prepraredStatement.setString(index,value)

最新推荐文章于 2023-03-20 12:55:33 发布
最新推荐文章于 2023-03-20 12:55:33 发布
阅读量573 收藏
点赞数
文章标签: sql mysql java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_43845386/article/details/116147845
版权
本文探讨了在Java中使用PreparedStatement进行SQL查询时,参数绑定与字符串拼接的区别。通过示例展示了当字段名作为变量时,直接拼接与使用?占位符的不同效果,解释了为何使用预编译语句可以防止SQL注入并提高查询效率。内容包括正确使用setString方法来构造有效查询语句的方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

prepraredStatement.setString(index,value)
index:sql语句中第几个问号? ,(1,2,3,…)
value:String

	/*
	 * 总:使用setString方法会所形成的sql语句会在你的变量上加上单引号,字段名是变量要使用拼接,变量也可以使用拼接,拼接yyds
	 * 使用prep.toString()方法能够看到形成的sql语句
	 * 
	 * contains(String name,String value)
	 * name=email,value=1327680696@qq.com
	 * sql语句:SELECT * FROM d_user WHERE email="1327680696@qq.com";
	 * 
	 * 合起来写导致语句称为第一种情况,查询不到:
	 * String sql = "select * from d_user where ? = ?;";
	 * prep.setString(1, name);
	 * prep.setString(2, value);
	 * System.out.println(prep.toString());
	 * rs = prep.executeQuery();--->
	 * select * from d_user where 'email' = '1327680696@qq.com';查询不到
	 * 给字段加上了引号,查询不到
	 * 
	 * 分开写,语句变成了下面这种情况,查询得到
	 * String sql = "select * from d_user where email = ?;--->
	 * select * from d_user where email = '1327680696@qq.com';查到
	 * 
	 * 尝试拼接:
	 * String sql = "select * from d_user where "+name+" = ?;";
	 * prep.setString(1, value);---->
	 * select * from d_user where email = '1327680696@qq.com';查到
	 */
	public static boolean contains(String name,String value){
		boolean isContain = false;
		Connection con = null;
		PreparedStatement prep = null;
		ResultSet rs = null;
		con = DBUtil.getCon();
//		String sql = "select * from d_user where ? = ?;";
		String sql = "select * from d_user where "+name+" = ?;";
		System.out.println(name+value);
		try {
			prep = con.prepareStatement(sql);
//			prep.setString(1, name);
//			prep.setString(2, value);
			prep.setString(1, value);
			System.out.println(prep.toString());
			rs = prep.executeQuery();
			if(rs.next()){
				System.out.println("yes");
				isContain = true;
			}
		} catch (SQLException e) {
			// TODO Auto-generated catch block
			e.printStackTrace();
		}
		
