JDBC程序,注入问题,事务

最新推荐文章于 2022-03-28 15:31:29 发布
最新推荐文章于 2022-03-28 15:31:29 发布
阅读量528 收藏
点赞数
分类专栏: 笔记 文章标签: mysql 数据库 database
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Hold__/article/details/121518226
版权

数据表

CREATE DATABASE jdbcStudy CHARACTER SET utf8 COLLATE utf8_general_ci;

USE jdbcStudy;

CREATE TABLE users(
	id INT PRIMARY KEY,
	NAME VARCHAR(40),
	PASSWORD VARCHAR(40),
	email VARCHAR(60),
	birthday DATE
);

INSERT INTO users(id,NAME,PASSWORD,email,birthday)
VALUES(1,'zhansan','123456','zs@sina.com','1980-12-04'),
(2,'lisi','123456','lisi@sina.com','1981-12-04'),
(3,'angwu','123456','wangwu@sina.com','1979-12-04')

Java代码

package com.fzy.lesson01;

import java.sql.*;

//我的第一个JDBC程序
public class JdbcFirstDemo {
    public static void main(String[] args) throws ClassNotFoundException, SQLException {
        //1.加载驱动
        Class.forName("com.mysql.jdbc.Driver"); //固定写法

        //2.用户信息和url
        //useUnicode=true是支持中文编码
        //characterEncoding=utf8是设置中文字符集为utf8
        //useSSL=true是使用安全连接
        String url = "jdbc:mysql://localhost:3306/jdbcstudy?useUnicode=true&characterEncoding=utf8&useSSL=true";
        String username = "root";
        String password = "123456";

        //3.连接成功,数据库对象 Connection 代表数据库
        Connection connection = DriverManager.getConnection(url, username, password);

        //4.执行SQL的对象 Statement 执行sql的对象
        Statement statement = connection.createStatement();
        //5.执行SQL的对象去执行SQL,可能存在结果,查看返回结果
        String sql = "select * from users";

        ResultSet resultSet = statement.executeQuery(sql); //返回的结果集
        while (resultSet.next()){
            System.out.println("id=" + resultSet.getObject("id"));
            System.out.println("name=" + resultSet.getObject("NAME"));
            System.out.println("pwd=" + resultSet.getObject("PASSWORD"));
            System.out.println("email=" + resultSet.getObject("email"));
            System.out.println("birth=" + resultSet.getObject("birthday"));
            System.out.println("-----------------------------");
        }

        //6.释放连接
        resultSet.close();
        statement.close();
        connection.close();
    }
}

对象解释

//connection 代表数据库
connection.setAutoCommit(true); //设置自动提交
connection.rollback(); //事务回滚
connection.commit(); //事务提交

//statement执行SQL的对象
String sql = "增删改查SQL语句";
statement.executeQuery(sql); //执行查询操作返回结果集
statement.execute(sql); //执行任何SQL
statement.executeUpdate(sql); //执行增删改操作,返回受影响的行数

每次增删改查都要写一样的代码会很冗余,所以我们要编写一个工具类

在src目录下增加一个db.properties文件,内容如下:

driver = com.mysql.jdbc.Driver
url  =jdbc:mysql://localhost:3306/jdbcstudy?useUnicode=true&characterEncoding=utf8&useSSL=true
username = root
password = 123456

编写工具类

package com.fzy.lesson02.utils;

import java.io.IOException;
import java.io.InputStream;
import java.sql.*;
import java.util.Properties;

public class JdbcUtils {
    private static  String driver = null;
    private static  String url = null;
    private static  String username = null;
    private static  String password = null;

    static {
        try{
            InputStream in = JdbcUtils.class.getClassLoader().getResourceAsStream("db.properties");
            Properties properties = new Properties();
            properties.load(in);
            driver = properties.getProperty("driver");
            url = properties.getProperty("url");
            username = properties.getProperty("username");
            password = properties.getProperty("password");
            //驱动只用加载一次,放在static中
            Class.forName(driver);
        } catch (IOException | ClassNotFoundException e) {
            e.printStackTrace();
        }
    }

    //获取连接
    public static Connection getConnection() throws SQLException {
        return DriverManager.getConnection(url,username,password);
    }

