JDBC之创建Statement

其他 2019-04-14 17:30:56 阅读次数: 0

JDBC之创建Statement

创建Statement
执行SQL语句
缺点
通过Statement执行SQL语句
SQL注入攻击

创建Statement

Statement用于在已经建立数据库连接的基础上，向数据库发送要执行的SQL语句。Statement对象只能执行不带参数的简单SQL语句。
通过调用 Connection 对象的 createStatement 方法创建该对象，该对象用于执行静态的 SQL 语句，并且返回执行结果。
Java代码：

	Statement statement = connection.createStatement();

执行SQL语句

Statement 接口中定义了下列方法用于执行 SQL 语句：

ResultSet excuteQuery(String sql)，用于执行查询语句，返回值是查询结果集；
int excuteUpdate(String sql)，用于执行包括增删改在内的更新语句，返回值是更新语句影响的行数；

	String sql = "update user set name = 'jackma' where id = 1";
	int affectedRows = statement.executeUpdate(sql);

缺点

只支持静态sql语句，只能通过字符串拼接的方式来生成SQL语句，但是这样做存在SQL注入攻击的风险。

		String name = "jackma";
		String password = "123456' or '1'='1";
		String sql = "select * from user where name = '" + name
				+ "' and password= '" + password + "'";

通过Statement执行SQL语句

	//获取数据库连接
	Connection connection = JDBCTools.getConnection();
	//准备sql语句
	String sql = "update user set name='jackma' where id=1";
	//创建statement
	Statement statement = connection.createStatement();
	//执行更新语句
	int affectedRows = statement.executeUpdate(sql);

SQL注入攻击

攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串，欺骗服务器执行恶意的SQL命令。在某些表单中，用户输入的内容直接用来构造（或者影响）动态SQL命令，这类表单特别容易受到SQL注入式攻击。
造成SQL注入式攻击的根本原因是，用户输入的内容未经检验就直接用来拼接SQL
语句，所以防范SQL注入式攻击最简单的方法就是对用户的输入内容进行检验；或者使用支持预编译的Statement，即PreparedStatement。

参考资料：什么是SQL注入式攻击

猜你喜欢

转载自blog.csdn.net/zhuzhuxia2020/article/details/89298075

JDBC之创建Statement

JDBC之Statement接口

JDBC接口介绍之Statement

JDBC的API详解之Statement

JDBC之Statement,PreparedStatement,CallableStatement的区别

JDBC——statement

JDBC—Statement

JDBC statement

Mysql JDBC驱动源码分析(Statement,ResultSet的创建)四

JDBC之创建PreparedStatement

Java之美_JDBC中prepareStatement与Statement的区别

JDBC之预编译PreparedStatement较Statement的优点

jdbc Statement与PreparedStatement

JDBC的Statement和PreparedStatement

JDBC Statement比较

JDBC（2）Statement

聊聊jdbc statement的fetchSize

Java JDBC Statement

JDBC statement的常用方法

JDBC prepareStatement 与Statement的区别

JDBC（Statement & PreparedStatement）

JDBC Statement回顾

hibernate创建数据表报错 Error executing DDL via JDBC Statement

【三大接口】JDBC:Connection、statement(PreparedStatement)、ResultSet的创建及使用【整理】

jdbc 中statement用法的误解

JDBC: Statement、PreparedStatement和CallableStatement

JDBC 学习笔记（五）—— Statement

statement与preparedStatement的区别【jdbc中】

JDBC与Statement和PreparedStatement的区别

JDBC:Statement与PreparedStatement的联系与区别

今日推荐

基于大语言模型的开源知识库问答系统 MaxKB GitHub Star 数量突破 5,000 个！

美国拟限制 AI 大模型出口中国和俄罗斯

苹果将与 OpenAI 达成协议，将 ChatGPT 应用于 iPhone

openKylin 社区生态委员会第六次会议圆满召开

阿里云正式发布通义千问 2.5

Python 3.13 发布首个 Beta：实验性自由线程模式和 JIT、改进交互式解释器

Stack Overflow 拿我的代码去训练 AI 大模型，还封了我的账号

Pop!_OS 的 COSMIC 桌面完成 App Store 上架工作

报告：Django 仍然是 74% 开发者的首选

《2024 年一季度互联网投融资运行情况》研究报告

15 年前上了“FFmpeg 耻辱柱”，今天他还得谢谢咱——腾讯QQPlayer一雪前耻？

TIOBE 5 月榜单：Fortran “复活”进入 Top 10

周排行

BPM为企业带来的实际利益

好程序员web前端分享css常用属性缩写

Java文件下载（excel）

css样式的动态添加及显示和隐藏等零碎用法

axios全局配置以及拦截器

使用Logstash来实时同步MySQL和log日志数据到ES

C++获取当前时间（年月日、时分秒、毫秒）

Odoo产品分析 (四) -- 工具板块(11) -- 网站即时聊天(1)

Java环境配置正确，但是java、javac、java -version均返回“不是内部或外部命令，也不是可运行的程序或批处理文件”？

01 官网下载各种CentOS教程（超详细版）

每日归档

更多

2024-05-14(0)

2024-05-13(18)

2024-05-12(0)

2024-05-11(38)

2024-05-10(38)

2024-05-09(35)

2024-05-08(42)

2024-05-07(14)

2024-05-06(40)

2024-05-05(0)