JdbcTemplate

最新推荐文章于 2025-05-27 15:04:00 发布
原创 最新推荐文章于 2025-05-27 15:04:00 发布 · 1.7k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#JdbcTemplate

本文详细介绍了PreparedSatement在防止SQL注入中的作用,解释了其执行原理,强调了预编译带来的效率提升和安全性增强。通过实例展示了如何创建、设置参数、执行SQL以及实现增删查改操作,帮助读者掌握使用PreparedSatement来提高数据库操作的安全性和性能。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

PreparedSatement预编译对象

目标

能够理解什么是SQL注入

能够理解PreparedSatement的执行原理

讲解

SQL注入问题

在我们前一天JDBC实现登录案例中,当我们输入以下密码,我们发现我们账号和密码都不对竟然登录成功了

请输入用户名:
hehe
请输入密码:
a' or '1'='1

问题分析:

// 代码中的SQL语句
"SELECT * FROM user WHERE name='" + name + "' AND password='" + password + "';";
// 将用户输入的账号密码拼接后
"SELECT * FROM user WHERE name='hehe' AND password='a' or '1'='1';"

我们让用户输入的密码和SQL语句进行字符串拼接。用户输入的内容作为了SQL语句语法的一部分,改变了原有SQL真正的意义,以上问题称为SQL注入。

要解决SQL注入就不能让用户输入的密码和我们的SQL语句进行简单的字符串拼接。需要使用PreparedSatement类解决SQL注入。

PreparedSatement的执行原理

继承结构:
在这里插入图片描述
我们写的SQL语句让数据库执行,数据库不是直接执行SQL语句字符串。和Java一样,数据库需要执行编译后的SQL语句(类似Java编译后的字节码文件)。

  1. Satement对象每执行一条SQL语句都会先将这条SQL语句发送给数据库编译,数据库再执行。
Statement stmt = conn.createStatement();
stmt.executeUpdate("INSERT INTO users VALUES (1, '张三', '123456');");
stmt.executeUpdate("INSERT INTO users VALUES (2, '李四', '666666');");

上面2条SQL语句我们可以看到大部分内容是相同的,只是数据略有不一样。数据库每次执行都编译一次。如果有1万条类似的SQL语句,数据库需要编译1万次,执行1万次,显然效率就低了。

  1. prepareStatement()会先将SQL语句发送给数据库预编译。PreparedStatement会引用着预编译后的结果。可以多次传入不同的参数给PreparedStatement对象并执行。相当于调用方法多次传入不同的参数。
String sql = "INSERT INTO users VALUES (?, ?, ?);";
// 会先将SQL语句发送给数据库预编译。PreparedStatement会引用着预编译后的结果。
PreparedStatement pstmt = conn.prepareStatement(sql);

// 设置参数
pstmt.setString(1, 1);
pstmt.setInt(2, "张三");
pstmt.setString(3, "123456");
pstmt.executeUpdate();

// 再次设置参数
pstmt.setString(1, 2);
pstmt.setInt(2, "李四");
pstmt.setString(3, "66666");
pstmt.executeUpdate();

上面预编译好一条SQL,2次传入了不同的参数并执行。如果有1万条类似的插入数据的语句。数据库只需要预编译一次,传入1万次不同的参数并执行。减少了SQL语句的编译次数,提高了执行效率。

示意图
在这里插入图片描述

PreparedSatement的好处
  1. prepareStatement()会先将SQL语句发送给数据库预编译。PreparedStatement会引用着预编译后的结果。可以多次传入不同的参数给PreparedStatement对象并执行。减少SQL编译次数,提高效率。
  2. 安全性更高,没有SQL注入的隐患。
  3. 提高了程序的可读性## PreparedSatement的API介绍