    //释放连接资源
    public static void release(Connection conn, Statement st, ResultSet rs) {
        if (rs != null){
            try {
                rs.close();
            } catch (SQLException e) {
                e.printStackTrace();
            }
        }
        if (st != null){
            try {
                st.close();
            } catch (SQLException e) {
                e.printStackTrace();
            }
        }
        if (conn != null){
            try {
                conn.close();
            } catch (SQLException e) {
                e.printStackTrace();
            }
        }
    }

}

添加

package com.fzy.lesson02.utils;

import java.sql.Connection;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;

public class TestInsert {
    public static void main(String[] args) {
        Connection conn = null;
        Statement st = null;
       
        try{
            conn = JdbcUtils.getConnection(); //获取数据库连接
            st = conn.createStatement(); //获得SQL的执行对象
            String sql = "insert into users(id,NAME,PASSWORD,email,birthday) " +
                    "values(4,'wangtiewan','123456','2272983012@qq.com','2017-01-01')";
            int num = st.executeUpdate(sql);
            if (num > 0){
                System.out.println("插入成功");
            }
        } catch (SQLException e) {
            e.printStackTrace();
        }finally {
            JdbcUtils.release(conn,st,null);
        }
    }
}

更新

package com.fzy.lesson02.utils;

import java.sql.Connection;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;

public class TestUpdate {
    public static void main(String[] args) {
        Connection conn = null;
        Statement st = null;
        
        try {
            conn = JdbcUtils.getConnection();
            st = conn.createStatement();
            String sql = "update users set NAME = 'liuyifei',PASSWORD = '654321' where id = 4";
            int num = st.executeUpdate(sql);
            if (num > 0){
                System.out.println("更新成功");
            }
        } catch (SQLException e) {
            e.printStackTrace();
        }finally {
            JdbcUtils.release(conn,st,null);
        }
    }
}

删除

package com.fzy.lesson02.utils;

import java.sql.Connection;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;

public class TestDelete {
    public static void main(String[] args) {
        Connection conn = null;
        Statement st = null;
        
        try {
            conn = JdbcUtils.getConnection();
            st = conn.createStatement();
            String sql = "delete from users where id = 4";
            int num = st.executeUpdate(sql);
            if (num > 0){
                System.out.println("删除成功");
            }
        } catch (SQLException e) {
            e.printStackTrace();
        }finally {
            JdbcUtils.release(conn,st,null);
        }
    }
}

查询

package com.fzy.lesson02.utils;

import java.sql.Connection;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;

public class TestSelect {
    public static void main(String[] args) {
        Connection conn = null;
        Statement st = null;
        ResultSet rs = null;
        try {
            conn = JdbcUtils.getConnection();
            st = conn.createStatement();
            String sql = "select * from users where id = 1";
            rs = st.executeQuery(sql);
            if (rs.next()){
                System.out.println("id="+rs.getInt("id"));
                System.out.println("name="+rs.getString("NAME"));
            }
        } catch (SQLException e) {
            e.printStackTrace();
        }finally {
            JdbcUtils.release(conn,st,rs);
        }
    }
}

sql 注入的问题

SQL存在漏洞,会被攻击导致数据泄露,or会被拼接

这里输入的用户名和密码并不对,但却登录成功

package com.fzy.lesson02.utils;

import java.sql.Connection;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;

public class Login {
    public static void main(String[] args) {
       login("' or '1==1","' or '1==1");
    }
    public static void login(String name,String password){
        Connection conn = null;
        Statement st = null;
        ResultSet rs = null;
        try {
            conn = JdbcUtils.getConnection();
            st = conn.createStatement();
            String sql = "select * from users where NAME = '" +name+ "' and PASSWORD = '" +password+ "'";
            rs = st.executeQuery(sql);
            while (rs.next()){
                System.out.println("id="+rs.getInt("id"));
                System.out.println("name="+rs.getString("NAME"));
                System.out.println("password="+rs.getString("PASSWORD"));
                System.out.println("birth="+rs.getString("birthday"));
                System.out.println("========================");

            }
        } catch (SQLException e) {
            e.printStackTrace();
        }finally {
            JdbcUtils.release(conn,st,rs);
        }
    }
}

