关于SQL语句prepareStatement预编译"?"占位符问题

最新推荐文章于 2024-05-31 17:32:42 发布
最新推荐文章于 2024-05-31 17:32:42 发布
阅读量2.8k 收藏 4
点赞数
CC 4.0 BY-SA版权
文章标签: JAVA 数据库 占位符 预编译 sql注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_41342104/article/details/102885170
本文探讨了Java中Connection的createStatement与prepareStatement的区别,重点在于PreparedStatement的预编译特性和占位符"?"的使用。预编译能提高执行效率,减少与数据库的通信量。占位符"?"允许动态设置参数,通过set方法指定索引和参数类型,防止SQL注入。作者分享了实际案例,展示了如何使用PreparedStatement添加部门数据。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

关于SQL语句prepareStatement预编译"?"占位符问题

Connection中的createStatement和 prepareStatement区别

首先说下为什么常用的是PreparedStatement,因为PreparedStatement对象是把sql语句预先“编译”好,每次只替换定义的变量,作用是减少与数据库的通信量,从而加快执行速度;
而createStatement方法是创建一个Statement对象,这个对象会在未来执行你定义的sql语句,所以说他不可预知也就是不可定的,所以无法预先编译,而且,你定义不同的sql语句,都可以放在这同一个Statement对象里来执行,所以就大大降低了效率。

为什么会有占位符"?"

用过的朋友都知道,在PreparedStatement对象中,接口Connection在调用方法时,会传递给一个参数,就是一条SQL语句。那么这就是预编译的由来,可是它却需要我们先定义好,然后再给它赋值上去。

(重点到了)

在占位符"?"中 ,我们需要给定数量,不需要声明类型,在接下的PreparedStatement对象会有一个方法,setString(parameterIndex, x);
请看,第一个参数就是它的索引,也就是设置给第几个占位符的,然后第二个就是参数(实际值),在这里要声明一下,前面的set什么什么类型都无关紧要,你需要给它什么类型的值,那么这里就设置相应的类型。这也是我一直困惑的事…因为我一直以为PreparedStatement对象会知道我们给它的参数是什么…从而想象成是第1个String类型…

请看下方

在这里插入图片描述比如说这个是我做的一个案例,我需要往部门表中添加一条数据,这里有三参数,部门编号、部门名称和地址,那么我在设置SQL语句的时候,就先用占位符代替我真正要输入的参数(这样也是为了防止sql注入),然后代码预编译,接下来我就分别给这三个参数,设置真正的值,什么类型对应用什么set方法。如果想互换位置也是可以的,只要设置的索引,对应了自己SQL语句的位置就行,有几个"?"就有几个索引长度。

结语

非常感谢各位观众老爷能看到这里,这是我初次创作,只是一时心起,所以很多话都多说了也没有好好的整理。目前学生党一枚,初学java,自身实力不足,也希望各位大佬好好指出问题所在能够对我有一定的启发和帮助!谢谢大家!

