為什么要使用占位符“？” - 詳解JDBC使用

為什么要使用占位符“？”

看一下第5點，大家一定注意到了，寫sql語句的時候用了“？”占位符，當然有美化代碼的因素，不用占位符就要在括號里寫“+”來拼接參數，如果要拼接的參數一多，代碼肯定不好看，可讀性不強。但是除了這個原因，還有另外一個重要的原因，就是避免一個安全問題。假設我們不用占位符寫sql語句，那“querySomeStudents（String name） throws Exception”方法就要這么寫：

public List querySomeStudents（String studentName） throws Exception

{

List studentList = new ArrayList（）;

Connection connection = DBConnection.mysqlConnection;

PreparedStatement ps = connection.prepareStatement（“select * from student where studentName = ‘” + studentName + “’”）;

ResultSet rs = ps.executeQuery（）;

Student student = null;

while （rs.next（））

{

student = new Student（rs.getInt（1）， rs.getString（2）， rs.getInt（3）， rs.getString（4））;

studentList.add（student）;

}

ps.close（）;

rs.close（）;

return studentList;

}

上面的main函數一樣可以獲取到兩條數據，但是問題來了，如果我這么調用呢：

public static void main（String［］ args） throws Exception

{

List studentList = new ArrayList《Student>（）;

studentList = StudentManager.getInstance（）.querySomeStudents（“‘ or ’1‘ = ’1”）;

for （Student student ： studentList）

System.out.println（student）;

}

看下運行結果：

studentId = 1， studentName = Betty， studentAge = 20， studentPhone = 00000000

studentId = 2， studentName = Jerry， studentAge = 18， studentPhone = 11111111

studentId = 3， studentName = Betty， studentAge = 21， studentPhone = 22222222

studentId = 4， studentName = Steve， studentAge = 27， studentPhone = 33333333

studentId = 5， studentName = James， studentAge = 22， studentPhone = 44444444

為什么？看下拼接之后的sql語句就知道了：

select * from student where studentName = ‘’ or ‘1’ = ‘1’‘1’=‘1’永遠成立，所以前面的查詢條件是什么都沒用。這種問題是有應用場景的，不是隨便寫一下。Java越來越多的用在Web上，既然是Web，那么查詢的時候有一種情況就是用戶輸入一個條件，后臺獲取到查詢條件，拼接sql語句查數據庫，有經驗的用戶完全可以輸入一個“‘‘’ or ‘1’ = ‘1”，這樣就拿到了庫里面的所有數據了。

詳解JDBC使用

JDBC事物

談數據庫必然離不開事物，事物簡單說就是“要么一起成功，要么一起失敗”。那簡單往前面的StudentManager里面寫一個插入學生信息的方法：

public void addStudent（String studentName， int studentAge， String studentPhone） throws Exception

{

Connection connection = DBConnection.mysqlConnection;

PreparedStatement ps = connection.prepareStatement（“insert into student values（null，？，？，？）”）;

ps.setString（1， studentName）;

ps.setInt（2， studentAge）;

ps.setString（3， studentPhone）;

if （ps.executeUpdate（） > 0）

System.out.println（“添加學生信息成功”）;

else

System.out.println（“添加學生信息失敗”）;

}

public static void main（String［］ args） throws Exception

{

StudentManager.getInstance（）.addStudent（“Betty”， 17， “55555555”）;

}

運行就不運行了，反正最后結果是“添加學生信息成功”，數據庫里面多了一條數據。注意一下：

1、增刪改用的是executeUpdate（）方法，因為增刪改認為都是對數據庫的更新

2、查詢用的是executeQuery（）方法，看名字就知道了“Query”，查詢嘛

可能有人注意到一個問題，就是Java代碼在insert后并沒有對事物進行commit，數據就添加進數據庫了，也能查出來，這是為什么呢？因為JDK的Connection設置了事物的自動提交。如果在addStudent（。..）方法里面這么寫：

Connection connection = DBConnection.mysqlConnection;

connection.setAutoCommit（false）;

autoCommit這個屬性原來是true，JDK自然會幫助開發者自動提交事物了。OK，如果要改成手動提交事物的代碼，那么應該這么寫addStudent（。..）方法：

public void addStudent（String studentName， int studentAge， String studentPhone） throws Exception

{

Connection connection = DBConnection.mysqlConnection;

connection.setAutoCommit（false）;