用PreparedStatement可以防止SQL注入问题,效率更高

把传递进来的参数当做字符

假设其中存在转义字符,比如说 ’ 会被直接转义

查询

package com.fzy.lesson03;

import com.fzy.lesson02.utils.JdbcUtils;

import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;

public class TestSelect {
    public static void main(String[] args) {
        Connection conn = null;
        PreparedStatement st = null;
        ResultSet rs = null;
        try{
            conn = JdbcUtils.getConnection();
            //区别
            //使用?占位符代替参数
            String sql = "select * from users where id = ?";

            st = conn.prepareStatement(sql); //预编译SQL,先写sql,然后不执行

            //手动给参数赋值
            st.setInt(1,1);

            //执行SQL
            rs = st.executeQuery();
            if (rs.next()){
                System.out.println("name=" + rs.getString("NAME"));
                System.out.println("password=" + rs.getString("PASSWORD"));
            }
        } catch (SQLException e) {
            e.printStackTrace();
        }finally {
            JdbcUtils.release(conn,st,rs);
        }
    }
}

添加

package com.fzy.lesson03;

import com.fzy.lesson02.utils.JdbcUtils;

import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.SQLException;
import java.util.Date;

public class TestInsert {
    public static void main(String[] args) {
        Connection conn = null;
        PreparedStatement st = null;
        try{
            conn = JdbcUtils.getConnection();
            //区别
            //使用?占位符代替参数
            String sql = "insert into users(id,NAME,PASSWORD,email,birthday) values(?,?,?,?,?)";

            st = conn.prepareStatement(sql); //预编译SQL,先写sql,然后不执行

            //手动给参数赋值
            st.setInt(1,5);
            st.setString(2,"ranqi");
            st.setString(3,"zxcvbn");
            st.setString(4,"jfgnjfn@jdf.com");
            //注意点:sql.Data  数据库的   java.sql.Date() 转换成数据库的时间类型
            //       util.Data  Java的   new Date().getTime() 获得时间戳
            st.setDate(5,new java.sql.Date(new Date().getTime()));
            //执行SQL
            int num = st.executeUpdate();
            if (num>0){
                System.out.println("添加成功");
            }
        } catch (SQLException e) {
            e.printStackTrace();
        }finally {
            JdbcUtils.release(conn,st,null);
        }
    }
}

更新

package com.fzy.lesson03;

import com.fzy.lesson02.utils.JdbcUtils;

import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.SQLException;
import java.util.Date;

public class TestUpdate {
    public static void main(String[] args) {
        Connection conn = null;
        PreparedStatement st = null;
        try{
            conn = JdbcUtils.getConnection();
            //区别
            //使用?占位符代替参数
            String sql = "update users set NAME = ?,PASSWORD = ? where id = ?";

            st = conn.prepareStatement(sql); //预编译SQL,先写sql,然后不执行

            //手动给参数赋值

            st.setString(1,"tom");
            st.setString(2,"123dfg");
            st.setInt(3,5);


            //执行SQL
            int num = st.executeUpdate();
            if (num>0){
                System.out.println("更新成功");
            }
        } catch (SQLException e) {
            e.printStackTrace();
        }finally {
            JdbcUtils.release(conn,st,null);
        }
    }
}

删除

package com.fzy.lesson03;

import com.fzy.lesson02.utils.JdbcUtils;

import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.SQLException;

public class TestDelete {
    public static void main(String[] args) {
        Connection conn = null;
        PreparedStatement st = null;
        try{
            conn = JdbcUtils.getConnection();
            //区别
            //使用?占位符代替参数
            String sql = "delete from users where id = ?";

            st = conn.prepareStatement(sql); //预编译SQL,先写sql,然后不执行

            //手动给参数赋值
            st.setInt(1,5);

            //执行SQL
            int num = st.executeUpdate();
            if (num>0){
                System.out.println("删除成功");
            }
        } catch (SQLException e) {
            e.printStackTrace();
        }finally {
            JdbcUtils.release(conn,st,null);
        }
    }
}

新的模拟登录

不会发生SQL注入问题 ,因为传入的参数会忽略掉 ’ 字符

package com.fzy.lesson03;

import com.fzy.lesson02.utils.JdbcUtils;

import java.sql.*;

public class Login {
    public static void main(String[] args) {
        login("'1' or 1==1","'1' or 1==1");
    }
    public static void login(String name,String password){
        Connection conn = null;
        PreparedStatement st = null;
        ResultSet rs = null;
        try {
            conn = JdbcUtils.getConnection();

