2. 程式人生 > >JDBC04----預編譯語句介紹

JDBC04----預編譯語句介紹

阿新 發佈:2019-01-07

 sql的拼接很麻煩,且容易出錯,因此就可以使用預編譯語句。

介面java.sql.Statement有兩個子介面:CallableStatement,PreparedStatement

有兩種型別的sql語句:

1.靜態sql

在執行之前就知道了sql語句的形式。

2.動態sql

一. Statement介面的實現類

1. PreparedStatement

  • PreparedStatement用於預編譯模板SQL語句,在執行時接受SQL輸入引數。eg:PreparedStatement ps=conn.preparedStatement(sql);
  • 在效能和程式碼靈活性上有顯著的提高
  • PreparedStatement物件使用?作為佔位符,即引數標記;eg:  select *from stu where id=?;  insert into stu value(?,?,?);
  • 使用setXXX(index,value)方法將值繫結到引數中,每個引數標記是其順序位置引用,注意index從1開始;eg:ps.setInt(1,stu.getId());
  • PreparedStatement物件執行sql語句:executeQuery()、executeUpdate(),注意,他們沒有引數; eg:ps.executeUpdate();

2. 舉例

public Stu get(int id) {
        ResultSet resultSet=null;
        Connection connection=null;
        PreparedStatement pStatement=null;
        Stu student=new Stu();
        try {
            Class.forName(JDBCUtil.driverName);
            connection=JDBCUtil.getConnection();
            String sql
 
="select *from stu where id=?";
            pStatement=connection.prepareStatement(sql);
            pStatement.setInt(1, id);//note這裡的id時傳入的,如果傳入引數是student,就可以改成pStatement.setInt(1,student.getId())
            resultSet=pStatement.executeQuery();
            if(resultSet.next()) {
                student.setId(resultSet.getInt("id"));
                student.setName(resultSet.getString("name"));
                student.setAge(resultSet.getInt("age"));
                return student;
            }
        } catch (Exception e) {
            // TODO Auto-generated catch block
            e.printStackTrace();
        }finally {
            JDBCUtil.close(connection, pStatement, resultSet);
        }
        return null;
    }

3. 如果沒有使用預編譯語句

如果沒有使用預編譯語句的話,假設已經有一個靜態的sql語句了,每一次查詢的age不同,都會往預編池中寫入一次資料。

4. 如果使用預編譯語句

引數統一用?表示,這樣預編譯池中就不會多次寫入資料了。---------(當很多人操作資料庫時,這回很麻煩的)

note: mysql不支援預編譯池,oracle支援預編譯池。

 

6. 使用預編譯可以防止SQL注入。

(1)什麼是SQL注入

就是通過把SQL命令插入到WEB表單提交或輸入域名或頁面請求的查詢字串,最終達到欺騙伺服器執行惡意的SQL語句。(說人話:就是一些錯誤的sql語句,導致了錯誤的sql語義被執行了)

(2)SQL注入舉例

上面是一個使用者登陸的程式碼,當用戶名如上定義時,雖然表中沒有這個使用者,但是最終的結果會發現列印了登陸成功。打印出這一條sql語句:

因此,看到拼接結果可以知道前面那個條件已經滿足了,就不會管or後面的語句了:即name=‘’已經成立了。

如果使用預編譯,因為它執行的時候會把單引號轉義。----也就是防止SQL注入的根源

 如果使用預編譯:

 

 

(3)為什麼PrepareStaet就能防止注入

是因為它把單引號轉義了,變成了\,這樣一來,就無法截斷SQL語句,進而無法拼接SQL語句,基本上沒有辦法注入了。

二. JDBC呼叫輸出引數儲存過程----CallableStatement

1. 建立一個儲存過程

測試下:

2. 使用Java程式來實現呼叫

public void call(){
        Connection connection=JDBCUtil.getConnection();
        CallableStatement cStatement;
        try {
            cStatement = connection.prepareCall("{call getName(?,?)}");
            cStatement.setInt(1, 2);
            cStatement.registerOutParameter(2, Types.VARCHAR);
            cStatement.execute();
            String name=cStatement.getString(2);
            System.out.println(name);
        } catch (SQLException e) {
            // TODO Auto-generated catch block
            e.printStackTrace();
        }
        
    }

 

 

 

 

 

 

 

 參考文獻

https://ke.qq.com/course/339214

相關推薦

JDBC04----編譯語句介紹

 sql的拼接很麻煩,且容易出錯,因此就可以使用預編譯語句。 介面java.sql.Statement有兩個子介面:CallableStatement,PreparedStatement 有兩種型別的sql語句: 1.靜態sql 在執行之前就知道了sql語句的形式。 2.動態sql 一.

