热门标签
热门文章
- 1fftw_plan_dft_1d 函数原型
- 2EasyPusher:开源RTSP直播推流Android UVC外接摄像头推送源码_android uvc rtsp推流
- 3一步步带你解锁Stable Diffusion:SD 图生图功能保姆级入门指南「上」_sd图生图怎么与原图相似
- 4鸿蒙移动开发实战:UIAbility、页面及组件的生命周期
- 5【转】微软Azure Functions使用入门_azure functions 有几种模式
- 6宝塔面板mysql无法启动的问题_宝塔mysql启动不了
- 7第一个solidity程序_spdx license
- 8TCP网络编程最佳实践_net.ipv4.tcp_rto_min
- 9主控板 & 基带板_bbu主控板和基带板作用
- 10Unity关于Oculus Quest2开发环境配置_oculus quest2开发者版本
当前位置: article > 正文
原⽣jdbc与预处理对象PreparedStatment 5_preparedstatement psmt.setstring没生效
作者:不正经 | 2024-02-25 22:08:04
赞
踩
preparedstatement psmt.setstring没生效
PreparedStatement
SQL注⼊问题
SQL注⼊:⽤户输⼊的内容作为了SQL语句语法的⼀部分,改变了原有SQL真正的意义。假设有登录案例SQL语句如下:
SELECT * FROM ⽤户表 WHERE NAME = ⽤户输⼊的⽤户名 AND PASSWORD = ⽤户输的密码;此时,当⽤户输⼊正确的账号与密码后,查询到了信息则让⽤户登录。但是当⽤户输⼊的账号为XXX 密码为: XXX’ OR ‘1=1 时,则真正执⾏的代码变为:
select * from users where username='admin' and password = '1234' or '1=1';此时,上述查询语句时永远可以查询出结果的。那么⽤户就直接登录成功了,显然我们不希望看到这样的结果,这便是SQL注⼊问题。为此,我们使⽤PreparedStatement来解决对应的问题。
API详解:预处理对象
preparedStatement:预编译对象,是Statement对象的⼦类。
特点:
- 性能⾼
- 会把sql语句先编译
- 能过滤掉⽤户输⼊的关键字。
PreparedStatement预处理对象,处理的每条sql语句中所有的实际参数,都必须使⽤占位符?替换。
String sql = "select * from user where username = ? and password = ?";PreparedStatement使⽤,需要通过以下3步骤完成:
1. PreparedStatement预处理对象代码:
- // 获得预处理对象,需要提供已经使⽤占位符处理后的SQL语句
- PreparedStatement psmt = conn.prepareStatement(sql)
2. 设置实际参数
- void setXxx(int index, Xxx xx) 将指定参数设置指定类型的值
- 参数1:index 实际参数序列号,从1开始。
- 参数2:xxx 实际参数值,xxx表示具体的类型。
- 例如:
- setString(2, "1234") 把SQL语句中第2个位置的占位符?替换成实际参数 "1234"
3. 执⾏SQL语句:
- int executeUpdate(); --执⾏insert update delete语句.
- ResultSet executeQuery(); --执⾏select语句.
- boolean execute(); --执⾏select返回true 执⾏其他的语句返回false.
查询数据
- //查询操作
- @Test
- public void jdbcTest() throws SQLException {
- //1.通过⼯具类 获取 Connection对象
- Connection conn = JDBCUtils.getConnection();
- //2.创建 ⽤于执⾏sql语句的对象 PreparedStatement , 同时指定sql语句
- String sql = "select * from users where username=? and password=?";
- PreparedStatement pstat = conn.prepareStatement(sql);
- //3.为sql语句中的 每个? 号 赋值
- pstat.setString(1,"admin");
- pstat.setString(2,"1234");
- //4.执⾏sql语句
- ResultSet rs = pstat.executeQuery();
- //5.处理 执⾏sql语句后的 结果
- while(rs.next()){
- int uid = rs.getInt("uid");
- String username = rs.getString("username");
- String password = rs.getString("password");
- System.out.println(uid + "== " + username + " === " + password);
- }
- //6.释放资源
- JDBCUtils.close(rs, pstat, conn);
- }
插⼊数据
- //插⼊操作
- @Test
- public void jdbcTest2() throws SQLException {
- /*
- 1.通过⼯具类 获取 Connection对象
- 2.创建 ⽤于执⾏sql语句的对象 PreparedStatement , 同时指定sql语句
- 3.为sql语句中的 每个? 号 赋值
- 4.执⾏sql语句
- 5.处理 执⾏sql语句后的 结果
- 6.释放资源
- */
- Connection conn = JDBCUtils.getConnection();
-
- String sql = "insert into users(username, password) values(?, ?)";
-
- PreparedStatement pstat = conn.prepareStatement(sql);
- //为sql语句中的 每个? 号 赋值
- pstat.setString(1, "lisi");
- pstat.setString(2,"1234");
- //执⾏sql语句
- int line = pstat.executeUpdate();
- System.out.println("line = " + line);
- //释放资源
- JDBCUtils.close(null, pstat, conn);
- }
更新
- //更新操作
- @Test
- public void jdbcTest3() throws SQLException {
- /*
- 1.通过⼯具类 获取 Connection对象
- 2.创建 ⽤于执⾏sql语句的对象 PreparedStatement , 同时指定sql语句
- 3.为sql语句中的 每个? 号 赋值
- 4.执⾏sql语句
- 5.处理 执⾏sql语句后的 结果
- 6.释放资源
- */
- Connection conn = JDBCUtils.getConnection();
-
- String sql = "update users set password=? where uid=?";
-
- PreparedStatement pstat = conn.prepareStatement(sql);
- //为sql语句中的 每个? 号 赋值
- pstat.setString(1,"abcdef");
- pstat.setInt(2,3);
- //执⾏sql语句
- int line = pstat.executeUpdate();
-
- System.out.println("line = " + line);
-
- JDBCUtils.close(null, pstat, conn);
- }
通过id查询详情
- //根据ID 进⾏查询
- @Test
- public void jdbcTest4() throws SQLException {
- /*
- 1.通过⼯具类 获取 Connection对象
- 2.创建 ⽤于执⾏sql语句的对象 PreparedStatement , 同时指定sql语句
- 3.为sql语句中的 每个? 号 赋值
- 4.执⾏sql语句
- 5.处理 执⾏sql语句后的 结果
- 6.释放资源
- */
- //1.通过⼯具类 获取 Connection对象
- Connection conn = JDBCUtils.getConnection();
- //2.创建 ⽤于执⾏sql语句的对象 PreparedStatement , 同时指定sql语句
- String sql = "select * from users where uid=?";
- //预编译sql语句
- PreparedStatement pstat = conn.prepareStatement(sql);
- //3.为sql语句中的 每个? 号 赋值
- pstat.setInt(1,3);
- //4.执⾏sql语句,获取查询结果集
- ResultSet rs = pstat.executeQuery();
- //5.处理 执⾏sql语句后的 结果
- while(rs.next()){
- int uid = rs.getInt("uid");
- String username = rs.getString("username");
- String password = rs.getString("password");
- System.out.println(uid + "== " + username + " === " + password);
- }
- //6.释放资源
- JDBCUtils.close(rs, pstat, conn);
- }
声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/不正经/article/detail/141670
推荐阅读
相关标签