            String sql = "select * from users where NAME = ? and PASSWORD = ?";
            st = conn.prepareStatement(sql);
            st.setString(1,name);
            st.setString(2,password);

            rs = st.executeQuery();

            if (rs.next()){
                System.out.println("id="+rs.getInt("id"));
                System.out.println("name="+rs.getString("NAME"));
                System.out.println("password="+rs.getString("PASSWORD"));
                System.out.println("birth="+rs.getString("birthday"));
                System.out.println("========================");
            }
        } catch (SQLException e) {
            e.printStackTrace();
        }finally {
            JdbcUtils.release(conn,st,rs);
        }
    }
}

java演示事务

数据表

CREATE TABLE account(
  id Int PRIMARY KEY AUTO_INCREMENT,
  NAME VARCHAR(40),
  money FLOAT
);

insert into account(name,money) values('A',1000);
insert into account(name,money) values('B',1000);
insert into account(name,money) values('C',1000);

java代码

package com.fzy.lesson04;

import com.fzy.lesson02.utils.JdbcUtils;

import java.sql.*;

public class TestTransaction1 {
    public static void main(String[] args) {
        Connection conn = null;
        PreparedStatement st = null;

        try {
            conn = JdbcUtils.getConnection();
            //关闭数据库的自动提交,自动会开启事务
            conn.setAutoCommit(false);

            String sql1 = "update account set money = money - 100 where NAME = 'A'";
            st = conn.prepareStatement(sql1);
            st.executeUpdate();

            String sql2 = "update account set money = money + 100 where NAME = 'B'";
            st = conn.prepareStatement(sql2);
            st.executeUpdate();

            conn.commit();
            System.out.println("更新成功");
        } catch (SQLException e) {
            //如果失败,则默认回滚,所以不写这句代码也会回滚的
//            try {
//                conn.rollback();
//            } catch (SQLException ex) {
//                ex.printStackTrace();
//            }
            e.printStackTrace();
        }finally {
            JdbcUtils.release(conn,st,null);
        }
    }

