演示业务中必须使用Statement完成字符串的拼接

最新推荐文章于 2023-02-27 16:44:31 发布
最新推荐文章于 2023-02-27 16:44:31 发布
阅读量593 收藏
点赞数
分类专栏: Java 文章标签: mysql java sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_45041745/article/details/120064312
版权
本文探讨了在Java中使用PreparedStatement和Statement处理SQL查询时遇到的问题。当尝试用PreparedStatement按用户输入排序时,由于SQL语法错误导致执行失败。问题在于?占位符将输入作为字符串处理,不适合动态SQL片段。因此,改用Statement进行字符串拼接解决了问题,但同时也暴露了SQL注入的风险。文章强调了在处理用户输入时预防SQL注入的重要性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

接上篇:java.sql.SQLSyntaxErrorException: Unknown column ‘xxx‘ in ‘where clause‘问题解决及防止SQL注入
演示业务中必须使用Statement完成字符串的拼接.

文章目录

1、需求:

输入desc,对表中的数据按名字降序排序;
输入asc,对表中的数据按名字升序排序。

2、代码:

2.1 尝试用PreparedStatement完成

package com.sunny;
import java.sql.*;
import java.util.Scanner;
/**
 * 尝试用PreparedStatement完成:输入desc,对表中的数据按名字降序排序
 *                   		   输入asc,对表中的数据按名字升序排序
 */
public class JDBCTest08 {
    public static void main(String[] args) {
        Connection conn = null;
        PreparedStatement ps = null;
        ResultSet rs = null;
        Scanner scanner = new Scanner(System.in);
        System.out.println("输入关键字:asc升序输出,desc降序输出");
        String kw = scanner.nextLine();
        try {
            //注册驱动
            Class.forName("com.mysql.cj.jdbc.Driver");
            //获取连接
            conn = DriverManager.getConnection("jdbc:mysql://127.0.0.1:3306/mytest?serverTimezone=Asia/Shanghai","root","123456");
            //获取预编译的数据库操作对象
            String sql = "select * from user order by username ?";
            ps = conn.prepareStatement(sql);
            //传值
            ps.setString(1, kw);
            //执行sql
            rs = ps.executeQuery();
            while (rs.next()){
                System.out.println(rs.getInt("id") + "--"
                               + rs.getString("username") + "--"
                               + rs.getString("password"));
            }
        } catch (ClassNotFoundException e) {
            e.printStackTrace();
        } catch (SQLException e) {
            e.printStackTrace();
        }finally {
            if (rs != null) {
                try {
                    rs.close();
                } catch (SQLException e) {
                    e.printStackTrace();
                }
            }
            if (ps != null) {
                try {
                    ps.close();
                } catch (SQLException e) {
                    e.printStackTrace();
                }
            }
            if (conn != null) {
                try {
                    conn.close();
                } catch (SQLException e) {
                    e.printStackTrace();
                }
            }
        }
    }
}

运行结果:

D:\Java\jdk1.8.0_202\bin\java.exe...
输入关键字:asc升序输出,desc降序输出
asc
java.sql.SQLSyntaxErrorException: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''asc'' at line 1
	at com.mysql.cj.jdbc.exceptions.SQLError.createSQLException(SQLError.java:120)
	at com.mysql.cj.jdbc.exceptions.SQLError.createSQLException(SQLError.java:97)
	at com.mysql.cj.jdbc.exceptions.SQLExceptionsMapping.translateException(SQLExceptionsMapping.java:122)
	at com.mysql.cj.jdbc.ClientPreparedStatement.executeInternal(ClientPreparedStatement.java:953)
	at com.mysql.cj.jdbc.ClientPreparedStatement.executeQuery(ClientPreparedStatement.java:1003)
	at com.sunny.JDBCTest08.main(JDBCTest08.java:30)

Process finished with exit code 0

2.2 结论

通过上面可以发现:
用PreparedStatement无法完成的,因为用?的话会以字符串的形式传入desc/asc,导致拼接的sql语句出现语法问题,所以报错。

