开发者

关于PreparedStatement的setObject作用及说明

开发 作者: 花伤情犹在
目录
  • PreparedStatement的sjsetObject作用
    • PreparedStatement
    • setObject
    • 重点来了PNmumCc
  • JDBC关于PreparedStatement.setObject的一些细节
    • 总结

      PreparedStatement的setObject作用

      在了解setObject作用前讲解一下PreparedStatement这个接口,然后循序渐进从setXxx()方法讲解到setObject。

      PreparedStatement

      Java.sql包中的PreparedStatement接口继承了Statement接口,PreparedStatement对象可以防止sql注入,而Statement不能防止sql注入,所以实际开发的时候千万不要使用Statement。

      SQL注入:

      比如我的SQL语句为:

      select * from user where username =' zhangsan' username ' and password ='password ' ;

      其中传入的参数为:username(用户名) 和 password(密码)。

      恶意注入之前的含意是查询user表的所有字段,匹配条件是username和password跟数据表的某条数据完全匹配使得条件成立,换言之就是用户名和密码必须都为正确的才可以查询到数据。

      恶意注入方式一:输入 username: 随意 password: ’ or ‘1’='1

      select * from user where username ='xxxxx' and password ='xxx' or '1'='1';

      and 优先级 执行 高于 or

      恶意注入方式二、在SQL添加 – 是mysql的注释 用户名框:输入 zhangsan’ 空格–空格 password 随意输入即可

      select * from user where username ='zhangsan' -- ' 开发者_自学开发and password ='' ;

      注意:以上的 zhangsan’ 空格–空格 中的zhangsan是数据库存在的

      setObject

      setObject就是给JDBC的SQL语句的占位符赋值的,即是下面的“?”

      预编译的SQL:参数使用?作为占位符

      注意:sql的参数使用?作为占位符。 如:

      select * from user where username = ? and password = ?;

      获取执行sql语句的对象 PreparedStatement Connection.prepareStatement(String sql)

      给?赋值:(Xxx代表参数类型)

      • 方法: setXxx(参数1,参数2)
      • php数1:?的位置编号 从1 开始
      • 参数2:?的值

      例如:

      setString(1,"one")就是定义参数类型为String类型,然后给第一个?位置上赋值为one。

      select * from user where username = 'one' and password = ?;

      setInt(2,2)就是定义参数类型为Int类型,然后给第二个?的位置上赋值为2。

      selpythonect * from user where username = 'one' and password = 2;

      注意:setString定义为String类型就只能传String类型,也就是说定义什么类型就要传入什么python类型。

      重点来了

      PreparedStatement的setObject的作用和setString的作用是一样的!

      setObject的第一个参数是?的位置编号,第二个参数是Object类型,因为所有的类型默认继承object,这个时候参数就没有类型限制,你可以传入String类型或者Int类型…不需要手动设置传参类型。

      例如:

      setObject(1,"one")就是给第一个?位置上赋值为String类型的"one"。

      select * from user where username = 'one' and password = ?;

      setObject(2,2)就是给第二个?的位置上赋值为Int类型的2。

      select * from user where username = 'one' and password = 2;

      JDBC关于PreparedStatement.setObject的一些细节

      JDBC中PreparedStatement.setObject(index,Object)方法,

      1、index从1开始

      2、在插入时间格式的字段时,此处的Object格式必须是java.sql.Date的对象

      3、oracle表中date格式可以表示年月日时分秒

      4、从表中取出对象封装到JavaBean对象中,字段类型可以直接为java.util.Date 

      总结

      以上为个人经验,希望能给大家一个参考,也希望大家多多支持我们。

      继续阅读:PreparedStatementsetObject作用setObject说明

      更多精彩内容

      0

      上一篇:

      下一篇:

      精彩评论

      暂无评论...
      登录 注册
      Qedev.com
      验证码 换一张
      取 消

      最新开发

      开发排行榜

      法律声明:本站内容均为网友上传,网站举办方负责审核和监督,

      如存在版权或非法内容,欢迎举报,我们将尽快予以删除。

      Copyright © 2018-2020 开发者. All rights reserved.

      Powered by 开发者

      ICP备案号: 京ICP备10032868号-9