為什么要使用占位符“？” - 詳解JDBC使用

為什么要使用占位符“？”

看一下第5點(diǎn)，大家一定注意到了，寫(xiě)sql語(yǔ)句的時(shí)候用了“？”占位符，當(dāng)然有美化代碼的因素，不用占位符就要在括號(hào)里寫(xiě)“+”來(lái)拼接參數(shù)，如果要拼接的參數(shù)一多，代碼肯定不好看，可讀性不強(qiáng)。但是除了這個(gè)原因，還有另外一個(gè)重要的原因，就是避免一個(gè)安全問(wèn)題。假設(shè)我們不用占位符寫(xiě)sql語(yǔ)句，那“querySomeStudents（String name） throws Exception”方法就要這么寫(xiě)：

public List querySomeStudents（String studentName） throws Exception

{

List studentList = new ArrayList（）;

Connection connection = DBConnection.mysqlConnection;

PreparedStatement ps = connection.prepareStatement（“select * from student where studentName = ‘” + studentName + “’”）;

ResultSet rs = ps.executeQuery（）;

Student student = null;

while （rs.next（））

{

student = new Student（rs.getInt（1）， rs.getString（2）， rs.getInt（3）， rs.getString（4））;

studentList.add（student）;

}

ps.close（）;

rs.close（）;

return studentList;

}

上面的main函數(shù)一樣可以獲取到兩條數(shù)據(jù)，但是問(wèn)題來(lái)了，如果我這么調(diào)用呢：

public static void main（String［］ args） throws Exception

{

List studentList = new ArrayList《Student>（）;

studentList = StudentManager.getInstance（）.querySomeStudents（“‘ or ’1‘ = ’1”）;

for （Student student ： studentList）

System.out.println（student）;

}

看下運(yùn)行結(jié)果：

studentId = 1， studentName = Betty， studentAge = 20， studentPhone = 00000000

studentId = 2， studentName = Jerry， studentAge = 18， studentPhone = 11111111

studentId = 3， studentName = Betty， studentAge = 21， studentPhone = 22222222

studentId = 4， studentName = Steve， studentAge = 27， studentPhone = 33333333

studentId = 5， studentName = James， studentAge = 22， studentPhone = 44444444

為什么？看下拼接之后的sql語(yǔ)句就知道了：

select * from student where studentName = ‘’ or ‘1’ = ‘1’‘1’=‘1’永遠(yuǎn)成立，所以前面的查詢(xún)條件是什么都沒(méi)用。這種問(wèn)題是有應(yīng)用場(chǎng)景的，不是隨便寫(xiě)一下。Java越來(lái)越多的用在Web上，既然是Web，那么查詢(xún)的時(shí)候有一種情況就是用戶(hù)輸入一個(gè)條件，后臺(tái)獲取到查詢(xún)條件，拼接sql語(yǔ)句查數(shù)據(jù)庫(kù)，有經(jīng)驗(yàn)的用戶(hù)完全可以輸入一個(gè)“‘‘’ or ‘1’ = ‘1”，這樣就拿到了庫(kù)里面的所有數(shù)據(jù)了。

詳解JDBC使用

JDBC事物

談數(shù)據(jù)庫(kù)必然離不開(kāi)事物，事物簡(jiǎn)單說(shuō)就是“要么一起成功，要么一起失敗”。那簡(jiǎn)單往前面的StudentManager里面寫(xiě)一個(gè)插入學(xué)生信息的方法：

public void addStudent（String studentName， int studentAge， String studentPhone） throws Exception

{

Connection connection = DBConnection.mysqlConnection;

PreparedStatement ps = connection.prepareStatement（“insert into student values（null，？，？，？）”）;

ps.setString（1， studentName）;

ps.setInt（2， studentAge）;

ps.setString（3， studentPhone）;

if （ps.executeUpdate（） > 0）

System.out.println（“添加學(xué)生信息成功”）;

else

System.out.println（“添加學(xué)生信息失敗”）;

}

public static void main（String［］ args） throws Exception

{

StudentManager.getInstance（）.addStudent（“Betty”， 17， “55555555”）;

