本文主要是介绍【WEEK7】 【DAY5】JDBC—PreparedStatement对象【中文版】,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
2024.4.12 Friday
接上文【WEEK7】 【DAY4】JDBC—statement对象【中文版】
目录
- 10.3.PreparedStatement对象
- 10.3.1.PreparedStatement可以防止SQL注入,效率比statement更高
- 10.3.2.插入
- 10.3.3.删除
- 10.3.4.更新
- 10.3.5.查询
- 10.3.6.防止SQL注入
- 10.3.6.1.正常情况下
- 10.3.6.2.结果
- 10.3.6.3.Sql注入失败
- 10.3.6.4.结果
- 10.4.使用IDEA连接数据库
- 10.4.1.如下图
10.3.PreparedStatement对象
10.3.1.PreparedStatement可以防止SQL注入,效率比statement更高
10.3.2.插入
package lesson.three;import lesson.two.utils.JdbcUtils;import java.sql.*;public class TestInsert {public static void main(String[] args) {Connection conn = null;PreparedStatement st = null;try {conn = JdbcUtils.getConnection();//和一般的statement区别:使作为用问号作为占位符String sql = "INSERT INTO users(id,`NAME`,`PASSWORD`,`email`,`birthday`) VALUES (?,?,?,?,?)";st = conn.prepareStatement(sql); //预编译SQL:先生成SQL但不执行//手动给参数赋值//set...的语法对应了传入函数参数每个位置以及希望设置成的参数st.setInt(1,4); //idst.setString(2,"lqf");st.setString(3,"987654");st.setString(4,"27046873@qq.com");st.setDate(5,new java.sql.Date(new java.util.Date().getTime()));//new Date().getTime()即:外层括号内是计算机的时间,需要转化成mysql的时间//sql.Date是数据库时间,util.Date是Java的//因为setDate的源码中时间的参数是数据库类型的:void setDate(int parameterIndex, java.sql.Date x)//所以要另外用new Date().getTime()获得时间戳(这个版本里需要使用“new java.util.Date().getTime()”才不报错)//执行int i = st.executeUpdate();if(i > 0){System.out.println("插入成功");}} catch (SQLException e) {e.printStackTrace();} finally {JdbcUtils.release(conn,st,null);}}
}
- 结果
10.3.3.删除
package lesson.three;import lesson.two.utils.JdbcUtils;import java.sql.*;public class TestDelete {public static void main (String[] args) {Connection conn = null;PreparedStatement st = null;try {conn = JdbcUtils.getConnection();//和一般的statement区别:使作为用问号作为占位符String sql = "DELETE FROM users WHERE id = ?";st = conn.prepareStatement(sql); //预编译SQL:先生成SQL但不执行//手动给参数赋值st.setInt(1,4); //id//执行int i = st.executeUpdate();if(i > 0){System.out.println("删除成功");}} catch (SQLException e) {e.printStackTrace();} finally {JdbcUtils.release(conn,st,null);}}
}
- 结果
*输入完代码后没有出现可以运行的标志:一般是系统没有检测到主函数->最低级的错误是main函数字母拼写错误,先检查这个再去上网搜其他可能
10.3.4.更新
package lesson.three;import lesson.two.utils.JdbcUtils;import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.SQLException;public class TestUpdate {public static void main(String[] args){Connection conn = null;PreparedStatement st = null;try {conn = JdbcUtils.getConnection();//和一般的statement区别:使作为用问号作为占位符String sql = "UPDATE users SET `NAME` = ? WHERE id = ?";st = conn.prepareStatement(sql); //预编译SQL:先生成SQL但不执行//手动给参数赋值st.setString(1,"阿布巴卡");st.setInt(2,1); //id//执行int i = st.executeUpdate();if(i > 0){System.out.println("更新成功");}} catch (SQLException e) {e.printStackTrace();} finally {JdbcUtils.release(conn,st,null);}}
}
- 结果
10.3.5.查询
package lesson.three;import lesson.two.utils.JdbcUtils;import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;public class TestSelect {public static void main(String[] args){Connection conn = null;PreparedStatement st = null;ResultSet rs = null;try {conn = JdbcUtils.getConnection();//编写SQLString sql = "SELECT * FROM users WHERE id = ?";st = conn.prepareStatement(sql); //预编译SQL:先生成SQL但不执行//传递参数st.setInt(1,1); //id//执行rs = st.executeQuery();if(rs.next()){System.out.println(rs.getString("NAME"));}} catch (SQLException e) {e.printStackTrace();} finally {JdbcUtils.release(conn,st,rs);}}
}
- 结果
10.3.6.防止SQL注入
10.3.6.1.正常情况下
package lesson.three;import lesson.two.utils.JdbcUtils;import java.sql.*;public class prevent_SQL_injection {public static void main(String[] args){login("阿布巴卡","123456"); //正常情况下
// login("''or '1=1 ","'or '1=1 "); //sql 注入}//登录业务public static void login(String username, String password){Connection conn = null;PreparedStatement st = null;ResultSet rs = null;try {conn = JdbcUtils.getConnection();//SQLString sql = "SELECT * FROM users WHERE `NAME`=? AND `PASSWORD`=?";st = conn.prepareStatement(sql);st.setString(1,username);st.setString(2,password);//查询完毕返回的结果集保存在rs中rs = st.executeQuery(); //括号里的sql要删去,否则报错,但原因未知//打印while (rs.next()) {System.out.println(rs.getString("NAME"));System.out.println(rs.getString("email"));System.out.println(rs.getString("password"));System.out.println("===========================");}} catch (SQLException e) {throw new RuntimeException(e);} finally {JdbcUtils.release(conn,st,rs);}}
}
10.3.6.2.结果
10.3.6.3.Sql注入失败
只修改login语句
login("''or '1=1 ","'or '1=1 "); //sql 注入
10.3.6.4.结果
(查不出结果)
10.4.使用IDEA连接数据库
10.4.1.如下图
理论上成功了就行,但实际应用中几乎用不到。
通过IDEA新建一个p37jdbc数据库下的表并插入数据:
-- P44
-- 创建用户表
CREATE TABLE account(id INT PRIMARY KEY AUTO_INCREMENT,NAME VARCHAR(40),money FLOAT
);
-- 插入测试数据
INSERT INTO account(`NAME`, money) VALUES ('A', 1000);
INSERT INTO account(`NAME`, money) VALUES ('B', 1000);
INSERT INTO account(`NAME`, money) VALUES ('C', 1000);
这篇关于【WEEK7】 【DAY5】JDBC—PreparedStatement对象【中文版】的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!