目标

能够掌握PreparedSatement相应的API

讲解

获取PreparedSatement

java.sql.Connection有获取PreparedSatement对象的方法

PreparedStatement prepareStatement(String sql) 
会先将SQL语句发送给数据库预编译。PreparedStatement对象会引用着预编译后的结果。
PreparedSatement的API介绍

java.sql.PreparedStatement中有设置SQL语句参数,和执行参数化的SQL语句的方法

  1. void setDouble(int parameterIndex, double x) 将指定参数设置为给定 Java double 值。

  2. void setFloat(int parameterIndex, float x) 将指定参数设置为给定 Java REAL 值。 

  3. void setInt(int parameterIndex, int x) 将指定参数设置为给定 Java int 值。

  4. void setLong(int parameterIndex, long x) 将指定参数设置为给定 Java long 值。 

  5. void setObject(int parameterIndex, Object x) 使用给定对象设置指定参数的值。  

  6. void setString(int parameterIndex, String x) 将指定参数设置为给定 Java String 值。 

  7. ResultSet executeQuery() 在此 PreparedStatement 对象中执行 SQL 查询,并返回该查询生成的ResultSet对象。 

  8. int executeUpdate() 在此 PreparedStatement 对象中执行 SQL 语句,该语句必须是一个 SQL 数据操作语言DML语句,比如 INSERT、UPDATE 或 DELETE 语句;或者是无返回内容的 SQL 语句,比如 DDL 语句。
PreparedSatement使用步骤
  1. 编写SQL语句,未知内容使用?占位:"SELECT * FROM user WHERE name=? AND password=?;";
  2. 获得PreparedStatement对象
  3. 设置实际参数
  4. 执行参数化SQL语句
  5. 关闭资源## PreparedSatement实现增删查改

目标

能够掌握PreparedSatement实现增删查改

讲解

创建表结构
CREATE TABLE employee (
  id INT PRIMARY KEY AUTO_INCREMENT,
  NAME VARCHAR(20),
  age INT,
  address VARCHAR(50)
);
添加数据
向Employee表添加3条记录
// 添加数据: 向Employee表添加3条记录
public static void addEmployee() throws Exception {
	Connection conn = JDBCUtils.getConnection();
	String sql = "INSERT INTO employee VALUES (NULL, ?, ?, ?);";
	// prepareStatement()会先将SQL语句发送给数据库预编译。
	PreparedStatement pstmt = conn.prepareStatement(sql);

	// 设置参数
	pstmt.setString(1, "刘德华");
	pstmt.setInt(2, 57);
	pstmt.setString(3, "香港");
	int i = pstmt.executeUpdate();
	System.out.println("影响的行数:" + i);

	// 再次设置参数
	pstmt.setString(1, "张学友");
	pstmt.setInt(2, 55);
	pstmt.setString(3, "澳门");
	i = pstmt.executeUpdate();
	System.out.println("影响的行数:" + i);

	// 再次设置参数
	pstmt.setString(1, "黎明");
	pstmt.setInt(2, 52);
	pstmt.setString(3, "香港");
	i = pstmt.executeUpdate();
	System.out.println("影响的行数:" + i);

	JDBCUtils.close(conn, pstmt);
}

效果:
在这里插入图片描述

PreparedSatement修改数据

将id为2的学生地址改成台湾

// 修改数据: 将id为2的学生地址改成台湾
public static void updateEmployee() throws Exception {
	Connection conn = JDBCUtils.getConnection();

	String sql = "UPDATE employee SET address=? WHERE id=?;";
	PreparedStatement pstmt = conn.prepareStatement(sql);
	pstmt.setString(1, "台湾");
	pstmt.setInt(2, 2);
	int i = pstmt.executeUpdate();
	System.out.println("影响的行数:" + i);

	JDBCUtils.close(conn, pstmt);
}

效果:

PreparedSatement删除数据

删除id为2的员工

// 删除数据: 删除id为2的员工
public static void deleteEmployee() throws Exception {
	Connection conn = JDBCUtils.getConnection();

