Statement的子接口,预编译SQL,动态SQL

功能比爹强大

用来解决SQL注入的

预编译SQL:参数使用?作为占位符,执行SQL的时候给?赋上值就可以了

使用步骤:

1.导入驱动jar包
  复制jar包,粘贴到libs文件夹下。文件名可以任意,一般就叫libs
  选择复制的jar包,右键,点击Add As Library
2.注册驱动
3.获取数据库的连接对象 Connection(本地的java代码和数据库的桥梁对象)
4.定义SQL语句
  ①参数使用?作为占位符。例如:select * from user where username=? and password = ?;
5.获取执行SQL语句的对象 PreparedStatement Connection.prepareStatement(String sql)
6.给?赋值

7.执行SQL,接收返回结果,不需要传递SQL语句了(传递SQL语句时它父类Statement的方法,这个是子类特有的)
8.处理结果
9.释放资源

不使用Statement

prepareStatement(String sql)
创建参数化的SQL语句发送到数据库的 PreparedStatement对象。

SQL注入

SQL注入:通过操作输入来修改SQL语句
在上个练习中,会产生SQL注入问题

①用户名随便输

②密码输入

  

例如:

表中就没有那个用户名和密码

查看SQL语句执行效果:

(利用输入的bug,把输入的密码,转换为一个判断)
会把所有的用户名密码查询出来

解决上次练习的SQL注入

package cn.itcast.jdbc;

import cn.itcast.util.JDBCUtils;

import java.sql.*;

import java.util.Scanner;

public class JdbcDemo11 {

    public static void main(String[] args) {

        //1.键盘录入,接收用户名和密码

        Scanner sc = new Scanner(System.in);

        System.out.println("请输入用户名");

        String username = sc.nextLine();

        System.out.println("请输入密码");

        String password = sc.nextLine();

        //2.调用方法login,因为不是静态方法,所以要创建对象

        boolean flag = new JdbcDemo11().login2(username, password);

        //3.判断结果,输出同语句

        if (flag){

            System.out.println("登录成功");

        }else {

            System.out.println("登录失败,用户名或密码错误");

        }

    }

    /**

     * 登录方法,PreparedStatement实现

     */

    public boolean login2(String username, String password) {

        if (username == null || password == null) {//如果有一个为空就不用去连接数据库,做操作

            return false;

        }

        //连接数据库是否判断成功

        Connection conn = null;

        PreparedStatement pstmt = null;

        ResultSet rs = null;

        try {

            //1.获取数据库连接

            conn = JDBCUtils.getConnection();

            //2.定义SQL

            String sql = "select * from user where username= ? and password = ?;";

            //3.获取执行SQL的对象

            pstmt = conn.prepareStatement(sql);

            //给?赋值

            pstmt.setString(1,username);

            pstmt.setString(2,password);

            //4.执行查询,不需要传参数

            rs = pstmt.executeQuery();

            //5.判断

           /* if (rs.next()){//不用这样写rs.next()返回的就是true,false

                return true;

            }else {

                return false;

            }*/

            return rs.next();//如果有下一行返回true

        } catch (SQLException e) {

            e.printStackTrace();

        } finally {//释放资源

            JDBCUtils.close(rs, pstmt, conn);

        }

        return false;

    }

}

JDBC——PreparedStatement执行SQL的对象的更多相关文章

  1. JDBC——Statement执行SQL语句的对象

    Statement该对象用于执行静态SQL语句并返回它产生的结果.表示所有的参数在生成SQL的时候都是拼接好的,容易产生SQL注入的问题 PreparedStatement对象是一个预编译的SQL语句 ...

  2. Java JDBC下执行SQL的不同方式、参数化预编译防御

    相关学习资料 http://zh.wikipedia.org/wiki/Java数据库连接 http://lavasoft.blog.51cto.com/62575/20588 http://blog ...