PreparedStatement ps = connection.prepareStatement（“insert into student values（null，？，？，？）”）;

ps.setString（1， studentName）;

ps.setInt（2， studentAge）;

ps.setString（3， studentPhone）;

try

{

ps.executeUpdate（）;

connection.commit（）;

}

catch （Exception e）

{

e.printStackTrace（）;

connection.rollback（）;

}

要記得拋異常的時候利用rollback（）方法回滾掉事物。

以上就是本文的全部內容，希望本文的內容對大家的學習或者工作能帶來一定的幫助。

閱讀全文

上一頁 12全文

本文導航

第 1 頁：詳解JDBC使用
第 2 頁： 為什么要使用占位符“？”

JDBC(13247) JDBC(13247)

kafka相關命令詳解

kafka常用命令詳解

2023-10-20 11:34:05

詳解pcb光學點是什么

2023-10-12 10:36:14

104

UCOS詳解

UCOS詳解！對初者來說還是不錯的！

2009-08-24 16:27:58

BGA和CSP封裝技術詳解

2023-09-20 09:20:14

293

STM32庫函數SystemInit()詳解

2023-09-18 15:45:50

354

無功補償原理基礎知識詳解

2023-08-11 09:48:25

264

WAT技術詳解

2023-07-17 11:40:44

332

物理設計中的問題詳解

2023-07-05 16:56:53

245

Linux LED子系統詳解

2023-06-10 10:37:14

731

[源代碼]Python算法詳解

[源代碼]Python算法詳解[源代碼]Python算法詳解

2023-06-06 17:50:17

51單片機指令詳解

學習51匯編指令詳解

2023-05-27 20:45:52

4898

MyBatis、JDBC等做大數據量數據插入的案例和結果

30萬條數據插入插入數據庫驗證實體類、mapper和配置文件定義不分批次直接梭哈循環逐條插入 MyBatis實現插入30萬條數據 JDBC實現插入30萬條數據總結 ? 本文主要講述通過

2023-05-22 11:23:13

455

全面解讀MOSFET結構及設計詳解

MOSFET結構、特性參數及設計詳解

2023-01-26 16:47:00

405

JDBC的基本概念

JDBC一般指Java數據庫連接（Java Database Connectivity） api 應用程序接口（API）：可以調用或者使用類/接口/方法等去完成某個目標。 API制定的類/方法

2023-01-13 11:18:57

185

JDBC-04-API詳解-Statement

數據庫JDBC

電子學習發布于 2023-01-08 17:22:57

JDBC-03-API詳解-Connection

數據庫JDBC

電子學習發布于 2023-01-08 17:20:44

JDBC-02-API詳解-DriverManager

數據庫JDBC

電子學習發布于 2023-01-08 17:19:32

JDBC-10-JDBC練習-環境準備

數據庫JDBC

電子學習發布于 2023-01-08 17:18:53

JDBC-07-PreparedStatement

數據庫JDBC

電子學習發布于 2023-01-08 17:16:36

JDBC-11-JDBC練習-查詢所有

數據庫JDBC

電子學習發布于 2023-01-08 17:15:03

JDBC-08-PreparedStatement-原理

數據庫JDBC

電子學習發布于 2023-01-08 17:06:02

PCB技術詳解手冊.zip

PCB技術詳解手冊

2022-12-30 09:20:32

PCB工藝流程詳解.zip

PCB工藝流程詳解

2022-12-30 09:20:24

Linux環境下的Java（JDBC）鏈接openGauss數據庫實踐

根據操作系統下載匹配的數據庫版本和JDBC驅動包。

2022-12-20 09:59:12

724

SpringBoot + Sharding JDBC，一文搞定分庫分表、讀寫分離

Sharding-JDBC最早是當當網內部使用的一款分庫分表框架，到2017年的時候才開始對外開源，這幾年在大量社區貢獻者的不斷迭代下，功能也逐漸完善，現已更名為ShardingSphere

2022-12-19 14:34:43

479

LC振蕩電路原理詳解

2022-12-15 15:17:25

1766

積分與微分電路原理詳解

2022-11-09 11:08:11

1234

Linux設備驅動開發詳解

2022-10-28 11:03:06

CMake用法詳解

2022-10-25 16:28:04

DDR設計和仿真技術詳解

DDR2設計和仿真技術詳解。

2022-10-24 15:10:18

Arduino語法詳解含示例詳解

Arduino語法詳解_含示例詳解

2022-07-19 14:09:05

Spring Data JDBC - 如何使用自定義ID

原標題：Spring認證|Spring Data JDBC-如何使用自定義ID生成這是關于如何解決使用 Spring Data JDBC 時可能遇到的各種挑戰的系列文章的第一篇。如果你不了解