	String sql = "DELETE FROM employee WHERE id=?;";
	PreparedStatement pstmt = conn.prepareStatement(sql);
	pstmt.setInt(1, 2);
	int i = pstmt.executeUpdate();
	System.out.println("影响的行数:" + i);

	JDBCUtils.close(conn, pstmt);
}

效果:
在这里插入图片描述
使用PreparedSatement改写登录案例

PreparedSatement使用步骤
  1. 编写SQL语句,未知内容使用?占位
  2. 获得PreparedStatement对象
  3. 设置实际参数
  4. 执行参数化SQL语句
  5. 关闭资源
案例代码
public class Demo02 {
	public static void main(String[] args) throws Exception {
        // 让用户输入账号和密码
        Scanner sc = new Scanner(System.in);
        System.out.println("请输入账号: ");
        String name = sc.nextLine();
        System.out.println("请输入密码: ");
        String password = sc.nextLine();
        
		// 获取连接
		Connection conn = JDBCUtils.getConnection();
		
		// 编写SQL语句,未知内容使用?占位
		String sql = "SELECT * FROM user WHERE name=? AND password=?;";
		
		// prepareStatement()会先将SQL语句发送给数据库预编译。
		PreparedStatement pstmt = conn.prepareStatement(sql);
		
		// 指定?的值
		// parameterIndex: 第几个?,从1开始算
		// x: 具体的值
		pstmt.setString(1, name);
		pstmt.setString(2, password); // 正确的密码
		
		ResultSet rs = pstmt.executeQuery();
		
		if (rs.next()) {
			String name = rs.getString("name");
			System.out.println("name:" + name);
		} else {
			System.out.println("没有找到数据...");
		}
		
		JDBCUtils.close(conn, pstmt, rs);
	}
}

在这里插入图片描述

PreparedSatement查询数据

目标

能够掌握PreparedSatement实现查询数据
在这里插入图片描述
在这里插入图片描述
查询id小于8的员工信息,并保存到员工类中

实现步骤
  1. 得到连接对象
  2. 得到Statement对象
  3. 编写SQL语句并执行,保存ResultSet
  4. 创建一个集合用于封装所有的记录
  5. 每次循环封装一个学生对象
  6. 把数据放到集合中
  7. 关闭连接
  8. 遍历集合,循环输出学生对象
代码
public class Employee {
	private int id;
	private String name;
	private int age;
	private String address;
	public Employee() {
	}
	
	public Employee(int id, String name, int age, String address) {
		this.id = id;
		this.name = name;
		this.age = age;
		this.address = address;
	}

	public int getId() {
		return id;
	}

	public void setId(int id) {
		this.id = id;
	}

	public String getName() {
		return name;
	}

	public void setName(String name) {
		this.name = name;
	}

	public int getAge() {
		return age;
	}

	public void setAge(int age) {
		this.age = age;
	}

	public String getAddress() {
		return address;
	}

	public void setAddress(String address) {
		this.address = address;
	}

	@Override
	public String toString() {
		return "Employee2 [id=" + id + ", name=" + name + ", age=" + age + ", address=" + address + "]";
	}
}

// 查询数据: 查询id小于8的员工信息,并保存到员工类中
public static void queryEmployee() throws Exception {
	Connection conn = JDBCUtils.getConnection();
	String sql = "SELECT * FROM employee WHERE id<?;";
	PreparedStatement pstmt = conn.prepareStatement(sql);
	pstmt.setInt(1, 26);
	ResultSet rs = pstmt.executeQuery();

	// 创建集合存放多个Employee2对象
	ArrayList<Employee> list = new ArrayList<>();

	while (rs.next()) {
		// 移动到下一行有数据,取出这行数据
		int id = rs.getInt("id");
		String name = rs.getString("name");
		int age = rs.getInt("age");
		String address = rs.getString("address");

		// 创建Employee2对象
		Employee e = new Employee(id, name, age, address);
		// 将创建好的员工添加到集合中
		list.add(e);
	}

