Statement的子接口,预编译SQL,动态SQL

功能比爹强大

用来解决SQL注入的

预编译SQL:参数使用?作为占位符,执行SQL的时候给?赋上值就可以了

使用步骤:

1.导入驱动jar包
  复制jar包,粘贴到libs文件夹下。文件名可以任意,一般就叫libs
  选择复制的jar包,右键,点击Add As Library
2.注册驱动
3.获取数据库的连接对象 Connection(本地的java代码和数据库的桥梁对象)
4.定义SQL语句
  ①参数使用?作为占位符。例如:select * from user where username=? and password = ?;
5.获取执行SQL语句的对象 PreparedStatement Connection.prepareStatement(String sql)
6.给?赋值

7.执行SQL,接收返回结果,不需要传递SQL语句了(传递SQL语句时它父类Statement的方法,这个是子类特有的)
8.处理结果
9.释放资源

不使用Statement

prepareStatement(String sql)
创建参数化的SQL语句发送到数据库的 PreparedStatement对象。

SQL注入

SQL注入:通过操作输入来修改SQL语句
在上个练习中,会产生SQL注入问题

①用户名随便输

②密码输入

  

例如:

表中就没有那个用户名和密码

查看SQL语句执行效果:

(利用输入的bug,把输入的密码,转换为一个判断)
会把所有的用户名密码查询出来

解决上次练习的SQL注入

package cn.itcast.jdbc;

import cn.itcast.util.JDBCUtils;

import java.sql.*;

import java.util.Scanner;

public class JdbcDemo11 {

    public static void main(String[] args) {

        //1.键盘录入,接收用户名和密码

        Scanner sc = new Scanner(System.in);

        System.out.println("请输入用户名");

        String username = sc.nextLine();

        System.out.println("请输入密码");

        String password = sc.nextLine();

        //2.调用方法login,因为不是静态方法,所以要创建对象

        boolean flag = new JdbcDemo11().login2(username, password);

        //3.判断结果,输出同语句

        if (flag){

            System.out.println("登录成功");

        }else {

            System.out.println("登录失败,用户名或密码错误");

        }

    }

    /**

     * 登录方法,PreparedStatement实现

     */

    public boolean login2(String username, String password) {

        if (username == null || password == null) {//如果有一个为空就不用去连接数据库,做操作

            return false;

        }

        //连接数据库是否判断成功

        Connection conn = null;

        PreparedStatement pstmt = null;

        ResultSet rs = null;

        try {

            //1.获取数据库连接

            conn = JDBCUtils.getConnection();

            //2.定义SQL

            String sql = "select * from user where username= ? and password = ?;";

            //3.获取执行SQL的对象

            pstmt = conn.prepareStatement(sql);

            //给?赋值

            pstmt.setString(1,username);

            pstmt.setString(2,password);

            //4.执行查询,不需要传参数

            rs = pstmt.executeQuery();

            //5.判断

           /* if (rs.next()){//不用这样写rs.next()返回的就是true,false

                return true;

            }else {

                return false;

            }*/

            return rs.next();//如果有下一行返回true

        } catch (SQLException e) {

            e.printStackTrace();

        } finally {//释放资源

            JDBCUtils.close(rs, pstmt, conn);

        }

        return false;

    }

}

JDBC——PreparedStatement执行SQL的对象的更多相关文章

  1. JDBC——Statement执行SQL语句的对象

    Statement该对象用于执行静态SQL语句并返回它产生的结果.表示所有的参数在生成SQL的时候都是拼接好的,容易产生SQL注入的问题 PreparedStatement对象是一个预编译的SQL语句 ...

  2. Java JDBC下执行SQL的不同方式、参数化预编译防御

    相关学习资料 http://zh.wikipedia.org/wiki/Java数据库连接 http://lavasoft.blog.51cto.com/62575/20588 http://blog ...

  3. JDBC中执行SQL语句的方式

    一.执行DDL.DML语句 DDL.DML分别表示数据库定义语言.数据库操纵语言,操控这两种语言应该使用Statement对象的executeUpdate方法. 代码如下: public static ...

