PreparedStatement执行sql的对象

PreparedStatement执行sql的对象

  1,SQL注入问题:拼接sql时,有一些sql的特殊关键字参与字符串的拼接。会造成安全问题

    1.输入用户随便,输入密码:a ‘ or ’a‘

    2.sql:select * from user where username = ’zhangsan‘ and password = ’a‘  or  ’a‘  =  ’a‘

  2,解决sql注入问题:使用PreparedStatement对象来解决

  3,编译的SQL:参与使用?作为占位符

 步骤

  1,导入启动jar包 mysql-connector-java-5.1.37-bin.jar

  2,注册驱动

  3,获取数据库链接对象 connection

  4,定义sql

    *注意:sql的参数使用?作为占位符。如:select * from user where username = ? and password = ?;

  6,给?赋值:

    *方法:setXXX(参数1,参数2)

      *参数1:?的位置编号 从1开始

      *参数2:?的值

  7,执行sql,接受返回结果,不需要传递sql语句

  8,处理结果

  9,释放资源

 

posted @   帕拉利斯  阅读(21)  评论(0编辑  收藏  举报
相关博文:
· Statement执行sql的对象
· Connection:数据库连接对象
· java——JDBC——JDBC各个类详解——PreparedStatement类
· MySQL数据库干货_27——PreparedStatement的使用(重点)
· JDBC查阅笔记---JDBC 03
阅读排行:
· Manus重磅发布:全球首款通用AI代理技术深度解析与实战指南
· 被坑几百块钱后,我竟然真的恢复了删除的微信聊天记录!
· 没有Manus邀请码?试试免邀请码的MGX或者开源的OpenManus吧
· 园子的第一款AI主题卫衣上架——"HELLO! HOW CAN I ASSIST YOU TODAY
· 【自荐】一款简洁、开源的在线白板工具 Drawnix
点击右上角即可分享
微信分享提示