	// 输出对象
	for (Employee e : list) {
		System.out.println(e);
	}
	
	JDBCUtils.close(conn, pstmt, rs);
}

效果:
在这里插入图片描述

使用JdbcTemplate 结合预编译预计批量插入数据
weixin_43811057的博客
11-30 1278
它通过使用预编译语句(PreparedStatement)和 Spring 的 JdbcTemplate 来实现高效的数据插入操作。saveAll 方法通过合理利用预编译语句和 Spring 的 JdbcTemplate,高效且准确地实现了将一批 LoginLog 类型的数据批量插入到数据库表中的功能,同时还处理了时间戳相关的设置以及异常情况。这种批量插入的方式可以提高数据插入的效率,减少数据库服务器编译 SQL 语句的次数,从而提升整个应用程序与数据库交互的性能。
[疯狂Java]JDBC:PreparedStatement预编译执行SQL语句
热门推荐
Lirx_Tech的专栏
04-14 1万+
1. SQL语句的执行过程——Statement直接执行的弊病:     1) SQL语句和编程语言一样,仅仅就会普通的文本字符串,首先数据库引擎无法识别这种文本字符串,而底层的CPU更不理解这些文本字符串(只懂二进制机器指令),因此SQL语句在执行之前肯定需要编译的;     2) SQL语句的执行过程:提交SQL语句 -> 数据库引擎对SQL语句进行编译得到数据库可执行的代码 -> 执行S
JDBC预编译方法
spt_dream的博客
04-07 1103
在jdbc中,有三种方式执行sql,分别是使用Statement(sql拼接),PreparedStatement(预编译),还有一种CallableStatement(存储过程),在 //校验信息集有效性 使用execute回调方法,防止sql注入 String ProcSql= "call PROC_CHECK_A00_TEMPLATE_VALID(?,'01','01')" ; t...
JDBC基本操作
最新发布
shangjg3的博客
05-27 803
本文介绍了在Java应用程序中通过JDBC执行SQL语句的核心流程。主要内容包括:1)基本执行步骤:建立连接、创建Statement、执行SQL、处理结果和关闭资源;2)详细演示了SELECT查询、INSERT插入、UPDATE更新和DELETE删除操作的代码实现;3)提供了事务控制示例,展示如何设置自动提交、提交和回滚操作。文章通过完整代码示例展示了每种SQL语句的具体用法,强调使用PreparedStatement防止SQL注入,并推荐资源自动关闭和事务处理等最佳实践。
jdbcTemplate 预编译 批量提交
yangaming的专栏
10-10 4286
近期做了excel批量上传功能,发现jdbcTemplate预编译批量提交效率很高(对比jdbc直接批量提交),方法如下 public void batchUpdateList(final List list) { String sql = "insert into specialtel(sn,tel,province,remark,provincename) values (?,?,?
Spring3核心技术之JdbcTemplate
z69183787的专栏
01-28 8359
Spring对JDBC的支持 Spring通过抽象JDBC访问并提供一致的API来简化JDBC编程的工作量。我们只需要声明SQL、调用合适的Spring JDBC框架API、处理结果集即可。事务由Spring管理,并将JDBC受查异常转换为Spring一致的非受查异常,从而简化开发。 Java代码 .... Connectionconn=null...
Jdbctemplate NamedParameterJdbcTemplate实现关键字IN 预编译
luojinbai的专栏
03-01 6810
具体是实现是使用NamedParameterJdbcTemplate。NamedParameterJdbcTemplateJdbctemplate的一个封装类,支持命名参数的特性。使用NamedParameterJdbcTemplate实现预编译的IN操作:JdbcTemplate jdbc = getJdbc(); NamedParameterJdbcTemplate named
JDBCTemplate
02-24
Spring封装的jdbc引用的jar包导入jar包添加注解packagecn.itcast.jdbctemplate;importcn.itcast.utils.JDBCUtils;importorg.springframework.jdbc.core.JdbcTemplate;/**JdbcTemplate入门*/...
JdbcTemplate基本使用
01-27
JdbcTemplate是Spring框架中用于简化JDBC操作的工具类,它提供了一种更安全、更易用的方式来执行数据库操作,避免了手动管理数据库资源和处理潜在的资源泄露问题。通过JdbcTemplate,开发者可以专注于SQL语句的编写...
JdbcTemplate 预编译语句中 like 查询方法
