Statement的子接口,预编译SQL,动态SQL

功能比爹强大

用来解决SQL注入的

预编译SQL:参数使用?作为占位符,执行SQL的时候给?赋上值就可以了

使用步骤:

1.导入驱动jar包
  复制jar包,粘贴到libs文件夹下。文件名可以任意,一般就叫libs
  选择复制的jar包,右键,点击Add As Library
2.注册驱动
3.获取数据库的连接对象 Connection(本地的java代码和数据库的桥梁对象)
4.定义SQL语句
  ①参数使用?作为占位符。例如:select * from user where username=? and password = ?;
5.获取执行SQL语句的对象 PreparedStatement Connection.prepareStatement(String sql)
6.给?赋值

7.执行SQL,接收返回结果,不需要传递SQL语句了(传递SQL语句时它父类Statement的方法,这个是子类特有的)
8.处理结果
9.释放资源

不使用Statement

prepareStatement(String sql)
创建参数化的SQL语句发送到数据库的 PreparedStatement对象。

SQL注入

SQL注入:通过操作输入来修改SQL语句
在上个练习中,会产生SQL注入问题

①用户名随便输

②密码输入

  

例如:

表中就没有那个用户名和密码

查看SQL语句执行效果:

(利用输入的bug,把输入的密码,转换为一个判断)
会把所有的用户名密码查询出来

解决上次练习的SQL注入

package cn.itcast.jdbc;

import cn.itcast.util.JDBCUtils;

import java.sql.*;

import java.util.Scanner;

public class JdbcDemo11 {

    public static void main(String[] args) {

        //1.键盘录入,接收用户名和密码

        Scanner sc = new Scanner(System.in);

        System.out.println("请输入用户名");

        String username = sc.nextLine();

        System.out.println("请输入密码");

        String password = sc.nextLine();

        //2.调用方法login,因为不是静态方法,所以要创建对象

        boolean flag = new JdbcDemo11().login2(username, password);

        //3.判断结果,输出同语句

        if (flag){

            System.out.println("登录成功");

        }else {

            System.out.println("登录失败,用户名或密码错误");

        }

    }

    /**

     * 登录方法,PreparedStatement实现

     */

    public boolean login2(String username, String password) {

        if (username == null || password == null) {//如果有一个为空就不用去连接数据库,做操作

            return false;

        }

        //连接数据库是否判断成功

        Connection conn = null;

        PreparedStatement pstmt = null;

        ResultSet rs = null;

        try {

            //1.获取数据库连接

            conn = JDBCUtils.getConnection();

            //2.定义SQL

            String sql = "select * from user where username= ? and password = ?;";

            //3.获取执行SQL的对象

            pstmt = conn.prepareStatement(sql);

            //给?赋值

            pstmt.setString(1,username);

            pstmt.setString(2,password);

            //4.执行查询,不需要传参数

            rs = pstmt.executeQuery();

            //5.判断

           /* if (rs.next()){//不用这样写rs.next()返回的就是true,false

                return true;

            }else {

                return false;

            }*/

            return rs.next();//如果有下一行返回true

        } catch (SQLException e) {

            e.printStackTrace();

        } finally {//释放资源

            JDBCUtils.close(rs, pstmt, conn);

        }

        return false;

    }

}

JDBC——PreparedStatement执行SQL的对象的更多相关文章

  1. JDBC——Statement执行SQL语句的对象

    Statement该对象用于执行静态SQL语句并返回它产生的结果.表示所有的参数在生成SQL的时候都是拼接好的,容易产生SQL注入的问题 PreparedStatement对象是一个预编译的SQL语句 ...

  2. Java JDBC下执行SQL的不同方式、参数化预编译防御

    相关学习资料 http://zh.wikipedia.org/wiki/Java数据库连接 http://lavasoft.blog.51cto.com/62575/20588 http://blog ...

  3. JDBC中执行SQL语句的方式

    一.执行DDL.DML语句 DDL.DML分别表示数据库定义语言.数据库操纵语言,操控这两种语言应该使用Statement对象的executeUpdate方法. 代码如下: public static ...

  4. JDBC进阶之PreparedStatement执行SQL语句(MySQL)

    一.什么是PreparedStatement           参阅Java API文档,我们可以知道,PreparedStatement是Statement的子接口(如图所示),表示预编译的 SQ ...

  5. PreparedStatement执行sql語句

    import com.loaderman.util.JdbcUtil; import java.sql.Connection; import java.sql.PreparedStatement; i ...

  6. JDBC方式执行SQL,支持CRUD返回LIST

    背景: 用惯了Mybatis,接收一个老项目使用Hibernate,特别不习惯.新的功能需要系统后台定时执行任务,顾使用JDBC封装工具类执行 源代码 import java.sql.Connecti ...

  7. 使用预处理PreparedStatement执行Sql语句

    /** * 使用预处理的方式执行Sql * @param sql Sql语句 * @param obj 变量值数组 * @return 查询结果 * @throws SQLException */ p ...

  8. jdbc批量执行SQL insert 操作

    package com.file; import java.io.BufferedReader; import java.io.FileReader; import java.util.ArrayLi ...

  9. 使用PreparedStatement执行SQL语句时占位符(?)的用法

    1.Student数据库表 ID  name gender       2.Java代码 public static void main(String[] args) { int _id=1; Str ...

随机推荐

  1. JS笔记之第二天

    一元运算符:++  -- 分为前++和后++ and 前--和后-- 如果++在后面,如:num++ +10参与运算,先参与运算,自身再加1 如果++在前面,如:++num+10参与运算,先自身加1, ...

  2. viewpage+RadioButton+Fragment简单导航界面

    https://blog.csdn.net/qibanxuehua/article/details/47333879

  3. 返回一个整数数组中最大子数组的和——java程序设计

    一.题目要求 1.输入一个整形数组,数组里有正数也有负数.2.数组中连续的一个或多个整数组成一个子数组,每个子数组都有一个和.3.求所有子数组的和的最大值.要求时间复杂度为O(n) 二.设计思想 解决 ...

  4. centos yum 安装jdk1.7

    安装: yum -y install java-1.7.0-openjdk-devel.x86_64 环境变量: vi /etc/profile export JAVA_HOME=/usr/lib/j ...

  5. 将String类型的json数据转换为真正的json数据

    问题 在做JavaWeb项目的时候,我们经常需要将Java对象转化为Json数据格式响应到前台页面,但是转化完成之后,看着是Json类型的数据格式,但实际上是字符串类型,在这里说两个方法将String ...

  6. 【Debian学徒记事】记一次解决Debian开机1min30s

    记一次解决Debian开机1min30s 打开我亲爱的Debian 欸,好像有点慢 [* * * * ] A start job is running for....(*/1min30s) [TIME ...

  7. 关于Spring注入参数到static静态参数失败问题处理。解决Autowired annotation is not supported on static fields的问题

    直接贴代码 把注入参数的注解加到set方法上面去即可. 因为这是一个工具类用到的config,所以一开始没有加@Component,还是依然为空,加上之后就正常能注入了

  8. HTML5表单验证(4个实用的表单美化案例)

    multipart/form-data 在使用包含文件上传控件的表单时,必须使用autocomplete="on" 自动补全功能novalidate 不验证 <form en ...

  9. luogu P1736 创意吃鱼法

    #include<iostream> #include<cstring> #include<cstdio> #include<algorithm> #i ...

  10. exe 发布为服务

    参考连接: https://www.cnblogs.com/liuxiaoji/p/8016261.html 1.有两个文件 srvany.exe,instsrv.exe 然后放到指定的文件下下: 2 ...