可以通过调用 Connection 对象的 preparedStatement() 方法获取 PreparedStatement 对象。
PreparedStatement 接口是 Statement 的子接口,它表示一条预编译过的 SQL 语句。
PreparedStatement 对象所代表的 SQL 语句中的参数用问号(?)来表示,调用 PreparedStatement 对象的 setXXX() 方法来设置这些参数. setXXX() 方法有两个参数,第一个参数是要设置的 SQL 语句中的参数的索引(从 1 开始),第二个是设置的 SQL 语句中的参数的值。

PreparedStatement 和 Statement 比较

1、代码的可读性和可维护性.

2、PreparedStatement 能最大可能提高性能:
DBServer会对预编译语句提供性能优化。因为预编译语句有可能被重复调用,所以语句在被DBServer的编译器编译后的执行代码被缓存下来,那么下次调用时只要是相同的预编译语句就不需要编译,只要将参数直接传入编译过的语句执行代码中就会得到执行
在statement语句中,即使是相同操作但因为数据内容不一样,所以整个语句本身不能匹配,没有缓存语句的意义.事实是没有数据库会对普通语句编译后的执行代码缓存.这样每执行一次都要对传入的语句编译一次.
(语法检查,语义检查,翻译成二进制命令,缓存)

3、PreparedStatement 可以防止 SQL 注入。

例子:

  1. @Test
  2.     public void testPreparedStatement() {
  3.         Connection connection = null;
  4.         PreparedStatement preparedStatement = null;
  5.  
  6.         try {
  7.             connection = JDBCTools.getConnection();
  8.             String sql = "INSERT INTO customers (name, email, birth) "
  9.                     + "VALUES(?,?,?)";
  10.  
  11.             preparedStatement = connection.prepareStatement(sql);
  12.             preparedStatement.setString(1, "soyoungboy");
  13.             preparedStatement.setString(2, "soyoungboy@163.com");
  14.             preparedStatement.setDate(3,
  15.                     new Date(new java.util.Date().getTime()));
  16.  
  17.             preparedStatement.executeUpdate();
  18.         } catch (Exception e) {
  19.             e.printStackTrace();
  20.         } finally {
  21.             JDBCTools.releaseDB(null, preparedStatement, connection);
  22.         }
  23.     }

SQL 注入攻击

概念:

SQL 注入是利用某些系统没有对用户输入的数据进行充分的检查,而在用户输入数据中注入非法的 SQL 语句段或命令,从而利用系统的 SQL 引擎完成恶意行为的做法。

对于 Java 而言,要防范 SQL 注入,只要用 PreparedStatement 取代 Statement 就可以了。

sql注入例子:

  1. /**
  2.      * SQL 注入.
  3.      */
  4.     @Test
  5.     public void testSQLInjection() {
  6.         String username = "a' OR PASSWORD = ";
  7.         String password = " OR '1'='1";
  8.  
  9.         String sql = "SELECT * FROM users WHERE username = '" + username
  10.                 + "' AND " + "password = '" + password + "'";
  11.  
  12.         System.out.println(sql);
  13.  
  14.         Connection connection = null;
  15.         Statement statement = null;
  16.         ResultSet resultSet = null;
  17.  
  18.         try {
  19.             connection = JDBCTools.getConnection();
  20.             statement = connection.createStatement();
  21.             resultSet = statement.executeQuery(sql);
  22.  
  23.             if (resultSet.next()) {
  24.                 System.out.println("登录成功!");
  25.             } else {
  26.                 System.out.println("用户名和密码不匹配或用户名不存在. ");
  27.             }
  28.  
  29.         } catch (Exception e) {
  30.             e.printStackTrace();
  31.         } finally {
  32.             JDBCTools.releaseDB(resultSet, statement, connection);
  33.         }
  34.     }

使用PreparedStatement 解决sql注入例子:

  1. /**
  2.      * 使用 PreparedStatement 将有效的解决 SQL 注入问题.
  3.      */
  4.     @Test
  5.     public void testSQLInjection2() {
  6.         String username = "a' OR PASSWORD = ";
  7.         String password = " OR '1'='1";
  8.  
  9.         String sql = "SELECT * FROM users WHERE username = ? "
  10.                 + "AND password = ?";
  11.  
  12.         Connection connection = null;
  13.         PreparedStatement preparedStatement = null;
  14.         ResultSet resultSet = null;
  15.  
  16.         try {
  17.             connection = JDBCTools.getConnection();
  18.             preparedStatement = connection.prepareStatement(sql);
  19.  
  20.             preparedStatement.setString(1, username);
  21.             preparedStatement.setString(2, password);
  22.  
  23.             resultSet = preparedStatement.executeQuery();
  24.  
  25.             if (resultSet.next()) {
  26.                 System.out.println("登录成功!");
  27.             } else {
  28.                 System.out.println("用户名和密码不匹配或用户名不存在. ");
  29.             }
  30.  
  31.         } catch (Exception e) {
  32.             e.printStackTrace();
  33.         } finally {
  34.             JDBCTools.releaseDB(resultSet, preparedStatement, connection);
  35.         }
  36.     }

Java -- JDBC 学习--PreparedStatement的更多相关文章

  1. Java JDBC学习实战(二): 管理结果集

    在我的上一篇博客<Java JDBC学习实战(一): JDBC的基本操作>中,简要介绍了jdbc开发的基本流程,并详细介绍了Statement和PreparedStatement的使用:利 ...

