java学习之mysql第二十二一天( --JDBC--查询--登录--避免sql注入--)

最新推荐文章于 2024-04-25 13:56:39 发布
最新推荐文章于 2024-04-25 13:56:39 发布
阅读量279 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a18755425397/article/details/80696174
版权

      你想要多大的成功,你愿意为这份成功付出什么?

1.  JDBC:  是Java提供的一套类和接口 是链接数据库的一套规范;

2. JDBC为我们提供了java连接数据库的驱动。而这个驱动也是由Java开发出来的,我们只需要将这个驱动放进项目中,通过这个 驱动,我们就可以用Java连接数据库,进行数据库的管理操作。

3:  了解:JDBC与ODBC的区别:

二者皆可以实现对数据库的操作(连接、增删改查、建库建表)。

       1.   JDBC是SUN开发的java连接数据库的标准;

       2.  ODBC是微软开发的,C语言的; 

2. JDBC操作数据库的步奏:

注意: 每个驱动程序类必须实现的接口 Driver;  DriverManager 管理一组 JDBC 驱动程序的基本服务。

       1. 注册驱动 registerDriver( Driver driver ), 

              1. 第一种注册方式: DriverManger.registerDriver( new Driver() );  Driver里面有个静态代码块.执行了这一个过程.我们                   只需要加载类的时候,就可以被调用; 因此我们用第二种方法;

              2.第二种注册方式: 利用反射注册驱动,forName(里面填入的是带包名的类名);

       2. 获取数据库连接对象: 

                  getConnection(String url, user password );

       3. 通过链接对象, 获取sql语句的执行对象;

                   connection.createStatement();

       4.  通过 statement对象来执行sql语句;

                  1. statement. executeUpdate(  sql  );  执行DML和DDL语句 返回值 int 受影响的行数;

                  2. statement.executeQuery( sql ); 执行DQL语句; 返回值resultSet

       5. 处理执行sql 后得到的结果集;

       6. 关闭资源( 调用close() 方法)

1. 练习 : 插入一条数据;

public class Demo01 {
	public static void main(String[] args) throws Exception {
		// 注册驱动
		// 如果这么注册 相当于注册了2遍驱动 DriverManager.registerDriver(new Driver());
		// Driver类源码中有静态代码块
		// 并且代码块中 已经注册了一次""
		// 该如何正确注册驱动?
		// 利用反射注册驱动 反射填进去的是全类名;带包名;
		Class<?> forName = Class.forName("com.mysql.jdbc.Driver");
		// 第二步获取连接对象
		// url 数据库的链接地址 固定格式 jdbc:mysql://主机ip地址: 数据库的端口号(默认3306)/数据库的名
		// 用jdbc链接的mysql //
		String url = "jdbc:mysql://localhost:3306/myjdbc01";

		String user = "root";
		String password = "123456";
		Connection connection = DriverManager.getConnection(url, user, password);
		// 这里打印是connection实现类;
		// System.out.println(connection);
		// 第三步: 通过连接对象获取sql语句的执行对象
		Statement statement = connection.createStatement();
		// 第四步: 执行sql语句;插入一条数据;
		String sql = "insert into goods" + "(sname,sprice,adesc)"
		+ "values('手机',8000,'一台高级手机')";
		// 返回值是受影响的行数;
		int row = statement.executeUpdate(sql);
		System.out.println("受影响的行数" + row);
		// 关闭资源
		// 关闭连接对象,
		connection.close();
		// 关闭执行sql语句的对象
		statement.close();

	}
}

2. 查询一条数据;

public class Demo02查询 {
	public static void main(String[] args) throws Exception {
		// 注册驱动;
		Class.forName("com.mysql.jdbc.Driver");
		String url = "jdbc:mysql://localhost:3306/myjdbc01";
		String user = "root";
		String password = "123456";
		// 获取链接对象
		Connection connection = DriverManager.getConnection(url, user, password);
		// 获取sql语句对象
		Statement create = connection.createStatement();
		String sql = "select*from goods";
		// 返回查询结果的结果;
		ResultSet result1 = create.executeQuery(sql);
		while (result1.next()) {
			// 打印数据
			// 如果使用列的索引注意从1 开始;\
			// 如果使用*号查询: 索引是数据库中标的顺序;
			// 如果不适用* 直接使用字段顺序就是你sql语句中使用的顺序;
			// int int1 = result1.getInt(1);
			// String name = result1.getString(2);
			// int age = result1.getInt(3);
			// String adesc = result1.getString(4);
			// System.out.println(int1+name+age+adesc);

			// 直接往里面填字段名字 获取数据方式; 里面存在指针, 开始指在第一行最上方;
			String sname = result1.getString("sname");
			int sid = result1.getInt("sid");
			System.out.println(sid + sname + result1.getInt("sprice") + result1.getString("adesc"));

		}
		// 关闭资源
		connection.close();
		create.close();
		result1.close();
	}
}
打印结果

1娃娃100大海专用

2普洱20阿凡达专用

3本体10000对于自己来说很好用

4手机8000一台高级手机

5手机180012台高级手机

3. sql 注入设置: 

 
  or'1=1   sql注入;  研究一 下
 * sql 注入測試;
 * 在sql語句拼接时候.可以加入一个恒等条件;
 * 让这条sql语句一定会成立. 
 * 可以通过这个方式来改变你sql语句原来的意思;
 * 
 * sql 注入设置;
 * 键盘输入账号密码
 * 查询数据库 ----打印用户信息;
 * 并且打印该账号和密码
 *  select * from goods where username= 'wanglong'and password ='123' 
public class Demo03登录 {
	public static void main(String[] args) throws Exception {	
		System.out.println("请输入賬號");
		Scanner scanner = new Scanner(System.in);
		String user1 = scanner.nextLine();
		System.out.println("請輸入密碼");
		String password1 = scanner.nextLine();
		Class.forName("com.mysql.jdbc.Driver");
		String url = "jdbc:mysql://localhost:3306/myjdbc01";
		String user = "root";
		String password = "123456";
		Connection connection = DriverManager.getConnection(url, user, password);
		Statement statement = connection.createStatement();
		String sql = " select * from users where username= '"+user1+"' and password= '"+password1+"'";
		ResultSet executeQuery = statement.executeQuery(sql);
		while (executeQuery.next()) {
			// String string = executeQuery.getString("uid");//
			System.out.println(executeQuery.getString("username") + " " + executeQuery.getString("password"));
		}
		connection.close();
		statement.close();
		executeQuery.close();

