java.sql.PreparedStatement(SQL预处理)
防止SQL注入
只要你的sql参数是用户提供过来的都需要使用sql预处理
设置参数的时候需要选择对应数据类型进行设置,要不然处理类型的时候会有问题
setObject 此方法有一个好处就是,你可以给它任何类型,自己进行类型判断,识别你的类型进行设置
sql防注入代码举例:
import java.sql.*;
import java.util.Arrays;
import java.util.Scanner;
public class T4 {
public static void main(String[] args) throws SQLException {
java.util.Scanner input = new Scanner(System.in);
System.out.print("请输入您的登录账号:");
String Account = input.next();
System.out.print("请输入您的登录密码:");
String Password = input.next();
Connection connection = T3.getT3().getconnection();
Statement statement = connection.createStatement();
PreparedStatement pst = connection.prepareCall("select *from zangu where account=? AND password=?");
// 用Connection对象中的prepareCall类来接收sql语句 再创建PreparedStatement接口对象
pst.setString(1, Account);
//通过PreparedStatement类来调用其中的setString方法你要输人的是第几个 这里我们选择的是String类型所以输入的是字符串类型
//当然你也可以选择PreparedStatement中的int方法
pst.setString(2, Password);
//这里原理同上通过PreparedStatement类来调用其中的setString方法你要输人的是第几个 并输入类型
ResultSet resultSet = pst.executeQuery();
//通过PreparedStatement 创建查询
//这里创建ResultSet记录集对象类接受查询号的 resultSet记录集
statement.executeUpdate("create table zangu(zid int(11)primary key,account varchar(100)," +
"password varchar(100))engine=innodb charset=utf8");//创建表只允许一次,注意如果在调用这个类又会创建一次就会报错
statement.executeUpdate("insert into zangu values(1,'张三','123456') ");
ResultSet resultSet = statement.executeQuery("select *from zangu where account='"+
Account+"'and password='"+Password+"'");//这样子验证存在sql注入问题 ‘ or ''=' 这样会从本质上改写代码sql防注入批处理添加
PreparedStatement/*注意这个是批处理的类*/ pst = connection.prepareStatement("INSERT into zangu values(?,?,?)");
pst.setObject(1, 2);
pst.setObject(2, "李四");
pst.setString(3, "0");//第一个参数是第几个问号,第二个是要插入的值
pst.addBatch();//执行批处理每局代码后面都要调用这个方法
pst.setObject(1, 3);
pst.setObject(2, "赵六");
pst.setObject(3, "125");
pst.addBatch();
pst.setObject(1, 4);
pst.setObject(2, "嘻嘻哈哈");
pst.setObject(3, "315");
pst.addBatch();
int a[] = pst.executeBatch();//调处批处理接过叫给数组啊
System.out.println(Arrays.toString(a));//打印记录
}
}