qq_41190902的博客
03-22 1500
推荐使用第3中方式,因为保持原SQL整洁 直接 like?就可以了,其而方便对原SQL进行强制性检查是否包含 ‘ “ 等关键性字符 , 如果使用 带有 ‘%’ 等关键字,就不好判断是否是SQL注入攻击。正常 SQL中的condition 采用 select * form t where a=?自己分装了JdbcTemplate很多方法,其中为了避免SQL注入攻击,采用预编译SQL的。对于like 查询有3种解决方案。(3)args 参数中再加入 %(1)concat 函数。
spring自带的jdbcTemplate查询、插入预编译使用
07-28
简单的jdbcTemplate预编译、回调等
011Spring之JdbcTemplate
qq_44835120的博客
06-08 170
Spring框架对JDBC进行封装,使用JdbcTemplate方便实现对数据库操作。 准备工作 (1)将demo5复制为demo6,删除不必要的结构,引入jar包,结构如图:(这里版本有差异,不知道会不会出问题,出问题再改,尝试以下) (2)创建基础的项目结构,编写配置文件,结构如下: 这里粘出配置文件 <?xml version="1.0" encoding="UTF-8"?> <beans xmlns="http://www.springframework.org/schema/
SpringJDBC的JdbcTemplate
ZERO
12-03 517
转载自: http://blog.youkuaiyun.com/dyllove98/article/details/7772463 JdbcTemplate主要提供以下五类方法:       execute方法:可以用于执行任何SQL语句,一般用于执行DDL语句;       update方法及batchUpdate方法:update方法用于执行新增、修改、删除等语句;batchUpdate方法用于
java安全(二):JDBC|sql注入|预编译
weixin_45694388的博客
11-14 6438
1 JDBC基础 JDBC(Java Database Connectivity)是Java提供对数据库进行连接、操作的标准API。Java自身并不会去实现对数据库的连接、查询、更新等操作而是通过抽象出数据库操作的API接口(JDBC),不同的数据库提供商必须实现JDBC定义的接口从而也就实现了对数据库的一系列操作。 2 JDBCConnection 2.1连接 Java通过java.sql.DriverManager来管理所有数据库的驱动注册,所以如果想要建立数据库连接需要先在java.sql.Drive
JDBC——(手写、spring整合)及(预编译手写、预编译spring整合)
Chen_chenjiasheng的博客
09-27 479
1. 手写版本 步骤: 加载驱动 用户信息和URL 连接成功,数据库对象(getConnection) 执行SQL的对象(connection.createStatement()) 执行SQL的对象去执行SQL,可能存在结果,查看返回结果(ResultSet resultSet = statement.executeQuery(sql)) 释放连接 public class JDBC_Demo01 { public static void main(String[] args) throws C
批量新增采用预编译jdbcTemplate .batchUpdate插入分析
jack1watch的博客
05-17 633
@RestController @Slf4j public class SyncController implements ISyncController { @Resource PortfolioPositionMapper portfolioPositionMapper; @Resource JdbcTemplate jdbcTemplate; @Override public TResponse<Object> valuationDat.
Jdbc模板,实现动态生成SQL...
lovoo的博客
02-12 3065
import java.lang.reflect.Field; import java.lang.reflect.Method; import java.sql.Connection; import java.sql.PreparedStatement; import java.sql.ResultSet; import java.util.ArrayList; import java.util.L
jdbctemplate
03-30
The JdbcTemplate is a class in the Spring Framework that provides a simplified way to interact with a database using JDBC (Java Database Connectivity). It provides a set of methods for executing SQL ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值