JDBC入门(3)--- PrepareStatement

2024-06-20 01:18

本文主要是介绍JDBC入门(3)--- PrepareStatement,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

一、PrepareStatement概述

  PrepareStatement是Statement接口的子接口;

1、强大之处:

    • 防SQL攻击;
    • 提高代码的可读性;
    • 提高效率;

2、PrepareStatement的用法:

    • 如何得到PrepareStatement对象
      • 给出SQL模板。
      • 调用Connection的PreparedStatement  prepareStatement(String sql模板);
      • 调用pstmt的setXxx()系列方法sql模板中的?赋值
      • 调用pstmt的executeUpdate()或executeQuery(),但它的方法都没有参数。

3、预处理的原理:

    • 服务器的工作:
      • 校验sql语句的语法;
      • 编译:一个与函数相似的东西
      • 执行:调用函数
    • PreparedStatement:
      • 前提:连接的数据库必须支持预处理,几乎没有不支持的。
      • 每一个pstmt都与sql模板绑定在一起,先把sql模板给数据库,数据库先进行校验,再进行编译。执行时只是把参数传递过去而已。
      • 若二次执行时,就不用再次校验语法,也不用再次编译,直接执行。
    • 预处理默认情况是关闭的,可在设置url时添加参数进行开启,如:
String url = "jdbc:mysql://localhost:3306/mydb1?useServerPrepstmts=ture&cachePreStmts=true";

二、什么是SQL攻击

    在需要用户输入的地方,用户输入的是SQL语句的片段,最终用户输入的SQL片段与我们DAO中写的SQL语句合成一句完整的SQL语句,例如用户在登录时输入的用户名和密码都是为SQL语句的片段。

 1 package demo3;2 3 import org.junit.Test;4 import java.io.IOException;5 import java.sql.*;6 7 /**8  * PreapredStatement9  * 防SQL攻击
10  */
11 public class Demo3 { 12 /** 13 * 登录 14 * 使用username和password去查询数据 15 * 若查询出结果集,说明正确,返回true 16 * 若查询不出结果,说明用户名或密码错误,返回false 17 */ 18 public boolean login(String username,String password) throws Exception{ 19 /* 20 * 一、得到Connection 21 * 二、得到Statement 22 * 三、得到ResultSet 23 * 四、rs.next()返回的是什么,我们就放回什么 24 * */ 25 String driverClassName = "com.mysql.jdbc.Driver"; 26 String url = "jdbc:mysql://localhost:3306/mydb1"; 27 String mysqlUsername = "root"; 28 String mysqlPassword = ""; 29  Class.forName(driverClassName); 30 Connection con = DriverManager.getConnection(url,mysqlUsername,mysqlPassword); 31 Statement stmt = con.createStatement(); 32 String sql = "SELECT * FROM t_user WHERE username='" username "' AND password='" password "'"; 33  System.out.println(sql); 34 ResultSet rs = stmt.executeQuery(sql); 35 return rs.next(); 36  } 37  @Test 38 public void fun1() throws Exception { 39 //SELECT * FROM t_user WHERE username='a' or 'a'='a' AND password='a' or 'a'='a' 40 String username = "a' or 'a'='a"; 41 String password = "a' or 'a'='a"; 42 boolean bool = login(username,password); 43 System.out.println(bool);//输出为true 44  } 45 public boolean login2(String username,String password) throws Exception { 46 /* 47 * 一、得到Connection 48 * 二、得到Statement 49 * 三、得到ResultSet 50 * 四、rs.next()返回的是什么,我们就放回什么 51 * */ 52 String driverClassName = "com.mysql.jdbc.Driver"; 53 String url = "jdbc:mysql://localhost:3306/mydb1?useServerPrepstmts=ture&cachePreStmts=true"; 54 String mysqlUsername = "root"; 55 String mysqlPassword = ""; 56  Class.forName(driverClassName); 57 Connection con = DriverManager.getConnection(url, mysqlUsername, mysqlPassword); 58 59 /* 60 * 一、得到PreparedStatement 61 * 1、给出sql模板:所有的参数使用?来替代 62 * 2、调用Connection方法,得到PreparedStatement 63 * */ 64 //SELECT * FROM t_user WHERE username=? AND password=? 65 String sql = "SELECT * FROM t_user WHERE username=? AND password=?"; 66 PreparedStatement pstmt = con.prepareStatement(sql); 67 /* 68 * 二、为参数赋值 69 * */ 70 pstmt.setString(1,username);//给第1个问号赋值,值为username 71 pstmt.setString(2,password);//给第2个问号赋值,值为password 72 ResultSet rs = pstmt.executeQuery();//调用查询方法,向数据库发送查询语句 73 return rs.next(); 74  } 75  @Test 76 public void fun2() throws Exception { 77 String username = "a' or 'a'='a"; 78 String password = "a' or 'a'='a"; 79 boolean bool = login2(username,password); 80 System.out.println(bool);//输出为fasle 81  } 82 /* 83 * 测试JdbcUtils.getConnection 84 * */ 85  @Test 86 public void fun3() throws IOException,ClassNotFoundException,SQLException{ 87 Connection con = JdbcUtils.getConnection(); 88  System.out.println(con); 89 Connection con1 = JdbcUtils.getConnection(); 90  System.out.println(con); 91  } 92 }