【Statement和PreparedStatement有什麽區別?哪個性能更好?編譯語句,防止sql註入問題】

dstat () 驅動程序 對象 生成 from result 查詢語句 驅動 答:與Statement相比,①PreparedStatement接口代表預編譯的語句,它主要的優勢在於可以減少SQL的編譯錯誤並增加SQL的安全性(減少SQL註射攻擊的可能性);②Prepar

撩課-JavaWeb之Statement介面與編譯語句及呼叫儲存過程

Statement介面 介面 Statement介面作用 用於進行Java程式和資料庫之間的資料傳輸 具體類有3個實現 Statement 用於對資料庫進行通用訪問,使用的是靜態sql PreparedStatement PreparedSta

SQL或HQL編譯語句,能夠防止SQL注入,但是不能處理%和_特殊字元

最近專案在做整改,將所有DAO層的直接拼接SQL字串的程式碼,轉換成使用預編譯語句的方式。個人通過寫dao層的單元測試,有以下幾點收穫。 dao層程式碼如下 //使用了預編譯sql public Li

JDBC學習(五、編譯語句物件)

一、PreparedStatement介面的常用方法是Statement的子介面,表示預編譯的 SQL 語句的物件.設定佔位符引數(告訴SQL中的?到底表示哪一個值): void  setXxx(int parameterIndex, Xxx value): xxx表示資料型

編譯sql語句就sql綁定變量嗎

傳遞 標準 部分 repl fff employees rom dst execute 鏈接:https://wenwen.sogou.com/z/q727183268.htm?g_f=113010261. 認識綁定變量: 綁定變量是為了減少解析的,比如你有個語句這樣 s

03. JDBC 編譯SQL語句 & 儲存過程呼叫

在JDBC中,Statement介面用於進行Java程式和資料庫之間的資料傳輸,具體類有3個實現,如下:Statement用於對資料庫進行通用訪問,在執行時使用靜態SQL語句時使用。 PreparedS

編譯標頭檔案的作用和使用方法介紹

預編譯頭的概念: 所謂的預編譯頭就是把一個工程中的那一部分程式碼,預先編譯好放在一個檔案裡(通常是以.pch為副檔名的),這個檔案就稱為預編譯標頭檔案這些預先編譯好的程式碼可以是任何的C/C++程式碼--------甚至是inline的函式,但是必須是穩定的,在工程開發的過

VS中關於編譯標頭檔案的介紹

預編譯標頭檔案的原理: 在DXUT.cpp裡include一次DXUT.h,生成一次pch,pdb檔案,其他地方實際上直接用這個編譯的結果,從而減少編譯時間,提高編譯效率。一般,我們把常用的不變的庫標頭檔案放裡面,如,atlbase.h,atlcore.h,window

ANPM-Apache_httpd-Nginx-PHP-MySQL 官方編譯包源(Pre-Built Packages Repository)收集

apache httpd nginx php mysql ANPM-Apache_httpd-Nginx-PHP-MySQL 官方預編譯包源(Pre-Built Packages Repository)收集Apache_httpdNginxhttp://nginx.org/en/linux

IIS編譯提升載入速度

microsoft -i for 感覺 初始化 重新 -m 選擇 req 當我們把站點部署在IIS7或IIS6S的時候,每當IIS或是ApplicationPool重新啟動後,第一次請求站點反應總是非常慢。原因大家都知道(不知道能夠參考這個動畫說明ASP.NET網

IntelliJ IDEA 編譯方式介紹

目錄 .cn mod block 添加 -i 特殊 可能 tps 原文:https://github.com/judasn/IntelliJ-IDEA-Tutorial/blob/newMaster/make-introduce.md 編譯方式介紹 相比較於 Eclipse

SQL攻擊-編譯--緩存

可維護性 ins 可讀性 問號 wid 都是 比較 緩存 query PreparedStatement l 它是Statement接口的子接口; l 強大之處: 防SQL攻擊; 提高代碼的可讀性、可維護性; 提高效率! l 學習PreparedS

C編譯

class copy lin turn -- urn ces stdio.h std /* ============================================================================ Name

VC++ 使用編譯

radius 而已 tools filters mpi 鏈接 res 普通 mov 一、使用默認的預編譯頭 要使用預編譯頭,我們必須指定一個頭文件,這個頭文件包含我們不會經常改變的代碼和其他的頭文件,然後我們用這個頭文件來生成一個預編譯頭文件(.pch文件),想

編譯封裝

cti array etc 元素 傳遞 param name 名稱 結構 /** * 獲取查詢結果並封裝為一個對象數組 * @param $sql 需要執行的SQL語句 * @param array $arr 預編譯語

#include”* .h“ 在查找編譯頭使用時跳過

ios warning 跳過 ima stream bsp 分享 strong ges warning C4627: “#include <windows.h>”: 在查找預編譯頭使用時跳過 解決辦法: 原因是沒有在cpp文件

WebRTC編譯具體介紹

media AMF developer 研究 dot mman details code 還要 WebRTC編譯具體介紹--記錄+轉載原文地址:http://blog.csdn.net/temotemo/article/details/7056581WebRTC編譯本人

mybatis深入理解之 # 與 $ 區別以及 sql 編譯

tcl nec from esql 校驗 ntp code 理解 替換字符串 mybatis 中使用 sqlMap 進行 sql 查詢時,經常需要動態傳遞參數,例如我們需要根據用戶的姓名來篩選用戶時,sql 如下: select * from user where nam

一張圖掌握移動Web前端所有技術(大前端、工程化、編譯、自動化)

移動前端 web 工程化 webpack 你要的移動web前端都在這裏!大前端方向:移動Web前端、Native客戶端、Node.js、大前端框架:React、Vue.js、Koa跨終端技術:HTML 5、CSS 3、JavaScript跨平臺框架:React Native、Cordova前端