【WEEK7】 【DAY5】JDBC—PreparedStatement对象【中文版】

2024-04-14 10:44

本文主要是介绍【WEEK7】 【DAY5】JDBC—PreparedStatement对象【中文版】,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

2024.4.12 Friday
接上文【WEEK7】 【DAY4】JDBC—statement对象【中文版】

目录

  • 10.3.PreparedStatement对象
    • 10.3.1.PreparedStatement可以防止SQL注入,效率比statement更高
    • 10.3.2.插入
    • 10.3.3.删除
    • 10.3.4.更新
    • 10.3.5.查询
    • 10.3.6.防止SQL注入
      • 10.3.6.1.正常情况下
      • 10.3.6.2.结果
      • 10.3.6.3.Sql注入失败
      • 10.3.6.4.结果
  • 10.4.使用IDEA连接数据库
    • 10.4.1.如下图

10.3.PreparedStatement对象

10.3.1.PreparedStatement可以防止SQL注入,效率比statement更高

10.3.2.插入

package lesson.three;import lesson.two.utils.JdbcUtils;import java.sql.*;public class TestInsert {public static void main(String[] args) {Connection conn = null;PreparedStatement st = null;try {conn = JdbcUtils.getConnection();//和一般的statement区别:使作为用问号作为占位符String sql = "INSERT INTO users(id,`NAME`,`PASSWORD`,`email`,`birthday`) VALUES (?,?,?,?,?)";st = conn.prepareStatement(sql);   //预编译SQL:先生成SQL但不执行//手动给参数赋值//set...的语法对应了传入函数参数每个位置以及希望设置成的参数st.setInt(1,4); //idst.setString(2,"lqf");st.setString(3,"987654");st.setString(4,"27046873@qq.com");st.setDate(5,new java.sql.Date(new java.util.Date().getTime()));//new Date().getTime()即:外层括号内是计算机的时间,需要转化成mysql的时间//sql.Date是数据库时间,util.Date是Java的//因为setDate的源码中时间的参数是数据库类型的:void setDate(int parameterIndex, java.sql.Date x)//所以要另外用new Date().getTime()获得时间戳(这个版本里需要使用“new java.util.Date().getTime()”才不报错)//执行int i = st.executeUpdate();if(i > 0){System.out.println("插入成功");}} catch (SQLException e) {e.printStackTrace();} finally {JdbcUtils.release(conn,st,null);}}
}
  • 结果
    在这里插入图片描述
    在这里插入图片描述

10.3.3.删除

package lesson.three;import lesson.two.utils.JdbcUtils;import java.sql.*;public class TestDelete {public static void main (String[] args) {Connection conn = null;PreparedStatement st = null;try {conn = JdbcUtils.getConnection();//和一般的statement区别:使作为用问号作为占位符String sql = "DELETE FROM users WHERE id = ?";st = conn.prepareStatement(sql);   //预编译SQL:先生成SQL但不执行//手动给参数赋值st.setInt(1,4); //id//执行int i = st.executeUpdate();if(i > 0){System.out.println("删除成功");}} catch (SQLException e) {e.printStackTrace();} finally {JdbcUtils.release(conn,st,null);}}
}
  • 结果
    在这里插入图片描述
    在这里插入图片描述
    *输入完代码后没有出现可以运行的标志:一般是系统没有检测到主函数->最低级的错误是main函数字母拼写错误,先检查这个再去上网搜其他可能

10.3.4.更新

package lesson.three;import lesson.two.utils.JdbcUtils;import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.SQLException;public class TestUpdate {public static void main(String[] args){Connection conn = null;PreparedStatement st = null;try {conn = JdbcUtils.getConnection();//和一般的statement区别:使作为用问号作为占位符String sql = "UPDATE users SET `NAME` = ? WHERE id = ?";st = conn.prepareStatement(sql);   //预编译SQL:先生成SQL但不执行//手动给参数赋值st.setString(1,"阿布巴卡");st.setInt(2,1); //id//执行int i = st.executeUpdate();if(i > 0){System.out.println("更新成功");}} catch (SQLException e) {e.printStackTrace();} finally {JdbcUtils.release(conn,st,null);}}
}
  • 结果
    在这里插入图片描述
    在这里插入图片描述

10.3.5.查询

package lesson.three;import lesson.two.utils.JdbcUtils;import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;public class TestSelect {public static void main(String[] args){Connection conn = null;PreparedStatement st = null;ResultSet rs = null;try {conn = JdbcUtils.getConnection();//编写SQLString sql = "SELECT * FROM users WHERE id = ?";st = conn.prepareStatement(sql);   //预编译SQL:先生成SQL但不执行//传递参数st.setInt(1,1); //id//执行rs = st.executeQuery();if(rs.next()){System.out.println(rs.getString("NAME"));}} catch (SQLException e) {e.printStackTrace();} finally {JdbcUtils.release(conn,st,rs);}}
}
  • 结果
    在这里插入图片描述

10.3.6.防止SQL注入

10.3.6.1.正常情况下

package lesson.three;import lesson.two.utils.JdbcUtils;import java.sql.*;public class prevent_SQL_injection {public static void main(String[] args){login("阿布巴卡","123456"); //正常情况下
//        login("''or '1=1 ","'or '1=1 "); //sql  注入}//登录业务public static void login(String username, String password){Connection conn = null;PreparedStatement st = null;ResultSet rs = null;try {conn = JdbcUtils.getConnection();//SQLString sql = "SELECT * FROM users WHERE `NAME`=? AND `PASSWORD`=?";st = conn.prepareStatement(sql);st.setString(1,username);st.setString(2,password);//查询完毕返回的结果集保存在rs中rs = st.executeQuery(); //括号里的sql要删去,否则报错,但原因未知//打印while (rs.next()) {System.out.println(rs.getString("NAME"));System.out.println(rs.getString("email"));System.out.println(rs.getString("password"));System.out.println("===========================");}} catch (SQLException e) {throw new RuntimeException(e);} finally {JdbcUtils.release(conn,st,rs);}}
}