  2. Java -- JDBC 学习--使用 DBUtils

    Apache—DBUtils简介 commons-dbutils 是 Apache 组织提供的一个开源 JDBC工具类库,它是对JDBC的简单封装,学习成本极低,并且使用dbutils能极大简化jdb ...

  3. Java -- JDBC 学习--批量处理

    批量处理JDBC语句提高处理速度 当需要成批插入或者更新记录时.可以采用Java的批量更新机制,这一机制允许多条语句一次性提交给数据库批量处理.通常情况下比单独提交处理更有效率JDBC的批量处理语句包 ...

  4. Java -- JDBC 学习--处理Blob

    Oracle LOB LOB,即Large Objects(大对象),是用来存储大量的二进制和文本数据的一种数据类型(一个LOB字段可存储可多达4GB的数据).LOB 分为两种类型:内部LOB和外部L ...

  5. [疯狂Java]JDBC:PreparedStatement预编译执行SQL语句

    1. SQL语句的执行过程——Statement直接执行的弊病: 1) SQL语句和编程语言一样,仅仅就会普通的文本字符串,首先数据库引擎无法识别这种文本字符串,而底层的CPU更不理解这些文本字符串( ...

  6. Java JDBC学习实战(一): JDBC的基本操作

    一.JDBC常用接口.类介绍 JDBC提供对独立于数据库统一的API,用以执行SQL命令.API常用的类.接口如下: DriverManager,管理JDBC驱动的服务类,主要通过它获取Connect ...

  7. Java -- JDBC 学习--事务

    数据库事务 在数据库中,所谓事务是指一组逻辑操作单元,使数据从一种状态变换到另一种状态.为确保数据库中数据的一致性,数据的操纵应当是离散的成组的逻辑单元:当它全部完成时,数据的一致性可以保持,而当这个 ...

  8. Java -- JDBC 学习--通过 ResultSet 执行查询操作

    ResultSet: 结果集. 封装了使用 JDBC 进行查询的结果. 1. 调用 Statement 对象的 executeQuery(sql) 可以得到结果集. 2. ResultSet 返回的实 ...

  9. Java -- JDBC 学习--通过Statement进行数据库更新操作

    通过 JDBC 向指定的数据表中插入一条记录. 1. Statement: 用于执行 SQL 语句的对象 1). 通过 Connection 的 createStatement() 方法来获取 2). ...

随机推荐

  1. 你真的了解volatile关键字吗?

    volatile关键字经常在并发编程中使用,其特性是保证可见性以及有序性,但是关于volatile的使用仍然要小心,这需要明白volatile关键字的特性及实现的原理,这也是本篇文章的主要内容. 一. ...

  2. 基于DDD的.NET开发框架ABP实例,多租户 (Saas)应用程序,采用.NET MVC, Angularjs, EntityFramework-介绍

    介绍 基于ABPZERO的多租户 (Saas)应用程序,采用ASP.NET MVC, Angularjs-介绍 ASP.NET Boilerplate作为应用程序框架. ASP.NET MVC和ASP ...

  3. spring boot 在不同环境下读取不同配置文件的一种方式

    在工程中,通常有根据不同的环境读取不同配置文件的需求,对于spring boot 来说,默认读取的是application.yml 或者 application.properties.为了区分不同的环 ...

  4. markdown操作手册

    **1.标题** # h1 h1自带分割线 ## h2 ### h3 #### h4 ##### h5 ###### h6 **2.圆点** - 圆点 **3.分割线,-和*都可以** --- *** ...

  5. 记录网件r6220路由器登录配置

    1.设置本地连接为自动获取ip和DNS地址 2.使用网线连接电脑和路由器的LAN口 3.http://routerlogin.net/BRS_index.htm 4.用户名和密码: admin pas ...

  6. Python-文件操作—_19

    1,文件操作 模特主妇护士老师.txt 1,文件路径:d:\模特主妇护士老师.txt 2,编码方式:utf-8 gbk .... 3,操作方式:只读,只写,追加,读写,写读..... 以什么编码方式储 ...

  7. js实现随机的四则运算题目(2)-更新界面

    上次的代码提交完成后,有很多bug.比如函数会重复调用执行,每点击一次按钮都会在生成题目的下方直接生成新的题目,于是我在代码前面添加了如下的代码: function play_allE() { doc ...

  8. VS2013软件的安装和单元测试

    VS2013是什么? 微软在Builder 2013开发者大会上发布了Visual Studio 2013预览版,并且发布其程序组件库.NET 4.5.1的预览版.该软件已于北京时间2013年11月1 ...

  9. 2-Twenty Second Scrum Meeting-20151222

    任务安排 成员 今日完成 明日任务 闫昊 服务器关闭,开发停滞……  …… 唐彬 服务器关闭,开发停滞……  …… 史烨轩  服务器关闭,开发停滞……  …… 余帆   路径保存 路径整合 金哉仁   ...

  10. 生命游戏&一维细胞自动机 笔记

    de 生命游戏是一种简单的聚合模型,展示了事物是如何聚合的,是自动机(CA)模型的一种.由剑桥大学约翰康威发明,其规则为: 1. 每个细胞拥有八个邻居,细胞状态只有存活(黑)和死亡(白)两种: 2.处 ...