}

運(yùn)行就不運(yùn)行了，反正最后結(jié)果是“添加學(xué)生信息成功”，數(shù)據(jù)庫(kù)里面多了一條數(shù)據(jù)。注意一下：

1、增刪改用的是executeUpdate（）方法，因?yàn)樵鰟h改認(rèn)為都是對(duì)數(shù)據(jù)庫(kù)的更新

2、查詢(xún)用的是executeQuery（）方法，看名字就知道了“Query”，查詢(xún)嘛

可能有人注意到一個(gè)問(wèn)題，就是Java代碼在insert后并沒(méi)有對(duì)事物進(jìn)行commit，數(shù)據(jù)就添加進(jìn)數(shù)據(jù)庫(kù)了，也能查出來(lái)，這是為什么呢？因?yàn)镴DK的Connection設(shè)置了事物的自動(dòng)提交。如果在addStudent（。..）方法里面這么寫(xiě)：

Connection connection = DBConnection.mysqlConnection;

connection.setAutoCommit（false）;

autoCommit這個(gè)屬性原來(lái)是true，JDK自然會(huì)幫助開(kāi)發(fā)者自動(dòng)提交事物了。OK，如果要改成手動(dòng)提交事物的代碼，那么應(yīng)該這么寫(xiě)addStudent（。..）方法：

public void addStudent（String studentName， int studentAge， String studentPhone） throws Exception

{

Connection connection = DBConnection.mysqlConnection;

connection.setAutoCommit（false）;

PreparedStatement ps = connection.prepareStatement（“insert into student values（null，？，？，？）”）;

ps.setString（1， studentName）;

ps.setInt（2， studentAge）;

ps.setString（3， studentPhone）;

try

{

ps.executeUpdate（）;

connection.commit（）;

}

catch （Exception e）

{

e.printStackTrace（）;

connection.rollback（）;

}

要記得拋異常的時(shí)候利用rollback（）方法回滾掉事物。

以上就是本文的全部?jī)?nèi)容，希望本文的內(nèi)容對(duì)大家的學(xué)習(xí)或者工作能帶來(lái)一定的幫助。

閱讀全文

上一頁(yè)12全文

本文導(dǎo)航

第 1 頁(yè)：詳解JDBC使用
第 2 頁(yè)： 為什么要使用占位符“？”

JDBC(13247) JDBC(13247)

評(píng)論

相關(guān)推薦

kafka相關(guān)命令詳解

kafka常用命令詳解

2023-10-20 11:34:05

詳解pcb光學(xué)點(diǎn)是什么

2023-10-12 10:36:14

104

UCOS詳解

UCOS詳解！對(duì)初者來(lái)說(shuō)還是不錯(cuò)的！

2009-08-24 16:27:58

BGA和CSP封裝技術(shù)詳解

2023-09-20 09:20:14

293

STM32庫(kù)函數(shù)SystemInit()詳解

2023-09-18 15:45:50

354

無(wú)功補(bǔ)償原理基礎(chǔ)知識(shí)詳解

2023-08-11 09:48:25

264

WAT技術(shù)詳解

2023-07-17 11:40:44

332

物理設(shè)計(jì)中的問(wèn)題詳解

2023-07-05 16:56:53

245

Linux LED子系統(tǒng)詳解

2023-06-10 10:37:14

731

[源代碼]Python算法詳解

[源代碼]Python算法詳解[源代碼]Python算法詳解

2023-06-06 17:50:17

51單片機(jī)指令詳解

學(xué)習(xí)51匯編指令詳解

2023-05-27 20:45:52

4898

MyBatis、JDBC等做大數(shù)據(jù)量數(shù)據(jù)插入的案例和結(jié)果

30萬(wàn)條數(shù)據(jù)插入插入數(shù)據(jù)庫(kù)驗(yàn)證實(shí)體類(lèi)、mapper和配置文件定義不分批次直接梭哈循環(huán)逐條插入 MyBatis實(shí)現(xiàn)插入30萬(wàn)條數(shù)據(jù) JDBC實(shí)現(xiàn)插入30萬(wàn)條數(shù)據(jù) 總結(jié) ? 本文主要講述通過(guò)