2.3 改用Statement

package com.sunny;
import java.sql.*;
import java.util.Scanner;
/**
 * 利用Statement完成:输入desc,对表中的数据按名字降序排序
 *                   输入asc,对表中的数据按名字升序排序
 */
public class JDBCTest08 {
    public static void main(String[] args) {
        Connection conn = null;
        Statement stmt = null;
        ResultSet rs = null;
        Scanner scanner = new Scanner(System.in);
        System.out.println("输入关键字:asc升序输出,desc降序输出");
        String kw = scanner.nextLine();
        try {
            //注册驱动
            Class.forName("com.mysql.cj.jdbc.Driver");
            //获取连接
            conn = DriverManager.getConnection("jdbc:mysql://127.0.0.1:3306/mytest?serverTimezone=Asia/Shanghai","root","123456");
            //获取预编译的数据库操作对象
            String sql = "select * from user order by username " + kw ; //进行字符串拼接
            //执行sql
            stmt = conn.createStatement();

            rs = stmt.executeQuery(sql);
            while (rs.next()){
                System.out.println(rs.getInt("id") + "--"
                        + rs.getString("username") + "--"
                        + rs.getString("password"));
            }
        } catch (ClassNotFoundException e) {
            e.printStackTrace();
        } catch (SQLException e) {
            e.printStackTrace();
        }finally {
            if (rs != null) {
                try {
                    rs.close();
                } catch (SQLException e) {
                    e.printStackTrace();
                }
            }
            if (stmt != null) {
                try {
                    stmt.close();
                } catch (SQLException e) {
                    e.printStackTrace();
                }
            }
            if (conn != null) {
                try {
                    conn.close();
                } catch (SQLException e) {
                    e.printStackTrace();
                }
            }
        }
    }
}

