为什么要使用占位符“？” - 详解JDBC使用

为什么要使用占位符“？”

看一下第5点，大家一定注意到了，写sql语句的时候用了“？”占位符，当然有美化代码的因素，不用占位符就要在括号里写“+”来拼接参数，如果要拼接的参数一多，代码肯定不好看，可读性不强。但是除了这个原因，还有另外一个重要的原因，就是避免一个安全问题。假设我们不用占位符写sql语句，那“querySomeStudents（String name） throws Exception”方法就要这么写：

public List querySomeStudents（String studentName） throws Exception

{

List studentList = new ArrayList （）;

Connection connection = DBConnection.mysqlConnection;

PreparedStatement ps = connection.prepareStatement（“select * from student where studentName = ‘” + studentName + “’”）;

ResultSet rs = ps.executeQuery（）;

Student student = null;

while （rs.next（））

{

student = new Student（rs.getInt（1）， rs.getString（2）， rs.getInt（3）， rs.getString（4））;

studentList.add（student）;

}

ps.close（）;

rs.close（）;

return studentList;

}

上面的main函数一样可以获取到两条数据，但是问题来了，如果我这么调用呢：

public static void main（String［］ args） throws Exception

{

List studentList = new ArrayList《Student>（）;

studentList = StudentManager.getInstance（）.querySomeStudents（“‘ or ’1‘ = ’1”）;

for （Student student ： studentList）

System.out.println（student）;

}

看下运行结果：

studentId = 1， studentName = Betty， studentAge = 20， studentPhone = 00000000

studentId = 2， studentName = Jerry， studentAge = 18， studentPhone = 11111111

studentId = 3， studentName = Betty， studentAge = 21， studentPhone = 22222222

studentId = 4， studentName = Steve， studentAge = 27， studentPhone = 33333333

studentId = 5， studentName = James， studentAge = 22， studentPhone = 44444444

为什么？看下拼接之后的sql语句就知道了：

select * from student where studentName = ‘’ or ‘1’ = ‘1’‘1’=‘1’永远成立，所以前面的查询条件是什么都没用。这种问题是有应用场景的，不是随便写一下。Java越来越多的用在Web上，既然是Web，那么查询的时候有一种情况就是用户输入一个条件，后台获取到查询条件，拼接sql语句查数据库，有经验的用户完全可以输入一个“‘‘’ or ‘1’ = ‘1”，这样就拿到了库里面的所有数据了。

详解JDBC使用

JDBC事物

谈数据库必然离不开事物，事物简单说就是“要么一起成功，要么一起失败”。那简单往前面的StudentManager里面写一个插入学生信息的方法：

public void addStudent（String studentName， int studentAge， String studentPhone） throws Exception

{

Connection connection = DBConnection.mysqlConnection;

PreparedStatement ps = connection.prepareStatement（“insert into student values（null，？，？，？）”）;

ps.setString（1， studentName）;

ps.setInt（2， studentAge）;

ps.setString（3， studentPhone）;

if （ps.executeUpdate（） > 0）

System.out.println（“添加学生信息成功”）;

else

System.out.println（“添加学生信息失败”）;

}

public static void main（String［］ args） throws Exception

{

StudentManager.getInstance（）.addStudent（“Betty”， 17， “55555555”）;

}

运行就不运行了，反正最后结果是“添加学生信息成功”，数据库里面多了一条数据。注意一下：

1、增删改用的是executeUpdate（）方法，因为增删改认为都是对数据库的更新

2、查询用的是executeQuery（）方法，看名字就知道了“Query”，查询嘛

可能有人注意到一个问题，就是Java代码在insert后并没有对事物进行commit，数据就添加进数据库了，也能查出来，这是为什么呢？因为JDK的Connection设置了事物的自动提交。如果在addStudent（。..）方法里面这么写：

Connection connection = DBConnection.mysqlConnection;

connection.setAutoCommit（false）;

autoCommit这个属性原来是true，JDK自然会帮助开发者自动提交事物了。OK，如果要改成手动提交事物的代码，那么应该这么写addStudent（。..）方法：

public void addStudent（String studentName， int studentAge， String studentPhone） throws Exception

{

Connection connection = DBConnection.mysqlConnection;

connection.setAutoCommit（false）;

