数据库——占位符的使用

最新推荐文章于 2025-06-26 15:53:22 发布
原创 最新推荐文章于 2025-06-26 15:53:22 发布 · 4.7k 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

博客介绍了使用占位符操作SQL语句的好处。一是能避开SQL语句注入风险,因使用Statement接口操作的SQL语句用字符串拼接可能存在安全风险且拼接麻烦;二是传入字符串参数时无需再用单引号包裹,通过代码对比可体现。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

使用占位符的好处

1 避开了SQL语句注入的风险

        SQL注入风险:使用Statement接口操作的sql语句需要使用字符串拼接的方式实现,这样的方式可能存在sql注入的安全风险并且拼接字符串比较麻烦的

2 传入字符串参数时无需用再用单引号包裹

观察如下两段代码:
代码一:不使用占位符

public class JdbcTest {
    public static void main(String[] args)  {
    //  调用selectLogin(String name, String password)方法时,若在传入的password参数后面拼接一个"OR"字符串和一个返回值为true的字符串表达式,则无论"OR"前面的字符串是否满足条件,都能成功查询到myuser数据表中username字段名下name的所有信息
        selectLogin("'smith'", "'sddsaf' OR 1=1");  //传入字符串参数时需将字符串用单引号包裹
    }

    public static boolean selectLogin(String name, String password) {
        Connection conn = getConnection();        // getconnection():自定义的连接数据库的方法
        try {
//  当传入的参数较多时,字符串的拼接会比较麻烦
            String sql = "SELECT *FROM myuser WHERE username=" + name + " AND password=" + password;
            System.out.println(sql);
            PreparedStatement pst = conn.prepareStatement(sql);
            ResultSet rst = pst.executeQuery();        //  返回一个查询结果集
            if (rst.next()) {                                            //  当rst.next()返回true时,说明查询成功
                System.out.println("查询成功");
            } else {
                System.out.println("用户名或密码不正确");
            }           
        } catch (SQLException e) {
            e.printStackTrace();
        } finally {
            close(conn);
        }
        return false;
    }
}

此时传入错误的参数也能成功

代码一:使用占位符“?”来代替SQL语句中需要传入的字符串参数

public static void selectLogin2(String name,String password) {
        Connection conn = getConnection();
        try {
                //       使用占位符“?”来代替
            String sql = "SELECT *FROM myuser WHERE username=? AND password=?" ; 
            PreparedStatement pst = conn.prepareStatement(sql);
            pst.setString(1, name);                //      给占位符赋值
            pst.setString(2, password);         //      给占位符赋值
            ResultSet rst = pst.executeQuery();
            if (rst.next()) {
                System.out.println("登陆成功");
            } else {
                System.out.println("用户名或密码不正确");
            }
            
        } catch (SQLException e) {
            e.printStackTrace();
        } finally {
            close(conn);
        }
    }

