java實(shí)訓(xùn)個(gè)人總結(jié) java中Statement詳細(xì)用法有什么？

2021-03-17

2950

java中Statement詳細(xì)用法有什么？簡單介紹如下： Statement 是 Java 執(zhí)行數(shù)據(jù)庫操作的一個(gè)重要方法，用于在已經(jīng)建立數(shù)據(jù)庫連接的基礎(chǔ)上，向數(shù)據(jù)庫發(fā)送要執(zhí)行的SQL語

java中Statement詳細(xì)用法有什么？

簡單介紹如下： Statement 是 Java 執(zhí)行數(shù)據(jù)庫操作的一個(gè)重要方法，用于在已經(jīng)建立數(shù)據(jù)庫連接的基礎(chǔ)上，向數(shù)據(jù)庫發(fā)送要執(zhí)行的SQL語句。Statement對象，用于執(zhí)行不帶參數(shù)的簡單SQL語句。與此差不多的還有PreparedStatement，PreparedStatement 繼承了Statement，一般如果已經(jīng)是稍有水平開發(fā)者，應(yīng)該以PreparedStatement代替Statement。

java中preparedstatement為什么可以防止sql注入？

不知道樓主用沒有用過

select * from tab_name where name= "" name "" and passwd="" passwd ""

把其中passwd換成 [" or "1" = "1] 這樣就可以完成sql注入

更有可能對你的數(shù)據(jù)庫表drop操作

如果使用preparedstatement的話就可以直接使用預(yù)編譯，PreparedStatement不允許在插入時(shí)改變查詢的邏輯結(jié)構(gòu).

舉例

statement

select * from tab_name where name= "" name "" and passwd="" passwd ""

passwd就可以換成 ‘ or "1"="1

Statement stmt = con.createStatement()

ResultSet rs = stmt.executeQuery(sql)

preparedstatement

select * from tab_name where name=? and passwd=?

PreparedStatement pst = con.prepareStatement(sql)

pstmt.setString(1， name)

pstmt.setString(2， passwd)

ResultSet rs = pstmt.executeQuery()

国产成人毛片视频|星空传媒久草视频|欧美激情草久视频|久久久久女女|久操超碰在线播放|亚洲强奸一区二区|五月天丁香社区在线|色婷婷成人丁香网|午夜欧美6666|纯肉无码91视频

java中Statement詳細(xì)用法有什么？

java中preparedstatement為什么可以防止sql注入？

相關(guān)推薦

java中Statement詳細(xì)用法有什么？

java中preparedstatement為什么可以防止sql注入？