.setString(1, "韦小宝"); pstmt.setString(2, "222' OR '8'='8"); ResultSet rs = pstmt.executeQuery(); ...
Java_MySQL_JDBC.rar_JDBC程序_java jdbc mysql_java mysql jd_jdbc 样例
09-24
` 或 `PreparedStatement pstmt = conn.prepareStatement(sql);` 5. 处理结果集:`ResultSet rs = stmt.executeQuery(sql);` 6. 关闭资源:`rs.close(); stmt.close(); conn.close();` 在提供的样例中,你可能会...
MySQL-JAVA.rar_java mysql_java+mysql_mysql_java
09-22
PreparedStatement pstmt = conn.prepareStatement(query); pstmt.setInt(1, 123); ResultSet rs = pstmt.executeQuery(); while (rs.next()) { System.out.println(rs.getString("name")); } ``` 标签"java_mysql...
java statement 参数,Java上的PreparedStatement和设置参数的可能性
weixin_29828857的博客
02-16 340
There is a good way to use a prepared statement in java where there is the possibility to have a probability that some parameter can be or not be set?Let's assume I have a complete query like this on...
javaStatement 对象
qsd007的专栏
03-26 1783
Statement本概述是从《JDBCTM Database Access from JavaTM: A Tutorial and Annotated Reference 》这本书中摘引来的。JavaSoft 目前正在准备这本书。这是一本教程,同时也是 JDBC 的重要参考手册,它将作为 Java 系列的组成部份在 1997 年春季由 Addison-Wesley 出版公司出版。 4.1 概述St
包装了java的preparedstatement(改进设置参数)
diaoqiaoju7163的博客
08-11 375
java的preparedstatement,说到它,我是既爱又恨,爱的是通过用setXXX可以不考虑数据类型的转换,免去了自己组SQL语句的很 多麻烦事,恨得是它的第一个参数是sql语句中参数的位置,万一搞混了就出错,也可能出现不易发觉的错误,想想Delphi的Query就挺不错,可以使 用参数名称来定位参数,忍无可忍只好自己把preparedstatement包装一下了, 原先我...
java statement 参数_java 中createStatement()方法的实例详解
weixin_39576294的博客
02-16 535
java 中createstatement()方法的实例详解用缺省设置创建时,resultset 是一种只能访问一次(one-time-through)、只能向前访问(forward-only)和只读的对象。您只能访问数据一次,如果再次需要该 数据,必须重新查询数据库。然而,并不只有这一种方式。通过设置 statement 对象上的参数,您可以控制它产生的 resultset。例如:...clas...
Java数据库JDBC——prepareStatement的用法和解释
热门推荐
nnzhuilian的博客
01-10 15万+
转自:http://blog.youkuaiyun.com/QH_JAVA/article/details/48245945 一、prepareStatement 的用法和解释 1.PreparedStatement是预编译的,对于批量处理可以大大提高效率. 也叫JDBC存储过程 2.使用 Statement 对象。在对数据库只执行一次性存取的时侯,用 Statement 对象进行处理。Prepared...
PrepareStatement 中文参数问题
Idonng的专栏
08-09 531
在写SQL代码的时候需要传两个参数,不过两个都是中文参数,但是在获取数据集的是否一直都没有获取成功。     但是将SQL代码放到查询框里去查询并不是SQL代码问题,通过Debug后只知道是通过PrepareStatement后,中文参数全部变成了?(问号),在网上搜了好久,看见几个方案,最后发现是自己的编码问题,通过纠结的几个小时,最终解决。     方案如下:     一、将
prepareStatement函数添加指定的列数据(列名通过参数传入)
行秋的博客
06-03 1910
问题描述: 从输入中获取某学生的学号和某一课程名称及对应成绩。要求从student表中,查看是否有此学号的学生,如果有的话,将其课程成绩更新,如果没有的话,就添加该学生的学号,及这一课程的成绩。 问题分析: 首先我们要做的就是如果确定该学号的学生信息是否存在于student表中。在这里大家应该想到用select,查找对应学号的行数,如果为0的话,说明不存在,为1存在。 这里提供获取行数具体请参考:https://www.cnblogs.com/lixiang1993/p...
PreparedStatement类可以参数化MySQL语句
yueyue763184的博客
04-08 868
即先定义占位符,后再用 setString(下标从1开始,对象参数) 方法填充占位 小编举个栗子 import javafx.application.Application; import javafx.geometry.Insets; import javafx.scene.Scene; import javafx.scene.control.Button; import javafx.scene.control.Label; import javafx.scene.control.TextFiel
JDBC PreparedStatement 的命名参数实现
allway2的博客
08-01 1927
在我的计算机上针对一张小表对上述查询进行的测试给出了NamedParameterStatement的352微秒、AttachableNamedParameterStatement(无同步)的325微秒和原始PreparedStatement的332微秒的时间。但是,对于较大的查询,跟踪索引变得非常困难。很明显,如果参数接近语句的开头并且有多个参数,或者如果查询被重组以使参数以不同的顺序出现,这可能会出现问题。与执行查询所需的时间相比,翻译查询和查找参数索引所花费的时间实际上是最少的。......
Java Statement接口执行SQL实例详解
"Java开发中,使用Statement接口是执行SQL语句的一种常见方式,尤其在进行MySQL数据库操作时。本文将深入探讨如何使用Statement接口进行增删改查操作,并提供实例代码供参考学习。" 在Java数据库编程中,Statement...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符  | 博主筛选后可见
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值