		当使用占位符之后,只有输入了正确的参数,才能查询成功
占位符使用
Ariqiao的博客
05-26 1634
占位符使用Statement接口操作数据存在的问题问题一问题二PrepareStatement接口改善问题占位符代码演示密码登录DEMO Statement接口操作数据存在的问题 问题一 使用Statement接口对象发送的sql语句需要在数据库中进行一次编译之后成为指令才能执行,每条sql语句都需要编译一次,这样是很慢的。 问题二 使用Statement接口才做的sql可以需要使用字符串拼接的...
Java操作数据库 —— JDBC ① 基础篇
m0_73983707的博客
06-11 1890
JDBC 就是使用Java语言操作关系型数据库的一套API全称:(JavaDataBaseConnectivity)意为Java 数据库连接// 在类中写入@Test,自动导入org.junit.Test,便不用重复写main函数// 单行单列查询@Test// 1.注册驱动// 2.获取连接// 用户名// 密码// 3.预编译SQL语句得到PreparedStatement对象// 4.执行语句 获取结果。
Oracle数据库占位符使用
m0_51548758的博客
09-30 1017
在 Oracle 中,数字占位符(如:1:2)可以用于执行动态查询、PL/SQL 块以及存储过程,它们提升了 SQL 的安全性与可维护性。确保在使用时保持参数的顺序正确,并且类型要匹配。通过这种方式,可以安全地处理用户输入,避免 SQL 注入攻击。
精通SQL占位符的编程技巧与实践
最新发布
weixin_31419153的博客
06-26 645
动态SQL是在执行前无法确定其确切内容的SQL语句。它通常在程序运行时根据需要生成,提供灵活性以便处理复杂的查询需求。动态SQL广泛应用于需要根据用户输入、系统状态或其他可变条件来构建查询的场景。例如,一个在线商店可能会根据用户的搜索条件动态地生成SQL查询以检索商品。动态SQL的一个典型例子是通过搜索功能检索数据库中的数据。用户输入的搜索词和选择的过滤条件将直接影响到SQL查询语句的构建。如果搜索引擎支持模糊搜索、范围查询或多条件组合查询,那么就需要使用动态SQL来适应这些变化。
占位符的用法
lewis_cai的博客
07-22 1656
占位符使用使得我们能够编写更加通用和灵活的代码,因为我们可以在运行时为占位符指定具体的值或替代项。占位符的灵活性和可替代性是开发中一项非常有价值的工具。占位符是指在程序开发中用于表示待填充或占据某个位置的特殊标记或值。它们通常在代码中使用,以便在一些情况下提供一个通用或灵活的解决方案,而不需要具体的值或细节。:在某些编程语言中,下划线(_)可以作为一个无用的变量名或占位符来表示某个值不需要被使用。在不同的编程语言和上下文中,占位符可能具有不同的符号或语法。是一个占位符,表示指针为空或无效。
使用占位符
qq_40544338的博客
12-23 351
一、参考: 1、Unity-String格式化字符串 https://blog.youkuaiyun.com/ff_0528/article/details/57127790 1、总结:使用{0}就可以了 string name = "上帝"; int age = 0; string s...
Laravel 5.2 文档 数据库 —— 起步介绍
10-16
除了使用问号占位符进行参数绑定外,Laravel还支持命名绑定,这使得参数绑定更加直观易懂。 对于插入操作,Laravel提供了`insert`方法,它同样接受原生SQL语句和参数绑定数组。该方法执行后,记录将被插入到数据库...
JDBC操作数据库——查询与更新
zbx18292867339的博客
09-07 1133
JDBC连接步骤 导入JDBC包:将Java语言的*import*语句添加到Java代码中导入所需的类。 - 注册JDBC驱动程序:此步骤将使JVM将所需的驱动程序实现加载到内存中,以便它可以满足您的JDBC 请求。 - 数据库URL配置:这是为了创建一个格式正确的地址,指向要连接到的数据库。 - 创建连接对象:最后,调用DriverManager对象的getConnection()方法来建立实际的数据库连 接。 状态通道查询示例: package com; import java.sql.
数据库课设——候鸟留学项目的管理员前端页面.zip
01-05
【压缩包子文件的文件名称列表】只有一个“haah”,这可能是实际文件名的错误输入或者是临时的占位符。在真实的项目中,压缩包内通常会包含HTML文件(前端页面)、CSS文件(样式表)、JavaScript文件(处理用户交互...
Java数据库连接——JDBC
2301_78341216的博客
05-26 1328
JDBC(Java DataBase Connectivity)java数据库连接是一种用于执行SQL语句的Java API,可以为多种关系型数据库提供统一访问,它由一组用Java语言编写的类和接口组成。有了JDBC,java开发人员只需要编写一次程序,就可以访问不同的数据库
SQL占位符
m0_51548758的博客
09-30 1245
问号(?:最常用的占位符,适用于多种数据库。命名占位符(如 :name):提高可读性,强烈建议使用。百分号(%):在 LIKE 查询中作为通配符使用。数字占位符:特定数据库系统中,使用参数的位置索引。使用这些占位符可以提高 SQL 查询的安全性和可读性,减少 SQL 注入的风险。
占位符的简单介绍以及使用方法说明
2301_80240816的博客
01-23 729
我们在使用C语言编程的时候,最常用的一个函数就是printf函数,而在使用printf函数进行打印的过程中,难免会打印数值,字符等等,当这些都不为常量时,我们就得使用占位符来辅助我们打印出我们想要的东西来。因此,这篇文章我将介绍平时常用的几个占位符。本文简单介绍了常用的几种占位符,以及如何使用。我们在使用占位符的过程中一定要把占位符所占的数据类型和要打印的数值的数据类型相匹配。
使用占位符数据库进行操作
Android人生
09-07 3710
在main.xml中:       android:layout_width="fill_parent"     android:layout_height="fill_parent"     android:orientation="vertical"     android:gravity="center_horizontal">               andr
常用的占位符
最初的梦想
09-11 4597
# 常用的占位符:一般对字符串使用的 # %s:几乎可以表示任意类型的变量 x = input('请问你叫什么名字?:') # y = 'It工程师' name = '我叫%s,我是中国人'%x print(name) # %d用于表示整数 age = int(input('你多大了')) info = '我的年龄是%d岁'%age print(info) # 生成往前100页的url地址规...
mysql的字段的占位_sql语句中的#{}占位符和${}占位符(自己看的)
weixin_39983427的博客
01-30 4700
搜了一晚上,原谅我的愚蠢:这里sql中占位符#{},${} 是JDBC提供使用的,跟什么Ognl表达式,EL表达式或者jstl标签库完全没关系!#将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by “111”, 如果传入的值是id,则解析成的sql为order by “id”。$将传...
占位符
GuanghaoChen的博客
03-04 513
占位符
什么是占位符
热门推荐
Czh的博客
02-10 1万+
1、概述 占位符通常出现在sql语句中,目的是提高代码的复用性,和执行效率,我们可以通过占位符 来对数据先不处理,后续输入。 2、例子 什么是占位符 //在这个sql语句中?即为占位符,对于这个完整的sql语句,我们不处理数据,先把框架写出来 String sql = "update student set name = ? where id = ?"; 如何填充占位符 因为占位符往往跟preparedStatement相关联 ...
sql语句中占位符使用
01-04
### 使用占位符构建安全的SQL语句 在编写SQL查询时,使用占位符是一种有效的方法来预防SQL注入攻击并简化代码逻辑。通过采用预编译语句和参数化查询的方式,可以显著提高应用程序的安全性和性能。 #### C# 中使用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值