		try {
			DBUtil.close(rs, prep, con);
		} catch (SQLException e) {
			// TODO Auto-generated catch block
			e.printStackTrace();
		}
		return isContain;
	}
setstring mysql_Statement.setString(,);工作
weixin_28868483的博客
01-19 724
请问我的Statement.setString(1,"查看");工作?很无语 就算我把这里的第二个参数变成常量字符串也没办法工作,查询出东西 求解!!!!!!急req.setCharacterEncoding("UTF-8");String command=req.getParameter("command");String description=req.getParameter("des...
preparedstatement对象的setstring方法_设计模式 —— 模版方法(Template Method)模式...
weixin_39917211的博客
12-16 684
写在前面设计模式贯穿软件开发整个过程,虽然看了很多相关的文章和书籍,但是理解和使用感觉都差点儿意思。所以借再看设计模式——《漫谈设计模式,从面向对象开始》,梳理其中精髓的设计思想。为什么需要设计模式?变化是永恒的无论你处于多大的团队,团队采用什么样的开发模式,你总是能听到这样的一句话:The Only Thing In The World That Doesn't Change Is C...
JavaEE--prepareStatement后面的setString()方法是为何?
热门推荐
山顶雨人
04-15 1万+
prepareStatement执行sql代码进行username和password验证后,还要把两者通过setString()再插入下。 [pstmt = ct.prepareStatement("sql");pstmt.setString(1,name);ResultSet rs = pstmt.executeQuery();]
mysql setstring,PreparedStatement setString IN 传多个参数
weixin_39620273的博客
03-17 706
今天在使用PreparedStatement进行预编译时,发现使用IN(String) 传入一个字符串一逗号为分隔符却失效,例如传入"a,b,c", 查询的是"a" "b" "c"三个数据,而是"a,b,c"一个数据SELECT d.* FROM TLK_列表_分页 d WHERE 1=1 AND ITEM_多行文本二 IN ( ?)这条语句中的参数在使用PrepareStatement来预编...
oracle java 绑定变量的值,如何从Oracle JDBC PreparedStatement对象获取绑定参数的值
weixin_39642998的博客
02-28 295
I want to implement logging of all executed statements with actual bind parameters when using Oracle JDBC. And I would prefer that I could create such logging method only passing PreparedStatement obj...
OpenMLDB:一文了解带参数查询语句(paramterized query statement) 的细节
第四范式开发者社区
09-30 594
背景 In database management systems (DBMS), a prepared statement or parameterized statement is a feature used to execute the same or similar database statements repeatedly with high efficiency. Typically used with SQL statements such as queries or updates, t
怎样使用PreparedStatement在执行添加语句后,获得生成的主键值
iteye_18067的博客
11-21 369
传送给数据库的 SQL 语句通过一个包含两个步骤的过程来返回结果。首先准备它们,然后处理它们。借助 Statement 对象,这两个阶段对应用程序而言变成一个阶段。PreparedStatement 允许将这两个步骤分开。准备步骤在创建对象时发生,而处理步骤在对 PreparedStatement 对象调用 executeQuery、executeUpdate 或 execute 方法...
使用PreparedStatementsetString方法会自动在数据库相应表项后面补空格解决办法
evilcry2012的专栏
11-14 8213
使用PreparedStatementsetString方法会自动在数据库相应表项后面补空格解决办法 原创 2013年10月03日 19:20:27 标签:数据库 /sql /java /Preparedment /产生空格 1910 数据库表的数据项如果设置为char、verchar类型,使用PreparedStatement向表中插入字符串
jdbc prepareStatement 获取参数
lifeneedyou的专栏
09-10 883
       在JDBC的prepareStatement 的时候,我们经常使用ps.setString()这样的方式来设置参数   那么在程序里面我们如何得到这个参数呢,经过一番思考,在网上找了少资料,主要参考如下两种方式   第一种:参考IBM开发网 LoggableStatement   http://www.ibm.com/developerworks/cn/java/...
PreparedStatement 中的setString
qq_39951411的博客
08-12 1420
PreparedStatement 中的setString
prepareStatement中setString方法产生空指针异常NullPointerException
qq_43825301的博客
05-10 2066
记一次万恶之源NullPointerException的错误 今天在写java实验的时候用到jdbc, 由于好久用了 导致一部分知识忘了 conn = JDBCUtils.getConnection(); stmt.setString(1, id); stmt = conn.prepareStatement(sql); rs = stmt.executeQuery(); 运行至第二行报错,单独把这个方法拉出来手动赋值也是空指针异常 结果突然想到是是语句顺序写错了 换成(2,3行交换位置) conn =
JDBC中PreparedStatement详解及应用场景介绍
weixin_62079735的博客
03-20 7970
Java中,当需要向数据库中执行SQL语句并传递参数时,我们通常会使用PreparedStatement接口。PreparedStatement继承自Statement接口,用于预编译SQL语句并执行参数化查询,这样可以提高执行效率并防止SQL注入攻击。
PreparedStatementsetString用法
weixin_43971862的博客
10-09 8504
源码中:void setString(int parameterIndex, String x) throws SQLException; 实际开发中,conn = DriverManager.getConnection(url, userName, password);//自己链接数据库 PreparedStatement pstmtInsert = conn.prepareStatement(“INSERT INTO student VALUES(?, ?, ?, ?)); // 创建语句,里面的参数
2021-02-23
weixin_49759457的博客
02-23 509
1. 事务机制管理 Transaction事务机制管理 默认情况下,是执行一条SQL语句就保存一次,那么比如我需要 有三条数据同时成功同时失败,这个时候就需要开启事务机制了 如果开启事务机制,执行中发生问题,会回滚到没有操作之前,相当于什么也没有发生过 没有事务处理的操作 Connection conn = null; PreparedStatement prst = null; Statement stmt = null; ...
JDBC基础
Ab_999的博客
09-04 476
首先 现在全权使用JDBC的业务已经很少了,学习JDBC主要学习其原理。 需求 早期的数据库应⽤程序开发,因为没有通⽤的针对于数据库的编程接⼝,所以,开发⼈员需要学习相关数据库的API,才可以进⾏应⽤程序,这样增加了学习成本和开发周期。因此整个开发市场⼀直在呼吁有⼀套通⽤的编程接⼝ ODBC 因为有市场需要,微软定义了⼀组⽤于数据库应⽤程序的编程接⼝ODBC(open database connectivity)。这⼀套⽅案⼤⼤缩短了程序的开发周期,可以让开发⼈员只需要调⽤同⼀套编程接⼝,⽆需考虑具体
mysql为例介绍PreparedStatement防止sql注入原理
lisehouniao的博客
05-28 9923
最近,在写程序时开始注意到sql注入的问题,由于以前写代码时是很注意,有一些sql会存在被注入的风险,那么防止sql注入的原理是什么呢?我们首先通过PrepareStatement这个类来学习一下吧! 作为一个IT业内人士只要接触过数据库的人都应该知道sql注入的概念及危害,那么什么叫sql注入呢?我在这边先给它来一个简单的定义:sql注入,简单来说就是用户在前端web页面输入恶意的sql语句用
【很有料】浅析Statement和PreparedStatementSQL注入
daobuxinzi的博客
10-19 532
因为SQL语句在程序运行前已经进行了预编译,在程序运行时第一次操作数据库之前,SQL语句已经被数据库分析,编译和优化,对应的执行计划也会缓存下来并允许数据库已参数化的形式进行查询,当运行时动态地把参数传给PreprareStatement时,即使参数里有敏感字符如 or '1=1'也数据库会作为一个参数一个字段的属性值来处理而会作为一个SQL指令,如此,就起到了SQL注入的作用了!这就是一个最简单sql注入的例子,输入包含sql命令的内容,欺骗服务器执行破坏数据。,直接删除了数据表,十分的危险。
pstmt.setString(1, usernameField); pstmt.setString(2, password); pstmt.setString(3, userType);
最新发布
06-07
例如,如果SQL语句中有三个占位符,那么可以使用pstmt.setString(1, value1)来设置第一个占位符的值,使用pstmt.setString(2, value2)来设置第二个占位符的值,以此类推。这样就可以动态地设置SQL语句中的参数,从而...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

且放白鹿青涯间

你的打赏将是我最大的鼓励

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值