2023-05-22 11:23:13

455

全面解讀MOSFET結(jié)構(gòu)及設(shè)計(jì)詳解

MOSFET結(jié)構(gòu)、特性參數(shù)及設(shè)計(jì)詳解

2023-01-26 16:47:00

405

JDBC的基本概念

JDBC一般指Java數(shù)據(jù)庫(kù)連接（Java Database Connectivity） api 應(yīng)用程序接口（API）：可以調(diào)用或者使用類(lèi)/接口/方法等去完成某個(gè)目標(biāo) 。 API制定的類(lèi)/方法

2023-01-13 11:18:57

185

JDBC-04-API詳解-Statement

數(shù)據(jù)庫(kù)JDBC

電子學(xué)習(xí)發(fā)布于 2023-01-08 17:22:57

JDBC-03-API詳解-Connection

數(shù)據(jù)庫(kù)JDBC

電子學(xué)習(xí)發(fā)布于 2023-01-08 17:20:44

JDBC-02-API詳解-DriverManager

數(shù)據(jù)庫(kù)JDBC

電子學(xué)習(xí)發(fā)布于 2023-01-08 17:19:32

JDBC-10-JDBC練習(xí)-環(huán)境準(zhǔn)備

數(shù)據(jù)庫(kù)JDBC

電子學(xué)習(xí)發(fā)布于 2023-01-08 17:18:53

JDBC-07-PreparedStatement

數(shù)據(jù)庫(kù)JDBC

電子學(xué)習(xí)發(fā)布于 2023-01-08 17:16:36

JDBC-11-JDBC練習(xí)-查詢(xún)所有

數(shù)據(jù)庫(kù)JDBC

電子學(xué)習(xí)發(fā)布于 2023-01-08 17:15:03

JDBC-08-PreparedStatement-原理

數(shù)據(jù)庫(kù)JDBC

電子學(xué)習(xí)發(fā)布于 2023-01-08 17:06:02

PCB技術(shù)詳解手冊(cè).zip

PCB技術(shù)詳解手冊(cè)

2022-12-30 09:20:32

PCB工藝流程詳解.zip

PCB工藝流程詳解

2022-12-30 09:20:24

Linux環(huán)境下的Java（JDBC）鏈接openGauss數(shù)據(jù)庫(kù)實(shí)踐

根據(jù)操作系統(tǒng)下載匹配的數(shù)據(jù)庫(kù)版本和JDBC驅(qū)動(dòng)包。

2022-12-20 09:59:12

724

SpringBoot + Sharding JDBC，一文搞定分庫(kù)分表、讀寫(xiě)分離

Sharding-JDBC最早是當(dāng)當(dāng)網(wǎng)內(nèi)部使用的一款分庫(kù)分表框架，到2017年的時(shí)候才開(kāi)始對(duì)外開(kāi)源，這幾年在大量社區(qū)貢獻(xiàn)者的不斷迭代下，功能也逐漸完善，現(xiàn)已更名為ShardingSphere

2022-12-19 14:34:43

479

LC振蕩電路原理詳解

2022-12-15 15:17:25

1766

積分與微分電路原理詳解

2022-11-09 11:08:11

1234

Linux設(shè)備驅(qū)動(dòng)開(kāi)發(fā)詳解

2022-10-28 11:03:06

CMake用法詳解

2022-10-25 16:28:04

DDR設(shè)計(jì)和仿真技術(shù)詳解

DDR2設(shè)計(jì)和仿真技術(shù)詳解。

2022-10-24 15:10:18

Arduino語(yǔ)法詳解含示例詳解

Arduino語(yǔ)法詳解_含示例詳解

2022-07-19 14:09:05

Spring Data JDBC - 如何使用自定義ID

原標(biāo)題：Spring認(rèn)證|Spring Data JDBC-如何使用自定義ID生成這是關(guān)于如何解決使用 Spring Data JDBC 時(shí)可能遇到的各種挑戰(zhàn)的系列文章的第一篇。如果你不了解