PreparedStatement ps = connection.prepareStatement（“insert into student values（null，？，？，？）”）;

ps.setString（1， studentName）;

ps.setInt（2， studentAge）;

ps.setString（3， studentPhone）;

try

{

ps.executeUpdate（）;

connection.commit（）;

}

catch （Exception e）

{

e.printStackTrace（）;

connection.rollback（）;

}

要记得抛异常的时候利用rollback（）方法回滚掉事物。

以上就是本文的全部内容，希望本文的内容对大家的学习或者工作能带来一定的帮助。

阅读全文

上一页 1 2 全文

本文导航

第 1 页：详解JDBC使用
第 2 页：为什么要使用占位符“？”

JDBC(13247)JDBC(13247)

kafka相关命令详解

kafka常用命令详解

2023-10-20 11:34:05

详解pcb光学点是什么

2023-10-12 10:36:14

104

UCOS详解

UCOS 详解！对初者来说还是不错的！

2009-08-24 16:27:58

BGA和CSP封装技术详解

2023-09-20 09:20:14

293

STM32库函数SystemInit()详解

STM32库函数SystemInit() 详解

2023-09-18 15:45:50

354

无功补偿原理基础知识详解

2023-08-11 09:48:25

264

WAT技术详解

2023-07-17 11:40:44

332

物理设计中的问题详解

2023-07-05 16:56:53

245

Linux LED子系统详解

2023-06-10 10:37:14

731

[源代码]Python算法详解

[源代码]Python算法详解[源代码]Python算法详解

2023-06-06 17:50:17

51单片机指令详解

学习51汇编指令详解

2023-05-27 20:45:52

4898

MyBatis、JDBC等做大数据量数据插入的案例和结果

30万条数据插入插入数据库验证实体类、mapper和配置文件定义不分批次直接梭哈循环逐条插入 MyBatis实现插入30万条数据 JDBC实现插入30万条数据总结本文主要讲述通过

2023-05-22 11:23:13

455

全面解读MOSFET结构及设计详解

MOSFET结构、特性参数及设计详解

2023-01-26 16:47:00

405

JDBC的基本概念

JDBC一般指Java数据库连接（Java Database Connectivity） api 应用程序接口（API）：可以调用或者使用类/接口/方法等去完成某个目标。 API制定的类/方法

2023-01-13 11:18:57

185

JDBC-04-API详解-Statement

数据库 JDBC

电子学习发布于 2023-01-08 17:22:57

JDBC-03-API详解-Connection

数据库 JDBC

电子学习发布于 2023-01-08 17:20:44

JDBC-02-API详解-DriverManager

数据库 JDBC

电子学习发布于 2023-01-08 17:19:32

JDBC-10-JDBC练习-环境准备

数据库 JDBC

电子学习发布于 2023-01-08 17:18:53

JDBC-07-PreparedStatement

数据库 JDBC

电子学习发布于 2023-01-08 17:16:36

JDBC-11-JDBC练习-查询所有

数据库 JDBC

电子学习发布于 2023-01-08 17:15:03

JDBC-08-PreparedStatement-原理

数据库 JDBC

电子学习发布于 2023-01-08 17:06:02

PCB技术详解手册.zip

PCB技术详解手册

2022-12-30 09:20:32

PCB工艺流程详解.zip

PCB工艺流程详解

2022-12-30 09:20:24

Linux环境下的Java（JDBC）链接openGauss数据库实践

根据操作系统下载匹配的数据库版本和 JDBC驱动包。

2022-12-20 09:59:12

724

SpringBoot + ShardingJDBC，一文搞定分库分表、读写分离

Sharding- JDBC最早是当当网内部使用的一款分库分表框架，到2017年的时候才开始对外开源，这几年在大量社区贡献者的不断迭代下，功能也逐渐完善，现已更名为ShardingSphere

2022-12-19 14:34:43

479

LC振荡电路原理详解

2022-12-15 15:17:25

1766

积分与微分电路原理详解

2022-11-09 11:08:11

1234

Linux设备驱动开发详解

2022-10-28 11:03:06

CMake用法详解

2022-10-25 16:28:04

DDR设计和仿真技术详解

DDR2设计和仿真技术详解。

2022-10-24 15:10:18

Arduino语法详解含示例详解

Arduino语法详解_含示例详解

2022-07-19 14:09:05

Spring DataJDBC- 如何使用自定义ID

原标题：Spring认证|Spring Data JDBC-如何使用自定义ID生成这是关于如何解决使用 Spring Data JDBC时可能遇到的各种挑战的系列文章的第一篇。如果你不了解

