温馨提示×

温馨提示×

您好,登录后才能下订单哦!

密码登录×
登录注册×
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》

PreparedStatement的setObject作用是什么

发布时间:2023-05-10 14:29:57 来源:亿速云 阅读:294 作者:zzz 栏目:开发技术

这篇文章主要介绍了PreparedStatement的setObject作用是什么的相关知识,内容详细易懂,操作简单快捷,具有一定借鉴价值,相信大家阅读完这篇PreparedStatement的setObject作用是什么文章都会有所收获,下面我们一起来看看吧。

    PreparedStatement的setObject作用

    在了解setObject作用前讲解一下PreparedStatement这个接口,然后循序渐进从setXxx()方法讲解到setObject。

    PreparedStatement

    java.sql包中的PreparedStatement接口继承了Statement接口,PreparedStatement对象可以防止sql注入,而Statement不能防止sql注入,所以实际开发的时候千万不要使用Statement。

    SQL注入:

    比如我的SQL语句为:

    select * from user where username =' zhangsan' username ' and password ='password ' ;

    其中传入的参数为:username(用户名) 和 password(密码)。

    恶意注入之前的含意是查询user表的所有字段,匹配条件是username和password跟数据表的某条数据完全匹配使得条件成立,换言之就是用户名和密码必须都为正确的才可以查询到数据。

    恶意注入方式一:输入 username: 随意 password: ’ or ‘1’='1

    select * from user where username ='xxxxx' and password ='xxx' or '1'='1';

    and 优先级 执行 高于 or

    恶意注入方式二、在SQL添加 – 是mysql的注释 用户名框:输入 zhangsan’ 空格–空格 password 随意输入即可

    select * from user where username ='zhangsan' -- ' and password ='' ;

    注意:以上的 zhangsan’ 空格–空格 中的zhangsan是数据库存在的

    setObject

    setObject就是给JDBC的SQL语句的占位符赋值的,即是下面的“?”

    预编译的SQL:参数使用?作为占位符

    注意:sql的参数使用?作为占位符。 如:

    select * from user where username = ? and password = ?;

    获取执行sql语句的对象 PreparedStatement Connection.prepareStatement(String sql)

    给?赋值:(Xxx代表参数类型)

    • 方法: setXxx(参数1,参数2)

    • 参数1:?的位置编号 从1 开始

    • 参数2:?的值

    例如:

    setString(1,"one")就是定义参数类型为String类型,然后给第一个?位置上赋值为one。

    select * from user where username = 'one' and password = ?;

    setInt(2,2)就是定义参数类型为Int类型,然后给第二个?的位置上赋值为2。

    select * from user where username = 'one' and password = 2;

    注意:setString定义为String类型就只能传String类型,也就是说定义什么类型就要传入什么类型。

    重点来了

    PreparedStatement的setObject的作用和setString的作用是一样的!

    setObject的第一个参数是?的位置编号,第二个参数是Object类型,因为所有的类型默认继承object,这个时候参数就没有类型限制,你可以传入String类型或者Int类型…不需要手动设置传参类型。

    例如:

    setObject(1,"one")就是给第一个?位置上赋值为String类型的"one"。

    select * from user where username = 'one' and password = ?;

    setObject(2,2)就是给第二个?的位置上赋值为Int类型的2。

    select * from user where username = 'one' and password = 2;

    JDBC关于PreparedStatement.setObject的一些细节

    JDBC中PreparedStatement.setObject(index,Object)方法,

    1、index从1开始

    2、在插入时间格式的字段时,此处的Object格式必须是java.sql.Date的对象

    3、Oracle表中date格式可以表示年月日时分秒

    4、从表中取出对象封装到JavaBean对象中,字段类型可以直接为java.util.Date 

    关于“PreparedStatement的setObject作用是什么”这篇文章的内容就介绍到这里,感谢各位的阅读!相信大家对“PreparedStatement的setObject作用是什么”知识都有一定的了解,大家如果还想学习更多知识,欢迎关注亿速云行业资讯频道。

    向AI问一下细节

    免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

    AI