2022-06-28 16:18:00

558

SVG104R0NS/T n型mos管100v耐壓規(guī)格書(shū)參數(shù)詳解

供應(yīng)SVG104R0NS/T n型mos管100v耐壓，提供SVG104R0NS/T 規(guī)格書(shū)參數(shù)詳解，更多產(chǎn)品手冊(cè)、應(yīng)用料資請(qǐng)向士蘭微mos代理驪微電子申請(qǐng)。>>

2022-06-07 14:20:37

《LED燈具設(shè)計(jì)與案例詳解》pdf

2022-02-08 09:42:37

USB Type C規(guī)范詳解

2021-12-09 16:38:52

STM32系統(tǒng)時(shí)鐘RCC詳解

【STM32】系統(tǒng)時(shí)鐘RCC詳解(超詳細(xì)，超全面) 原創(chuàng) ...

2021-11-30 12:21:07

嵌入式詳解

嵌入式詳解(stm32嵌入式開(kāi)發(fā)實(shí)例)-嵌入式詳解,有需要的可以參考！

2021-07-30 16:07:18

Sharding-JDBC 基本使用方法

前言這是一篇將介紹 Sharding-JDBC 基本使用方法作為目標(biāo)的文章，但筆者卻把大部分文字放在對(duì) Sharding-JDBC 的工作原理的描述上，因?yàn)楣P者認(rèn)為原理是每個(gè) IT 打工人學(xué)習(xí)技術(shù)

2020-11-19 15:54:41

3861

Prelink的交叉編譯和使用詳解

2020-06-20 12:03:47

2744

jdbc注冊(cè)驅(qū)動(dòng)的三種方式

本文主要介紹了關(guān)于jdbc注冊(cè)驅(qū)動(dòng)的三種方式。jdbc中注冊(cè)驅(qū)動(dòng)，首先導(dǎo)入對(duì)應(yīng)的包，例如mysql-connector-java-5.0.8-bin.jar。驅(qū)動(dòng)包是java和具體數(shù)據(jù)庫(kù)之間的連接

2018-02-06 11:04:28

5460

使用jdbc連接上oracle的兩種方法

本文主要介紹了使用jdbc連接上oracle的兩種方法：1、使用thin連接，2、使用oci連接（Oracle Call Interface）

2018-02-06 10:43:04

1456

用JDBC連接MySQL數(shù)據(jù)庫(kù)并進(jìn)行簡(jiǎn)單的增刪改查操作

本文主要詳細(xì)講解了用JDBC連接MySQL數(shù)據(jù)庫(kù)并進(jìn)行簡(jiǎn)單的增刪改查操作。Java 數(shù)據(jù)庫(kù)連接是Java語(yǔ)言中用來(lái)規(guī)范客戶(hù)端程序如何來(lái)訪(fǎng)問(wèn)數(shù)據(jù)庫(kù)的應(yīng)用程序接口，提供了諸如查詢(xún)和更新數(shù)據(jù)庫(kù)中數(shù)據(jù)的方法。

2018-02-06 09:21:08

6047

JDBC中的四個(gè)最基本對(duì)象功能及其用法

本文詳細(xì)概括了JDBC中的四個(gè)最基本對(duì)象功能及其用法。JDBC即Java數(shù)據(jù)庫(kù)連接，是一種用于執(zhí)行SQL語(yǔ)句的Java API，可以為多種關(guān)系數(shù)據(jù)庫(kù)提供同一訪(fǎng)問(wèn)，它由一組用Java語(yǔ)言編寫(xiě)的類(lèi)和接口

2018-02-06 09:03:09

2120

jdbc連接數(shù)據(jù)庫(kù)的五個(gè)步驟

jdbc連接數(shù)據(jù)庫(kù)的五個(gè)步驟：1、創(chuàng)建數(shù)據(jù)庫(kù)的連接2、創(chuàng)建一個(gè)Statement3、執(zhí)行SQL語(yǔ)句4、處理結(jié)果5、關(guān)閉JDBC對(duì)象。詳細(xì)說(shuō)明請(qǐng)看下文