  3. JDBC中执行SQL语句的方式

    一.执行DDL.DML语句 DDL.DML分别表示数据库定义语言.数据库操纵语言,操控这两种语言应该使用Statement对象的executeUpdate方法. 代码如下: public static ...

  4. JDBC进阶之PreparedStatement执行SQL语句(MySQL)

    一.什么是PreparedStatement           参阅Java API文档,我们可以知道,PreparedStatement是Statement的子接口(如图所示),表示预编译的 SQ ...

  5. PreparedStatement执行sql語句

    import com.loaderman.util.JdbcUtil; import java.sql.Connection; import java.sql.PreparedStatement; i ...

  6. JDBC方式执行SQL,支持CRUD返回LIST

    背景: 用惯了Mybatis,接收一个老项目使用Hibernate,特别不习惯.新的功能需要系统后台定时执行任务,顾使用JDBC封装工具类执行 源代码 import java.sql.Connecti ...

  7. 使用预处理PreparedStatement执行Sql语句

    /** * 使用预处理的方式执行Sql * @param sql Sql语句 * @param obj 变量值数组 * @return 查询结果 * @throws SQLException */ p ...

  8. jdbc批量执行SQL insert 操作

    package com.file; import java.io.BufferedReader; import java.io.FileReader; import java.util.ArrayLi ...

  9. 使用PreparedStatement执行SQL语句时占位符(?)的用法

    1.Student数据库表 ID  name gender       2.Java代码 public static void main(String[] args) { int _id=1; Str ...

随机推荐

  1. 使用Sqlserver 2012 导出表数据为SQL脚本

    目录 前言 具体步骤 前言 很多时候,我们需要把数控库中的表的数据导出成SQL脚本的情形.然后,在别的库执行的情况. 以下,总结使用Sqlserver 2012数据库中表数据导出成SQL脚本的步骤. ...

  2. app简单压力测试

    step1:手机开发者选项中,将USB调试选上 step2:确认手机和电脑已经连接成功:adb devices step3:安装测试app:adb install package.apk (1)cd命 ...

  3. logback日志的基本使用

    logback的日志使用,有两种方式,可以在application.yml文件中配置,不过最常见的还是用一个单独的xml配置文件进行配置: 一.application.yml配置方式 logging: ...

  4. lucas定理及其拓展的推导

    lucas定理及其拓展的推导 我的前一篇博客-- lucas定理 https://mp.csdn.net/mdeditor/100550317#主要是给出了lucas的结论和模板,不涉及推导. 本篇文 ...

  5. ArchLinux下electronssr无法启动的解决措施

    ArchLinux下electronssr无法启动的解决措施 今天重新配置electron-ssr时发现闪退(无法启动). 于是开始查错 首先是找到了目录位置 /usr/electron-ssr/el ...

  6. 分库分表技术演进&最佳实践

    每个优秀的程序员和架构师都应该掌握分库分表,这是我的观点. 移动互联网时代,海量的用户每天产生海量的数量,比如: 用户表 订单表 交易流水表 以支付宝用户为例,8亿:微信用户更是10亿.订单表更夸张, ...

  7. maven 上传 jar 到本地私服

    You'll need to add a RankLib <dependency> tag set to your existing <dependencies> list. ...

  8. 使用resultMap实现高级结果映射

    使用resultMap实现高级结果映射 resultMap的属性: 1.属性 id:resultMap的唯一标识.type:resulMap的映射结果类型(一般为Java实体类).2.子节点 id:一 ...

  9. Pikachu-XSS(跨站脚本)

    XSS(跨站脚本)概述 Cross-Site Scripting 简称为“CSS”,为避免与前端叠成样式表的缩写"CSS"冲突,故又称XSS.一般XSS可以分为如下几种常见类型:  ...

  10. open()和with open()的区别

    open 1,打开文件 file=open("文件名",“读写模式”) 2,操作文件 *** 3,关闭文件 file.close() 注意事项: 使用open方法,文件操作完毕之后 ...