wxn1
关注
PreparedStatement 预编译SQL 就不会有被 SQL 注入的风险?
数字化小李的博客
12-07 866
当我们说到关于持久层框架的功能,必然需要先想想这个功能的源头到底是不是直接通过数据库提供的。实际上和事务一样,SQL 预编译的功能也是需要数据库提供底层支持的。以 MySQL 为例,在 MySQL 中,所谓预编译其实是指先提交带占位符SQL 模板,然后为其指定一个 key,MySQL 先将其编译好,然后用户再拿着 key 和占位符对应的参数让 MySQL 去执行,用法有点像 python 中的 format 函数。一个标准的预编译 SQL 的用法如下:先通过 设置一个 SQL 模板,然后通过 提交参
占位符的使用和PreparedStatement接口使用:
agjj99885的博客
04-16 894
  一、PreparedStatement 接口的使用 首先占位符我们可以使用 Statement 接口来操作数据, 但是这个接口存在两个问题: 1、使用 Statement 接口对象发送的 sql 语句需要在数据库中进行一次编译之后成为指令才能执行, 并且每条 sql 语句都需要编译一次, 这样效率是很慢的。 2、使用Statement 接口操作的 sql 可以使用字符...
JDBC常见异常(10)—预编译模式下占位符动态排序字段失效
最新发布
梦凝哲雪
05-31 595
PreparedStatement占位符防止SQL注入的原理是,在为占位符设置值时,会将值转为字符串,然后转义,再将值放入反引号中,放置在占位符的位置上。执行SQL时,如果order by之后的排序字段使用占位符,通过setString设置值的话,会导致排序失效。需要根据不同的列进行对应的排序操作,实现动态列名排序 类似🐟动态查询或更新。,导致排序失效,甚至任意的注入数值都不影响前面的查询结果。因此,当排序字段使用占位符后,原来的排序语句。但是JDBC预编译模式下占位符的排序字段失效。
JAVA——prepareStatementSQL语句占位符(?)替换名和字段名
无限迭代中......
01-11 5566
基本概念 PreparedStatement:Statement的改良版,具有预编译功能,方便使用,运行速度快。 问题描述 1.根据测试占位符?不能用于名 String strSql="SELECT * FROM ?"; try(PreparedStatement ps=conn.prepareStatement(strSql)) { ps.setObject(1,"per...
创建PreparedStatement 对象的时候,sql语句占位符?的问题
weixin_42509123的博客
05-05 2152
1.根据测试占位符?不能用于名 String strSql="SELECT * FROM ?"; try(PreparedStatement ps=conn.prepareStatement(strSql)) { ps.setObject(1,"person"); 会提示语法错误 Exception in thread "main" java.lang.RuntimeExcepti...
JDBC学习笔记(4)——PreparedStatement的使用
weixin_34232363的博客
05-04 889
PreparedStatement public interface PreparedStatement extends Statement;可以看到PreparedStatement是Statement的子接口,我们在执行查询或者更新数据数据的时候,拼写SQL语句是一个很费力并且容易出错的事情,PreparedStatement可以简化这样的一个过程. PreParedStatement1...
prepareStatement 占位符(?)的使用
weixin_49066429的博客
08-26 2327
public void PrepareStatementInsertTest(){ Scanner input = new Scanner(System.in); System.out.println("请输入姓名"); String name = input.next(); System.out.println("请输入年龄"); int age = input.nextInt(); try { ..
利用JDBC的PrepareStatement打印真实SQL的方法详解
08-29
Java的JDBC编程中,`PreparedStatement`是一个非常重要的接口,它提供了预编译SQL语句功能,能够显著提高执行效率,尤其是在批量处理大量数据时。`PreparedStatement`也被称为JDBC存储过程,因为它允许开发者...
sql 预编译语句
weixin_41563161的博客
11-25 5504
sql 预编译语句 1. 背景 本文重点讲述MySQL中的预编译语句并从MySQL的Connector/J源码出发讲述其在Java语言中相关使用。 注意:文中的描述与结论基于MySQL 5.7.16以及Connect/J 5.1.42版本。 2. 预编译语句是什么 通常我们的一条sql在db接收到最终执行完毕返回可以分为下面三个过程: 词法和语义解析 优化sql语句,制定执行计划 执行并返回结果 我们把这种普通语句称作Immediate Statements。 但是很多情况,我们的一条sql语句可能会反