10.3.6.2.结果

在这里插入图片描述

10.3.6.3.Sql注入失败

只修改login语句

login("''or '1=1 ","'or '1=1 "); //sql  注入

10.3.6.4.结果

(查不出结果)
在这里插入图片描述

10.4.使用IDEA连接数据库

10.4.1.如下图

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
理论上成功了就行,但实际应用中几乎用不到。
通过IDEA新建一个p37jdbc数据库下的表并插入数据:

-- P44
-- 创建用户表
CREATE TABLE account(id INT PRIMARY KEY AUTO_INCREMENT,NAME VARCHAR(40),money FLOAT
);
-- 插入测试数据
INSERT INTO account(`NAME`, money) VALUES ('A', 1000);
INSERT INTO account(`NAME`, money) VALUES ('B', 1000);
INSERT INTO account(`NAME`, money) VALUES ('C', 1000);

这篇关于【WEEK7】 【DAY5】JDBC—PreparedStatement对象【中文版】的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/902799

相关文章

滚雪球学Java(87):Java事务处理:JDBC的ACID属性与实战技巧!真有两下子!

咦咦咦,各位小可爱,我是你们的好伙伴——bug菌,今天又来给大家普及Java SE啦,别躲起来啊,听我讲干货还不快点赞,赞多了我就有动力讲得更嗨啦!所以呀,养成先点赞后阅读的好习惯,别被干货淹没了哦~ 🏆本文收录于「滚雪球学Java」专栏,专业攻坚指数级提升,助你一臂之力,带你早日登顶🚀,欢迎大家关注&&收藏!持续更新中,up!up!up!! 环境说明:Windows 10

Java第二阶段---09类和对象---第三节 构造方法

第三节 构造方法 1.概念 构造方法是一种特殊的方法,主要用于创建对象以及完成对象的属性初始化操作。构造方法不能被对象调用。 2.语法 //[]中内容可有可无 访问修饰符 类名([参数列表]){ } 3.示例 public class Car {     //车特征(属性)     public String name;//车名   可以直接拿来用 说明它有初始值     pu

JavaEE7 Servlet 3.1(JSR 340)规范中文版

http://www.iteye.com/news/27727-jinnianshilongnian     Jave EE 7中的部分规范已正式获得批准通过,其中包括JSR340 Java Servlet 3.1规范,去年翻译了该规范,在此分享出来,希望对某些朋友有所帮助,不足之处请指正。   点击直接下载    在线版目录   Servlet3.1规范翻译

HTML5自定义属性对象Dataset

原文转自HTML5自定义属性对象Dataset简介 一、html5 自定义属性介绍 之前翻译的“你必须知道的28个HTML5特征、窍门和技术”一文中对于HTML5中自定义合法属性data-已经做过些介绍,就是在HTML5中我们可以使用data-前缀设置我们需要的自定义属性,来进行一些数据的存放,例如我们要在一个文字按钮上存放相对应的id: <a href="javascript:" d

PHP7扩展开发之对象方式使用lib库

前言 上一篇文章,我们使用的是函数方式调用lib库。这篇文章我们将使用对象的方式调用lib库。调用代码如下: <?php $hello = new hello(); $result = $hello->get(); var_dump($result); ?> 我们将在扩展中实现hello类。hello类中将依赖lib库。 代码 基础代码 这个扩展,我们将在say扩展上增加相关代码。sa

Hibernate框架中,使用JDBC语法

/*** 调用存储过程* * @param PRONAME* @return*/public CallableStatement citePro(final String PRONAME){Session session = getCurrentSession();CallableStatement pro = session.doReturningWork(new ReturningWork<C

hibernate修改数据库已有的对象【简化操作】

陈科肇 直接上代码: /*** 更新新的数据并并未修改旧的数据* @param oldEntity 数据库存在的实体* @param newEntity 更改后的实体* @throws IllegalAccessException * @throws IllegalArgumentException */public void updateNew(T oldEntity,T newEntity

类和对象的定义和调用演示(C++)

我习惯把类的定义放在头文件中 Student.h #define _CRT_SECURE_NO_WARNINGS#include <string>using namespace std;class student{public:char m_name[25];int m_age;int m_score;char* get_name(){return m_name;}int set_name

react笔记 8-19 事件对象、获取dom元素、双向绑定

1、事件对象event 通过事件的event对象获取它的dom元素 run=(event)=>{event.target.style="background:yellowgreen" //event的父级为他本身event.target.getAttribute("aid") //这样便获取到了它的自定义属性aid}render() {return (<div><h2>{

Python---文件IO流及对象序列化

文章目录 前言一、pandas是什么?二、使用步骤 1.引入库2.读入数据总结 前言 前文模块中提到加密模块,本文将终点介绍加密模块和文件流。 一、文件流和IO流概述         在Python中,IO流是用于输入和输出数据的通道。它可以用于读取输入数据或将数据写入输出目标。IO流可以是标准输入/输出流(stdin和stdout),也可以是文件流,网络流等。