 

这篇关于JDBC入门(3)--- PrepareStatement的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1076693

相关文章

从入门到精通MySQL联合查询

《从入门到精通MySQL联合查询》:本文主要介绍从入门到精通MySQL联合查询,本文通过实例代码给大家介绍的非常详细,需要的朋友可以参考下... 目录摘要1. 多表联合查询时mysql内部原理2. 内连接3. 外连接4. 自连接5. 子查询6. 合并查询7. 插入查询结果摘要前面我们学习了数据库设计时要满

从入门到精通C++11 <chrono> 库特性

《从入门到精通C++11<chrono>库特性》chrono库是C++11中一个非常强大和实用的库,它为时间处理提供了丰富的功能和类型安全的接口,通过本文的介绍,我们了解了chrono库的基本概念... 目录一、引言1.1 为什么需要<chrono>库1.2<chrono>库的基本概念二、时间段(Durat

解析C++11 static_assert及与Boost库的关联从入门到精通

《解析C++11static_assert及与Boost库的关联从入门到精通》static_assert是C++中强大的编译时验证工具,它能够在编译阶段拦截不符合预期的类型或值,增强代码的健壮性,通... 目录一、背景知识:传统断言方法的局限性1.1 assert宏1.2 #error指令1.3 第三方解决

从入门到精通MySQL 数据库索引(实战案例)

《从入门到精通MySQL数据库索引(实战案例)》索引是数据库的目录,提升查询速度,主要类型包括BTree、Hash、全文、空间索引,需根据场景选择,建议用于高频查询、关联字段、排序等,避免重复率高或... 目录一、索引是什么?能干嘛?核心作用:二、索引的 4 种主要类型(附通俗例子)1. BTree 索引(

Redis 配置文件使用建议redis.conf 从入门到实战

《Redis配置文件使用建议redis.conf从入门到实战》Redis配置方式包括配置文件、命令行参数、运行时CONFIG命令,支持动态修改参数及持久化,常用项涉及端口、绑定、内存策略等,版本8... 目录一、Redis.conf 是什么?二、命令行方式传参(适用于测试)三、运行时动态修改配置(不重启服务

MySQL DQL从入门到精通

《MySQLDQL从入门到精通》通过DQL,我们可以从数据库中检索出所需的数据,进行各种复杂的数据分析和处理,本文将深入探讨MySQLDQL的各个方面,帮助你全面掌握这一重要技能,感兴趣的朋友跟随小... 目录一、DQL 基础:SELECT 语句入门二、数据过滤:WHERE 子句的使用三、结果排序:ORDE

Python中OpenCV与Matplotlib的图像操作入门指南

《Python中OpenCV与Matplotlib的图像操作入门指南》:本文主要介绍Python中OpenCV与Matplotlib的图像操作指南,本文通过实例代码给大家介绍的非常详细,对大家的学... 目录一、环境准备二、图像的基本操作1. 图像读取、显示与保存 使用OpenCV操作2. 像素级操作3.

关于Mybatis和JDBC的使用及区别

《关于Mybatis和JDBC的使用及区别》:本文主要介绍关于Mybatis和JDBC的使用及区别,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录1、JDBC1.1、流程1.2、优缺点2、MyBATis2.1、执行流程2.2、使用2.3、实现方式1、XML配置文件

POI从入门到实战轻松完成EasyExcel使用及Excel导入导出功能

《POI从入门到实战轻松完成EasyExcel使用及Excel导入导出功能》ApachePOI是一个流行的Java库,用于处理MicrosoftOffice格式文件,提供丰富API来创建、读取和修改O... 目录前言:Apache POIEasyPoiEasyExcel一、EasyExcel1.1、核心特性

Python中模块graphviz使用入门

《Python中模块graphviz使用入门》graphviz是一个用于创建和操作图形的Python库,本文主要介绍了Python中模块graphviz使用入门,具有一定的参考价值,感兴趣的可以了解一... 目录1.安装2. 基本用法2.1 输出图像格式2.2 图像style设置2.3 属性2.4 子图和聚