2018-02-05 19:08:53

29384

JDBC的操作步驟和實(shí)例

創(chuàng)建一個(gè)以JDBC連接數(shù)據(jù)庫(kù)的程序，包含7個(gè)步驟,詳細(xì)介紹請(qǐng)看下文。

2018-02-05 18:51:38

6327

自定義JDBC框架

JDBC是一種用于執(zhí)行SQL語(yǔ)句的Java API，可以為多種關(guān)系數(shù)據(jù)庫(kù)提供統(tǒng)一訪(fǎng)問(wèn)，它由一組用Java語(yǔ)言編寫(xiě)的類(lèi)和接口組成。JDBC提供了一種基準(zhǔn)，據(jù)此可以構(gòu)建更高級(jí)的工具和接口，使數(shù)據(jù)庫(kù)開(kāi)發(fā)人員能夠編寫(xiě)數(shù)據(jù)庫(kù)應(yīng)用程序，同時(shí)，JDBC也是個(gè)商標(biāo)名。

2018-02-02 17:55:26

1099

jdbc與mybatis的區(qū)別

MyBatis 是一款優(yōu)秀的持久層框架，它支持定制化 SQL、存儲(chǔ)過(guò)程以及高級(jí)映射。MyBatis 避免了幾乎所有的 JDBC 代碼和手動(dòng)設(shè)置參數(shù)以及獲取結(jié)果集。JDBC是一種用于執(zhí)行SQL語(yǔ)句的Java API，可以為多種關(guān)系數(shù)據(jù)庫(kù)提供統(tǒng)一訪(fǎng)問(wèn).

2018-02-02 17:43:16

10967

Hex的格式詳解

2017-10-31 14:46:00

SDRAM內(nèi)存詳解資料

2017-10-30 15:45:17

基于STM32 USB詳解

2017-10-15 10:54:29

ethercat通訊模塊詳解

2017-09-09 08:11:42

POE-供電原理詳解

2017-04-19 16:19:50

Raspberry_Pi詳解

2017-01-31 20:45:09

PID算法詳解

2016-12-17 20:48:18

Buck-Boost詳解

Buck-Boost詳解，Buck-Boost詳解

2016-07-25 18:21:18

128

GIF文件格式詳解

GIF文件格式詳解 GIF文件格式詳解 GIF文件格式詳解

2016-05-24 10:53:17

CAN總線(xiàn)通信詳解

CAN總線(xiàn)通信詳解。

2016-03-30 16:46:10

基于jdbc數(shù)據(jù)庫(kù)與Android的餐廳智能管理系統(tǒng)

基于jdbc數(shù)據(jù)庫(kù)與Android的餐廳智能管理系統(tǒng)。

2015-12-31 10:57:34

Modbus_通訊協(xié)議詳解

Modbus_通訊協(xié)議詳解，Modbus_通訊協(xié)議詳解

2015-12-08 14:13:12

JDBC操作流程說(shuō)明

JDBC操作流程說(shuō)明JDBC操作流程說(shuō)明JDBC操作流程說(shuō)明

2015-11-10 15:32:57

jsp應(yīng)用開(kāi)發(fā)詳解_飛思科技

本書(shū)分6篇共22章，包括JSP應(yīng)用開(kāi)發(fā)基礎(chǔ)、JSP核心語(yǔ)法及實(shí)例解析、Servlet技術(shù)在JSP開(kāi)發(fā)中的應(yīng)用、JDBC、基于XML的JSP應(yīng)用以及JSP的完整網(wǎng)站開(kāi)發(fā)實(shí)例。

2011-09-15 14:53:19

通過(guò)JDBC連接DB2數(shù)據(jù)庫(kù)技巧

關(guān)于DB2數(shù)據(jù)庫(kù)的JDBC連接文章有很多，比較出名的有諸如“JDBC數(shù)據(jù)庫(kù)連接大全”和“JSP的DB2連接數(shù)據(jù)庫(kù)”，雖然都是很詳細(xì)的資料，也都說(shuō)解決了前人沒(méi)有解決的問(wèn)題，但還是有許多紕漏。

2011-03-07 11:39:23

3154