JDBC——PreparedStatement执行SQL的对象

Posted 风萧萧路漫漫

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了JDBC——PreparedStatement执行SQL的对象相关的知识,希望对你有一定的参考价值。

Statement的子接口,预编译SQL,动态SQL

功能比爹强大

用来解决SQL注入的

预编译SQL:参数使用?作为占位符,执行SQL的时候给?赋上值就可以了

使用步骤:

1.导入驱动jar包
  复制jar包,粘贴到libs文件夹下。文件名可以任意,一般就叫libs
  选择复制的jar包,右键,点击Add As Library
2.注册驱动
3.获取数据库的连接对象 Connection(本地的java代码和数据库的桥梁对象)
4.定义SQL语句
  ①参数使用?作为占位符。例如:select * from user where username=? and password = ?;
5.获取执行SQL语句的对象 PreparedStatement Connection.prepareStatement(String sql)
6.给?赋值

7.执行SQL,接收返回结果,不需要传递SQL语句了(传递SQL语句时它父类Statement的方法,这个是子类特有的)
8.处理结果
9.释放资源

 不使用Statement 

 

 

 

prepareStatement(String sql)
创建参数化的SQL语句发送到数据库的 PreparedStatement对象。


 

SQL注入

SQL注入:通过操作输入来修改SQL语句
在上个练习中,会产生SQL注入问题

①用户名随便输

②密码输入

  

 

例如:

 

 

 

表中就没有那个用户名和密码

查看SQL语句执行效果:

(利用输入的bug,把输入的密码,转换为一个判断)
会把所有的用户名密码查询出来

 

 

 解决上次练习的SQL注入

 

package cn.itcast.jdbc;

import cn.itcast.util.JDBCUtils;

import java.sql.*;
import java.util.Scanner;

public class JdbcDemo11 {

    public static void main(String[] args) {
        //1.键盘录入,接收用户名和密码
        Scanner sc = new Scanner(System.in);
        System.out.println("请输入用户名");
        String username = sc.nextLine();
        System.out.println("请输入密码");
        String password = sc.nextLine();

        //2.调用方法login,因为不是静态方法,所以要创建对象
        boolean flag = new JdbcDemo11().login2(username, password);

        //3.判断结果,输出同语句
        if (flag){
            System.out.println("登录成功");
        }else {
            System.out.println("登录失败,用户名或密码错误");
        }
    }

    /**
     * 登录方法,PreparedStatement实现
     */
    public boolean login2(String username, String password) {
        if (username == null || password == null) {//如果有一个为空就不用去连接数据库,做操作
            return false;
        }
        //连接数据库是否判断成功
        Connection conn = null;
        PreparedStatement pstmt = null;
        ResultSet rs = null;
        try {
            //1.获取数据库连接
            conn = JDBCUtils.getConnection();
            //2.定义SQL
            String sql = "select * from user where username= ? and password = ?;";
            //3.获取执行SQL的对象
            pstmt = conn.prepareStatement(sql);
            //给?赋值
            pstmt.setString(1,username);
            pstmt.setString(2,password);

            //4.执行查询,不需要传参数
            rs = pstmt.executeQuery();
            //5.判断
           /* if (rs.next()){//不用这样写rs.next()返回的就是true,false
                return true;
            }else {
                return false;
            }*/
            return rs.next();//如果有下一行返回true

        } catch (SQLException e) {
            e.printStackTrace();
        } finally {//释放资源
            JDBCUtils.close(rs, pstmt, conn);
        }

        return false;
    }
}

 

以上是关于JDBC——PreparedStatement执行SQL的对象的主要内容,如果未能解决你的问题,请参考以下文章

JDBC中的PreparedStatement

JDBC基础--[JDBC概述,JDBC的搭建,PreparedStatement和Statement执行SQL语句,结果集处理]

JDBC中Statement与PreparedStatement的区别

JDBC——PreparedStatement执行SQL的对象

JDBC笔记--- 提高用户登录功能的安全性 (javaSE+MySQL+JDBC)[ 应用 PreparedStatement ]

JDBC PreparedStatement.executeQuery() 的详细信息