}
FZY_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
第一个JDBC程序
weixin_45723046的博客
03-05 778
JDBC 1:数据库驱动 例如:声卡,显卡,驱动等; 2:JDBC SUN公司为了简化开发人员的(对数据库的统一)操作,提供了一个(Java操作数据库的)规范,俗称JDBC这些规范的实现由具体的厂商去做。 对于开发人员来说,我们只需要掌握JDBC接口的操作即可! 3:第一个JDBC程序 创建数据库 CREATE DATABASE jdbcStudy CHARACTER SET utf8 COLLATE utf8_general_ci; USE jdbcStudy; CREATE TABLE `users`
JDBC基本使用(第一个jdbc程序
dawfwafaew的博客
12-09 818
在web开发中,不可避免的地要使用数据库来存储和管理数据。为了在java语言中提供数据库访问的支持,Sun公司于1996年提供了一套访问数据的标准Java类库,即JDBC。应用程序使用JDBC访问数据库的方式如下图所示。每一门语言基本都有自己连接数据库的一套技术,列如java的就是JDBC、C#有ADO.NET等等。我们不用去纠结这些API怎么来的,我们只用知道怎么用就行了。
实现第一个JDBC程序(详细)
m0_52226803的博客
08-08 2808
mysql-connector-java-5.1.18-bin.jar——>在我的资源里可直接下载 概述:Java数据库连接,(Java Database Connectivity,简称 JDBC )是Java语言中用来规范客户端程序如何来访问数据库的应用程序接口,提供了诸如查询和更新数据库中数据的方法。JDBC也是Sun Microsystems的商标。我们通常说的JDBC是面向关系型数据库的。 1.Driver 接口 ①Java.sql.Driver 接口是所有 JDBC 驱动程序需要
JDBC第一课-简介及开发第一个JDBC程序
ChenPS的博客
10-11 288
JDBC第一课-简介及开发第一个JDBC程序 简介: jdbc: java语言操作数据库的技术.[实际是操作某些对象的方法] JDBC: 一套Java访问数据库的接口,通用访问接口,可以访问任何关系型数据库(Oracle MySQL DB2 ...) 常用API讲解 ...
JDBC程序更新数据库中记录的方法
09-03
在Java编程中,JDBC(Java Database Connectivity)是用于连接Java应用程序与关系型数据库的标准接口。本文将详细介绍如何使用JDBC更新数据库中的记录,以MySQL数据库为例,结合一个具体的示例来说明。 首先,要...
sql sever 2000 jdbc 驱动程序
11-28
SQL Server 2000 JDBC 驱动程序...此外,使用JDBC驱动时,还要关注安全问题,如避免SQL注入攻击,以及遵循最佳实践,如使用预编译的`PreparedStatement`来提高性能,以及在事务中管理数据库操作,以保证数据的一致性。
oracle 9i jdbc驱动程序
12-15
- 事务管理:JDBC支持自动和手动的事务管理,你可以根据应用需求选择合适的事务隔离级别。 - 错误处理:编写适当的错误处理代码,捕获并处理`SQLException`及其子类。 在Oracle 9i JDBC驱动程序中,还有许多其他...
网上下的jdbc程序
03-15
1. **驱动程序**:JDBC驱动程序是Java应用程序与数据库之间的桥梁。根据不同的数据库和连接方式,JDBC驱动分为四种类型:JDBC-ODBC桥驱动、网络纯Java驱动、二进制兼容驱动和Java数据库连接API驱动。驱动的选择直接...
jdbc连接各数据库及事务处理
11-07
本篇将深入探讨如何使用JDBC连接不同的数据库以及如何处理事务。 一、JDBC连接数据库 1. 加载驱动:在使用JDBC之前,我们需要加载对应的数据库驱动。例如,对于MySQL,我们可以使用`Class.forName(...
jdbc数据库驱动
qq_41995845的博客
11-09 143
不同的数据库驱动不同 程序通过驱动和数据库打交道 简化开发人员的操作提供了规范 jdbc操作接口 数据库驱动包 创建一个java项目 导入驱动 创建lib文件jar包 add as library package com.gan.demo01; import jdk.nashorn.internal.objects.annotations.Where; import java.sql.*; //我的第一个jdbc程序 public class jdbcFirstDemo { public st
JavaWeb 第一个JDBC程序
来自师范的学渣
10-20 1258
JDBC是Java数据库连接,是一套用于执行SQL语句的Java API 一、JDBC常用API 1.Driver接口 Driver接口是所有JDBC程序必须实现的接口,在编写JDBC程序时,必须把所有使用的数据库驱动程序或者类库加载到项目的classpath中, 2.DriverManager类 DriverManager类用于加载JDBC驱动并创建数据库的连接。在DriverMana...
jdbc源码详解(一):示例+Driver注册流程
木东居士
06-16 2895
自己一直说要某个开源项目的源码,但是一直没有真正地好好开始,一是以为看源码其实不容易看懂,而是因为选择犹豫,最后也敲定看哪个。这次正式开始看jdbc的源码有两个三个:一是因为《java编程思想》这本书快看完了,折腾一个多月的时间,里面除了多线程和图形编程这两块基本都看得差不多了;一个是因为《设计模式之禅》这本书看了一半左右,里面的设计模式自己大致都明白是什么隐私,但是印象不深刻,需要有
第九章 JDBC
m0_55689512的博客
12-03 688
1.什么是JDBC JDBC的全称是Java数据库连接(Java Dalabase Connectivity),它是一套用于执行soL语句的Java API应用程序可通过这套API连接到关系型数据库,并使用SQL语句来完成对数据库中数据的查询、更新、新增和删除的操作。 不同种类的数据库(如MySQL、Oracle 等)在其内部处理数据的方式是不同的。如果直接使用数据库厂商提供的访问接口操作数据库,应用程序的可移植性就会变得很差。例如,用户当前在程序中使用的是MySQL提供的接口操作数据库,如果换成Oracl
JDBC-----实现第一个JDBC程序
qq_48788523的博客
02-03 1123
JDBC-----实现第一个JDBC程序,难易程度***
我的第一个JDBC程序(六个步骤)
qq_56463190的博客
03-28 1413
import java.sql.*; //我的第一个jdbc程序 public class jdbcFirst { public static void main(String[] args) throws ClassNotFoundException, SQLException { //1.加载驱动 //Class.forName(“com.mysql.jdbc.Driver”);为5.X版本的写法 Class.forName(“com.mysql.cj.j
JDBC程序开发注意事项
最新发布
05-28
在进行JDBC程序开发时,需要注意以下几点: 1. 导入JDBC驱动程序:在进行JDBC程序开发前,需要将相应的JDBC驱动程序导入到项目中,一般情况下,可以将JDBC驱动程序的JAR包导入到项目的classpath中。 2. 数据库连接...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值