2022-06-28 16:18:00

558

SVG104R0NS/T n型mos管100v耐压规格书参数详解

供应SVG104R0NS/T n型mos管100v耐压，提供SVG104R0NS/T 规格书参数详解，更多产品手册、应用料资请向士兰微mos代理骊微电子申请。>>

2022-06-07 14:20:37

《LED灯具设计与案例详解》pdf

2022-02-08 09:42:37

USB Type C规范详解

2021-12-09 16:38:52

STM32系统时钟RCC详解

【STM32】系统时钟RCC 详解(超详细，超全面) 原创 ...

2021-11-30 12:21:07

嵌入式详解

嵌入式详解(stm32嵌入式开发实例)-嵌入式详解,有需要的可以参考！

2021-07-30 16:07:18

Sharding-JDBC基本使用方法

前言这是一篇将介绍 Sharding- JDBC基本使用方法作为目标的文章，但笔者却把大部分文字放在对 Sharding- JDBC的工作原理的描述上，因为笔者认为原理是每个 IT 打工人学习技术

2020-11-19 15:54:41

3861

Prelink的交叉编译和使用详解

2020-06-20 12:03:47

2744

jdbc注册驱动的三种方式

本文主要介绍了关于 jdbc注册驱动的三种方式。 jdbc中注册驱动，首先导入对应的包，例如mysql-connector-java-5.0.8-bin.jar。驱动包是java和具体数据库之间的连接

2018-02-06 11:04:28

5460

使用jdbc连接上oracle的两种方法

本文主要介绍了使用 jdbc连接上oracle的两种方法：1、使用thin连接，2、使用oci连接（Oracle Call Interface）

2018-02-06 10:43:04

1456

用JDBC连接MySQL数据库并进行简单的增删改查操作

本文主要详细讲解了用 JDBC连接MySQL数据库并进行简单的增删改查操作。Java 数据库连接是Java语言中用来规范客户端程序如何来访问数据库的应用程序接口，提供了诸如查询和更新数据库中数据的方法。

2018-02-06 09:21:08

6047

JDBC中的四个最基本对象功能及其用法

本文详细概括了 JDBC中的四个最基本对象功能及其用法。 JDBC即Java数据库连接，是一种用于执行SQL语句的Java API，可以为多种关系数据库提供同一访问，它由一组用Java语言编写的类和接口

2018-02-06 09:03:09

2120

jdbc连接数据库的五个步骤

jdbc连接数据库的五个步骤：1、创建数据库的连接2、创建一个Statement3、执行SQL语句4、处理结果5、关闭 JDBC对象。详细说明请看下文

2018-02-05 19:08:53

29384

JDBC的操作步骤和实例

创建一个以 JDBC连接数据库的程序，包含7个步骤,详细介绍请看下文。

2018-02-05 18:51:38

6327

自定义JDBC框架

JDBC是一种用于执行SQL语句的Java API，可以为多种关系数据库提供统一访问，它由一组用Java语言编写的类和接口组成。 JDBC提供了一种基准，据此可以构建更高级的工具和接口，使数据库开发人员能够编写数据库应用程序，同时， JDBC也是个商标名。

2018-02-02 17:55:26

1099

jdbc与mybatis的区别

MyBatis 是一款优秀的持久层框架，它支持定制化 SQL、存储过程以及高级映射。MyBatis 避免了几乎所有的 JDBC代码和手动设置参数以及获取结果集。 JDBC是一种用于执行SQL语句的Java API，可以为多种关系数据库提供统一访问.

2018-02-02 17:43:16

10967

Hex的格式详解

2017-10-31 14:46:00

SDRAM内存详解资料

2017-10-30 15:45:17

基于STM32 USB详解

基于STM32 USB 详解

2017-10-15 10:54:29

ethercat通讯模块详解

2017-09-09 08:11:42

POE-供电原理详解

2017-04-19 16:19:50

Raspberry_Pi详解

Raspberry_Pi 详解

2017-01-31 20:45:09

PID算法详解

2016-12-17 20:48:18

Buck-Boost详解

Buck-Boost 详解，Buck-Boost 详解

2016-07-25 18:21:18

128

3154

1532

189

已全部加载完成

搜索历史

为什么要使用占位符“？” - 详解JDBC使用