运行结果:
在这里插入图片描述
在这里插入图片描述

JDBC系列(五):JDBC利用PrepareStatement实现键盘输入信息的数据库增、删、改
北溟南风起
07-06 1642
JDBC系列(五):JDBC利用PrepareStatement实现键盘输入信息的数据库增、删、改 目录JDBC系列(五):JDBC利用PrepareStatement实现键盘输入信息的数据库增、删、改1. Statement字符串拼接(变量使用)时显现弊端2. PrepareStatement提供良好字符串拼接(变量使用)方案3. 程序对比展示4. 程序功能介绍与结果演示 1. Statement字符串拼接(变量使用)时显现弊端 使用变量时(涉及拼接字符串):Statement表达比较麻烦,我们用Pr
PreparedStatement
小小海豚呀
01-31 196
Statement是将java查询语句发送到mysql中的管道,但是有sql注入问题,就是它都是以字符串拼接的方式来发送的,如果传值为1 or 1或1=1这种一定为true的东西过去,会有安全隐患 例如 SELECT user, password FROM user_table WHERE user=‘a’ OR 1 = ’ AND password = ’ OR ‘1’ = ‘1’ PreparedState所代表sql语句可以使用占位符"?",一个占位符就代表了sql语句里的一个未知参数,调用Prep
jdbc总结5-preparedStatement解决-sql语句的拼写问题
zhangxucumt的博客
08-29 499
在读写数据库的时候在经常遇到要拼写sql语句的问题 例如 插入一个数据 // 获取数据库操作对象 Statement stat=cnn.createStatement(); // 执行sql语句 String sql="insert into student(name,sex,id,age)values('zhangsan6','boy',123,18)"; int row=stat.executeUpdate(sql); 在开发过程中,‘zhangsan6’,‘boy’,123,18这些信
java-mybaits-016-mybatis知识点StatementType
dilv4062的博客
09-07 304
1、statementType 在mapper文件中可以使用statementType标记使用什么的对象操作SQL语句。 statementType:标记操作SQL的对象 要实现动态传入表名、列名,需要做如下修改 ,添加属性statementType=”STATEMENT” ,同时sql里的属有变量取值都改成${xxxx},而不是#{xxx} <delete id="...
idea连接数据库02-preparedStatement解决SQL注入
weixin_46074430的博客
12-21 797
public void test01() throws Exception {//DQL Properties properties = new Properties(); properties.load(new FileInputStream("src\\mysql.properties")); String url = properties.getProperty("url"); //加载driver Class....
【MATLAB字符串处理法】:轻松从CSV文件中提取信息
MATLAB作为一种广泛使用的数学计算软件,其强大的字符串处理功能使得复杂的数据操作变得简单。字符串是用于表示文本信息的数据类型,在数据处理和分析中扮演着重要角色。在MATLAB中,字符串可以被存储为字符数组或者...
【网络安全】:Java字符串处理在安全中的应用案例分析
Java编程语言中,字符串(String)是处理文本的核心数据类型。随着应用的复杂性增加,字符串处理的能力和效率直接影响软件的性能与安全性。在实际开发过程中,熟练掌握字符串操作是每一位Java开发者的基本功。 ##...
Javascript实现SQLJava字符串互转指南
JavaScript中创建和处理SQL语句时,需要注意字符串拼接的安全性,以防止SQL注入攻击。 #### Java字符串使用场景 Java字符串通常用于接收来自前端的请求数据,比如查询条件。将这些字符串转换为SQL语句需要使用...
C++ Builder字符串转换误区解析
文章首先概述了字符串转换的基本知识,随后分析了在进行基本类型与字符串字符串与基本类型以及复杂数据结构的转换过程中常见的错误。第三章详细讨论了如何正确运用转换函数,重视文化敏感性,并避免安全风险。在...
字符串输入验证与防止注入攻击
在开发过程中,对用户输入的字符串进行验证是非常重要的一步,可以有效防止一些潜在的安全风险。以下是一些常见的字符串输入验证方法: ### 正则表达式验证 正则表达式是一种强大的字符串匹配工具,可以用来检查...
PreparedStatement字符串拼接
dicmo的专栏
11-18 1374
这在里求JDBC中PreparedStatement的实现,我想不会是这样来拼接。 [code="java"] package com.dicmo.test; import java.util.ArrayList; import java.util.List; public class PreparedStatement{ private String sql; ...
StatementPrepareStatement执行SQL
weixin_52629592的博客
05-26 1724
Statement和Preparedment都是用来实现数据库连接的API接口,下面我们对两者的实现方式分别进行介绍 一.Statement 概述 statement用于执行一些简单的静态SQL语句,并返回它所生成的结果对象 接口: public interface Statement extends Wrapper 在默认情况下,同一时间内每个Statement对象只能打开一个ResultSet对象.因此,如果读取一个ResultSet对象与另一个交叉,则这两个对象必须..
PrepareStatement sql语句in中多个参数的实现
热门推荐
LIsmooth的博客
08-08 2万+
下边是今天探索PrepareStatement预编译where条件为in的sql语句的过程,在mysql环境中只有第四种方法实现了,Oracle中可能第三种也可以不过没有测试,如果有需要可以直接跳转。1.通过拼接字符串设置参数×今天在实现一个数据库批量更新的代码时,发现String sql = "UPDATE t_demo SET columns='Well' WHERE column_id IN
用PreparedStatement解决SQL注入问题
平安喜乐
02-27 1072
使用PreparedStatement预编译SQL语句并执行,预防SQL注入问题。
sql学习9
yuezheyue123的博客
12-18 253
数据库存取计算书 JDBC 最基本的 JDO  java data Object 第三方O/R工具mybatis  hibernate    使用PreparedStatement能够解决sql拼接sql的注入的问题   try {               // 加载jdbc.properties资源配置文件               Properties pro = ...
PreparedStatement 不能用?代替表名的原因
qq_39015329的博客
08-24 2769
PreparedStatement 不能用?代替表名的原因:preparedStatement代替 ? 的string都是用‘ ’单引号包裹着,导致sql认为我的表名是个字符串,所以报错。
[疯狂Java]JDBC:PreparedStatement预编译执行SQL语句
Lirx_Tech的专栏
04-14 1万+
1. SQL语句的执行过程——Statement直接执行的弊病:     1) SQL语句和编程语言一样,仅仅就会普通的文本字符串,首先数据库引擎无法识别这种文本字符串,而底层的CPU更不理解这些文本字符串(只懂二进制机器指令),因此SQL语句在执行之前肯定需要编译的;     2) SQL语句的执行过程:提交SQL语句 -> 数据库引擎对SQL语句进行编译得到数据库可执行的代码 -> 执行S
009、PreparedStatement接口---解决SQL注入问题(输入特殊字符能登录)
l0510402015的博客
03-07 840
该对象有Connection对象的方法prepareStatement(String sql) 返回 一、PreparedStatement:执行sql的对象 1.SQL注入问题:在拼接sql时,有一些sql的特殊关键字参与字符串拼接。会造成安全性问题 1.输入用户随便,输入密码:a' or 'a' = 'a 2.sql:...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ED_Sunny小王

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值