sql预编译
weixin_52237037的博客
10-18 2955
sql预编译就是说:对于一个sql语句的执行,首先要进行,而上面这些sql语句,结构相同,只是参数不同,需要,这样就导致执行效率低。我们可以使用以下语句预编译后的sql语句,执行代码会缓存下来,这样在下次调用的时候,直接给占位符传参,执行即可。所以我们对于相同的预编译语句,我们只需要。可以视为将sql语句。一次编译、多次运行,省去了解析优化等过程。
PreparedStatement接口的补充问题——占位符
FutureFlyme的博客
07-24 2172
PreparedStatement接口继承于Statement接口,所以它拥有Statement接口中的方法,详情见 在实际开发中我们在编写SQL语句的时候可能会用到占位符?,它可以代替SQL语句的参数,然后通过setXXX()方法对SQL语句的参数进行赋值。例如public List<Employee> selectEmp(int firstResult, int pageSize) {
[疯狂Java]JDBC:PreparedStatement预编译执行SQL语句
热门推荐
Lirx_Tech的专栏
04-14 1万+
1. SQL语句的执行过程——Statement直接执行的弊病:     1) SQL语句和编程语言一样,仅仅就会普通的文本字符串,首先数据库引擎无法识别这种文本字符串,而底层的CPU更不理解这些文本字符串(只懂二进制机器指令),因此SQL语句在执行之前肯定需要编译的;     2) SQL语句的执行过程:提交SQL语句 -> 数据库引擎对SQL语句进行编译得到数据库可执行的代码 -> 执行S
Statement和PreparedStatement的区别及占位符使用方法
lzhNox的博客
07-19 1540
Statement与PreparedStatement的区别及占位符使用
mysql PreparedStatement 占位符注意事项
云淡风轻
08-30 5496
注意事项 下标从1开始 赋值的时候不需要为字符串变量的两边加上’’ 直接ps.setString(1, “liguang”); 占位符只能替换值类型,不能替换名、字段名或者其他关键词。 PreparedStatement会为占位符?的两边自动加上单引号,这样会使得SQL语句不可执行,比如使用将名设置为占位符数据库执行sql语句时,名会用单引号引起来,这样会使得sql语句执行出错或者查询不...
使用PrepareStatement
qq_34983808的博客
08-31 249
包结构: 第一步:编写获取连接工具类package com.atguigu.jdbc;import java.io.IOException; import java.io.InputStream; import java.sql.Connection; import java.sql.DriverManager; import java.sql.ResultSet; import java.s
JDBC采用批量提交SQL方法
weixin_44593504的博客
01-07 2716
一.场景 1.业务中有条需求:将A中得数据存入B。 2.操作:传统方式就是获取A得数据然后一条一条插入B,但是当A数据量很大时,这种操作无疑是很耗费时间和资源得; 所以我们需要进行优化处理,采用JDBC批量执行得方式,只需要调用PreparedStatement.addBatch()方法与PreparedStatment.excuteBatch()联合使用即可; 二.实现 1.在方法demoOne()和demoBath()可以看出,如果进行批量操作就需要调用addBath()方法,并且需
JDBC:使用PreparedStatement操作数据
m0_57753335的博客
08-13 809
JDBC:使用PreparedStatement实现对数据库的增删改查操作
PreparedStatement预编译无法用?占位符替换名和字段名
LiQiyao的博客
04-29 7061
PreparedStatement是Statement的改良版,具有预编译功能,方便使用,运行速度快。 可以通过?占位符把字段值替换,之后通过setXXX方法,注入字段值。 但是?占位符只能替换字段值,不能替换名、字段名或者其他关键词。
掌握数据库操作的关键技巧:深入解析prepareStatement方法
2301_77478553的博客
07-12 5068
prepareStatement预编译SQL 语句的对象。prepareStatement方法是Java中用于准备执行SQL语句的方法。它可以避免SQL注入攻击,提高执行效率,且支持占位符,可以方便地设置参数。2.为什么要使用prepareStatementStatement与preparedStatement的区别:1. preparedStatement可以写动态参数化的查询。
JAVA自动化技术:动态填充SQL语句占位符
PreparedStatement可以理解为一种特殊的Statement,它预编译SQL语句,并为SQL语句中的占位符留出位置,然后可以通过setXXX方法来为这些占位符赋值。 在使用PreparedStatement时,需要在SQL语句中使用问号(?)作为...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值