  4. JDBC进阶之PreparedStatement执行SQL语句(MySQL)

    一.什么是PreparedStatement           参阅Java API文档,我们可以知道,PreparedStatement是Statement的子接口(如图所示),表示预编译的 SQ ...

  5. PreparedStatement执行sql語句

    import com.loaderman.util.JdbcUtil; import java.sql.Connection; import java.sql.PreparedStatement; i ...

  6. JDBC方式执行SQL,支持CRUD返回LIST

    背景: 用惯了Mybatis,接收一个老项目使用Hibernate,特别不习惯.新的功能需要系统后台定时执行任务,顾使用JDBC封装工具类执行 源代码 import java.sql.Connecti ...

  7. 使用预处理PreparedStatement执行Sql语句

    /** * 使用预处理的方式执行Sql * @param sql Sql语句 * @param obj 变量值数组 * @return 查询结果 * @throws SQLException */ p ...

  8. jdbc批量执行SQL insert 操作

    package com.file; import java.io.BufferedReader; import java.io.FileReader; import java.util.ArrayLi ...

  9. 使用PreparedStatement执行SQL语句时占位符(?)的用法

    1.Student数据库表 ID  name gender       2.Java代码 public static void main(String[] args) { int _id=1; Str ...

随机推荐

  1. 在C#下使用TensorFlow.NET训练自己的数据集

    在C#下使用TensorFlow.NET训练自己的数据集 今天,我结合代码来详细介绍如何使用 SciSharp STACK 的 TensorFlow.NET 来训练CNN模型,该模型主要实现 图像的分 ...

  2. MATLAB应用专题part2-电力电子仿真技术

    有匪君子,如切如磋,如琢如磨. --<诗经·卫风·淇奥> 这篇博客知识我记录一下我在仿真学习中积累到的知识和遇到的坑. 第一部分:知识部分 1.为什么电阻与电感串联电路中电流的波形比电压的 ...

  3. Jupyter Notebook 常用快捷键 (转)

    Jupyter Notebook 有两种键盘输入模式. 编辑模式,允许你往单元中键入代码或文本:这时的单元框线是绿色的. 命令模式,键盘输入运行程序命令:这时的单元框线为蓝色. 命令模式 (按键 Es ...

  4. C语言实现读取字符转换为浮点数,不使用scanf函数

    c语言读取int或者float数据,我们习惯于使用scanf函数,但是如果不使用scanf函数,该怎么实现呢. 这里就来尝试一下,不使用scanf来读取数据并转换为float类型. 下面的getflo ...

  5. JavaSE学习笔记(13)---线程池、Lambda表达式

    JavaSE学习笔记(13)---线程池.Lambda表达式 1.等待唤醒机制 线程间通信 概念:多个线程在处理同一个资源,但是处理的动作(线程的任务)却不相同. 比如:线程A用来生成包子的,线程B用 ...

  6. 剑指offer-拓展训练-字符的所有组合-全组合

    /* 题目: 给定不含重复字符字符串的全组合. */ /* 思路: 递归法. 例给定abc,输出的组合长度为1,2,3. 对于长度为2的组合,分选择a(ab,ac)和不选择a的情况(bc). 选择a, ...

  7. 论文-MobileNet-V1、ShuffleNet-V1、MobileNet-V2、ShuffleNet-V2、MobileNet-V3

    1.结构对比 1)MobileNet-V1 2)ShuffleNet-V1 3)MobileNet-V2 4)ShuffleNet-V2

  8. 使用Scanner类

    import java.util.Scanner;   public class HelloWorld {     public static void main(String[] args) {   ...

  9. P2710 数列[fhq treap]

    调了一辈子的fhq treap- 如果不会最大子段和 如果不会fhq treap 7个操作- 其中三个查询 单点查询其实可以和区间查询写成一个( fhq treap 的修改操作大概就是 \(split ...

  10. Python中BaseException和Exception的区别

    BaseException 是 Exception 的父类,作为子类的Exception无法截获父类BaseException类型的错误 BaseException: 包含所有built-in exc ...