String str=cb.getString("select id from admin where username='"+username+"' and password='"+password+"' and sf='"+sf+"'")用到什么技术
时间: 2024-05-28 17:11:09 浏览: 15
这段代码使用的是Java语言中的JDBC技术,通过执行SQL语句实现从数据库中查询符合条件的数据。其中,cb是一个Connection对象,getString()方法用于执行查询并返回查询结果。这段代码中使用了字符串拼接的方式将变量的值嵌入到SQL语句中,这种方式容易受到SQL注入攻击,建议使用PreparedStatement对象来避免这种安全问题。
相关问题
逐句解析private void search(){ PreparedStatement state; ResultSet resultSet; if(type==1){ try { state=connection.prepareStatement("select * from absent where Sname"+"="+"'"+user.getName()+"'"); //这里不好 因为名字可以一样 以后要改 resultSet = state.executeQuery(); while (resultSet.next()){ String Sno=resultSet.getString(1); String Sname=resultSet.getString(2); String Dno=resultSet.getString(3); String Atime=resultSet.getString(4); String Areason=resultSet.getString(5); String[] data={Sno,Sname,Dno,Atime,Areason}; a.addRow(data); } } catch (SQLException e) { e.printStackTrace(); } } if(type==2||type==3){ try { record(); state=connection.prepareStatement("select*from absent"); resultSet = state.executeQuery(); while (resultSet.next()){ String Sno=resultSet.getString(1); String Sname=resultSet.getString(2); String Dno=resultSet.getString(3); String Atime=resultSet.getString(4); String Areason=resultSet.getString(5); String[] data={Sno,Sname,Dno,Atime,Areason}; a.addRow(data); } }catch (Exception e){ e.printStackTrace(); } } }
这段代码定义了一个私有的方法 `search()`,该方法没有参数。
在方法中,首先声明了三个变量 `state`、`resultSet` 和 `data`,类型分别为 `PreparedStatement`、`ResultSet` 和 `String[]`。
然后,通过判断变量 `type` 的值,来确定执行哪一段代码。如果 `type` 的值为 1,那么执行以下代码块:
```java
state = connection.prepareStatement("select * from absent where Sname"+"="+"'"+user.getName()+"'");
resultSet = state.executeQuery();
while (resultSet.next()){
String Sno=resultSet.getString(1);
String Sname=resultSet.getString(2);
String Dno=resultSet.getString(3);
String Atime=resultSet.getString(4);
String Areason=resultSet.getString(5);
String[] data={Sno,Sname,Dno,Atime,Areason};
a.addRow(data);
}
```
这段代码的作用是从数据库中查询名字为 `user.getName()` 的记录,并将查询结果添加到 `data` 中。
如果 `type` 的值为 2 或 3,那么先调用 `record()` 方法,然后执行以下代码块:
```java
state = connection.prepareStatement("select*from absent");
resultSet = state.executeQuery();
while (resultSet.next()){
String Sno=resultSet.getString(1);
String Sname=resultSet.getString(2);
String Dno=resultSet.getString(3);
String Atime=resultSet.getString(4);
String Areason=resultSet.getString(5);
String[] data={Sno,Sname,Dno,Atime,Areason};
a.addRow(data);
}
```
这段代码的作用是从数据库中查询所有记录,并将查询结果添加到 `data` 中。
最后,如果出现异常,则打印异常信息。
String sno = request.getParameter("sno"); String cno = request.getParameter("cno"); String sql = "select * from sc where sno = '"+sno+"' and cno='"+ cno +"'"; ResultSet rs = stmt.executeQuery(sql); rs.next(); String grade= rs.getString("grade"); 帮我找出问题
在这段代码中,SQL查询语句的参数值(sno和cno)是从客户端请求中获取的,这可能会导致SQL注入攻击。建议使用参数化查询语句来避免这种情况。此外,如果查询结果集为空,调用`rs.next()`方法可能会抛出异常。应该在调用`rs.next()`方法之前,通过调用`rs.isBeforeFirst()`方法检查结果集是否为空。以下是建议的修改代码:
```java
String sno = request.getParameter("sno");
String cno = request.getParameter("cno");
String sql = "select * from sc where sno = ? and cno = ?";
PreparedStatement ps = conn.prepareStatement(sql);
ps.setString(1, sno);
ps.setString(2, cno);
ResultSet rs = ps.executeQuery();
if (rs.isBeforeFirst()) {
rs.next();
String grade = rs.getString("grade");
// do something with grade
} else {
// handle empty result set
}
```