2022-06-28 16:18:00

558

SVG104R0NS/T n型mos管100v耐壓規格書參數詳解

供應SVG104R0NS/T n型mos管100v耐壓，提供SVG104R0NS/T 規格書參數詳解，更多產品手冊、應用料資請向士蘭微mos代理驪微電子申請。>>

2022-06-07 14:20:37

《LED燈具設計與案例詳解》pdf

2022-02-08 09:42:37

USB Type C規范詳解

2021-12-09 16:38:52

STM32系統時鐘RCC詳解

【STM32】系統時鐘RCC詳解(超詳細，超全面) 原創 ...

2021-11-30 12:21:07

嵌入式詳解

嵌入式詳解(stm32嵌入式開發實例)-嵌入式詳解,有需要的可以參考！

2021-07-30 16:07:18

Sharding-JDBC 基本使用方法

前言這是一篇將介紹 Sharding-JDBC 基本使用方法作為目標的文章，但筆者卻把大部分文字放在對 Sharding-JDBC 的工作原理的描述上，因為筆者認為原理是每個 IT 打工人學習技術

2020-11-19 15:54:41

3861

Prelink的交叉編譯和使用詳解

2020-06-20 12:03:47

2744

jdbc注冊驅動的三種方式

本文主要介紹了關于jdbc注冊驅動的三種方式。jdbc中注冊驅動，首先導入對應的包，例如mysql-connector-java-5.0.8-bin.jar。驅動包是java和具體數據庫之間的連接

2018-02-06 11:04:28

5460

使用jdbc連接上oracle的兩種方法

本文主要介紹了使用jdbc連接上oracle的兩種方法：1、使用thin連接，2、使用oci連接（Oracle Call Interface）

2018-02-06 10:43:04

1456

用JDBC連接MySQL數據庫并進行簡單的增刪改查操作

本文主要詳細講解了用JDBC連接MySQL數據庫并進行簡單的增刪改查操作。Java 數據庫連接是Java語言中用來規范客戶端程序如何來訪問數據庫的應用程序接口，提供了諸如查詢和更新數據庫中數據的方法。

2018-02-06 09:21:08

6047

JDBC中的四個最基本對象功能及其用法

本文詳細概括了JDBC中的四個最基本對象功能及其用法。JDBC即Java數據庫連接，是一種用于執行SQL語句的Java API，可以為多種關系數據庫提供同一訪問，它由一組用Java語言編寫的類和接口

2018-02-06 09:03:09

2120

jdbc連接數據庫的五個步驟

jdbc連接數據庫的五個步驟：1、創建數據庫的連接2、創建一個Statement3、執行SQL語句4、處理結果5、關閉JDBC對象。詳細說明請看下文

2018-02-05 19:08:53

29384

JDBC的操作步驟和實例

創建一個以JDBC連接數據庫的程序，包含7個步驟,詳細介紹請看下文。

2018-02-05 18:51:38

6327

自定義JDBC框架

JDBC是一種用于執行SQL語句的Java API，可以為多種關系數據庫提供統一訪問，它由一組用Java語言編寫的類和接口組成。JDBC提供了一種基準，據此可以構建更高級的工具和接口，使數據庫開發人員能夠編寫數據庫應用程序，同時，JDBC也是個商標名。

2018-02-02 17:55:26

1099

jdbc與mybatis的區別

MyBatis 是一款優秀的持久層框架，它支持定制化 SQL、存儲過程以及高級映射。MyBatis 避免了幾乎所有的 JDBC 代碼和手動設置參數以及獲取結果集。JDBC是一種用于執行SQL語句的Java API，可以為多種關系數據庫提供統一訪問.

2018-02-02 17:43:16

10967

Hex的格式詳解

2017-10-31 14:46:00

SDRAM內存詳解資料

2017-10-30 15:45:17

基于STM32 USB詳解

2017-10-15 10:54:29

ethercat通訊模塊詳解

2017-09-09 08:11:42

POE-供電原理詳解

2017-04-19 16:19:50

Raspberry_Pi詳解

2017-01-31 20:45:09

PID算法詳解

2016-12-17 20:48:18

Buck-Boost詳解

Buck-Boost詳解，Buck-Boost詳解

2016-07-25 18:21:18

128

3154

1532

189

已全部加載完成

搜索歷史

為什么要使用占位符“？” - 詳解JDBC使用