	}
}

//打印结果 由于字符串拼接原因, 我改变了sql语句本来的条件导致注入设置:

请输入賬號
王龙
請輸入密碼
123456'or'1=1
王龙 123456
坤儿 123456

4. 如何避免注入设置;

         1. 获取预编译sql语句的对象;  connction.prepareStatement( sql );

         2. 使用占位符 ? :  使用占位符时候不用加引号;

         3. 调用 statement. setObject (  1 , user1  ); 替换掉问号;

                            1.参数1.问号的位置个数,  

                            2.参数2. 问号要替换的变量

public class Demo04防止sql注入 {
	public static void main(String[] args) throws Exception {
		System.out.println("请输入賬號");
		Scanner scanner = new Scanner(System.in);
		String user1 = scanner.nextLine();
		System.out.println("請輸入密碼");
		String password1 = scanner.nextLine();
		Class.forName("com.mysql.jdbc.Driver");
		String url = "jdbc:mysql://localhost:3306/myjdbc01";
		String user = "root";
		String password = "123456";
		Connection connection = DriverManager.getConnection(url, user, password);
		//获取预编译sql语句的对象
		//使用占位符号 ? 
		//使用占位符不用加单引号
		String sql = "select * from users where username=? and password=?";
		PreparedStatement statement = connection.prepareStatement(sql);
		//设置占位符的值  下面给占位符赋值;
		//参数1 : 问号的索引, 从1开始;
		//参数2:  替换问号的值;
		statement.setObject(1, user1);
		statement.setObject(2,password1);
		
		//执行sql语句
		ResultSet resulute= statement.executeQuery();
		//处理结果街
		 while (resulute.next()) {
			System.out.println(resulute.getString("username")+" "+resulute.getString("password"));
		}
		
	}
}

5.修改数据; 使用preparedStatement 修改id为1的数据; 

public class Demo05修改数据 {
	public static void main(String[] args) throws Exception {

		Class.forName("com.mysql.jdbc.Driver");
		String url = "jdbc:mysql://localhost:3306/myjdbc01";
		String user = "root";
		String password = "123456";
		Connection connection = DriverManager.getConnection(url, user, password);
		String sql = "update goods set sname=?,sprice=? where sid =1 ";
		PreparedStatement statement = connection.prepareStatement(sql);
		statement.setObject(1, "充气娃娃");
		statement.setObject(2, 100);
		int row = statement.executeUpdate();
		System.out.println("受影响的行数" + row);
		connection.close();
		statement.close();
	}
}

6. 链接工具类:

public class JDBCUitl {

	// 声明链接的属性成员变量;
	private static Connection connection;

	// 私有化构造方法;
	private JDBCUitl() {
		// TODO Auto-generated constructor stub
	}

	// 使用静态态代码块
	static {
		try {
			Class.forName("com.mysql.jdbc.Driver");
		} catch (ClassNotFoundException e) {
			// 注册失败没有执行下去的意义
			// 直接抛出运行异常;
			throw new RuntimeException("数据库加载失败");

		}
	}

	// 提供get方法获取链接使用
	// 将可能使用到的时候,利用配置文件;proprites;
	// 驱动类 url user password ;
	public static Connection getConnection() {
		String url = "jdbc:mysql://localhost:3306/myjdbc01";
		String user = "root";
		String password = "123456";
		try {
			connection = DriverManager.getConnection(url, user, password);
		} catch (SQLException e) {
			throw new RuntimeException("数据库链接异常");
		}
		return connection;

	}

	// 关闭资源
	// 将需要关闭的资源当做参数穿进去;
	public static void close(Connection connection, PreparedStatement statement, ResultSet resultSet) {
		// 判断不为空再关闭;
		if (connection != null) {
			try {
				connection.close();
			} catch (SQLException e) {
				// TODO Auto-generated catch block
				e.printStackTrace();
			}
		}

		if (statement != null) {
			try {
				statement.close();
			} catch (SQLException e) {
				// TODO Auto-generated catch block
				e.printStackTrace();
			}
		}

		if (resultSet != null) {
			try {
				resultSet.close();
			} catch (SQLException e) {
				// TODO Auto-generated catch block
				e.printStackTrace();
			}
		}

	}

}



 

1sunshine2
关注
Mysql系列】MySQLSQL注入
weixin_54707168的博客
04-11 227
Mysql系列】MySQLSQL注入
MyBatis-plus从入门到精通(全)
码农研究僧的博客
11-18 5126
目录前言1. 入门项目1.1 数据库1.2 项目构建2. 配置日志3. CURD基本用法3.1 插入操作3.2 更新操作3.3 删除操作3.4 查询操作4. ActiveRecord4.1 插入操作4.2 更新操作4.3 删除操作4.4 查询操作 前言 在学习mybatis-plus这篇文章时 需要掌握一些知识点 java零基础从入门到精通(全) javaSE从入门到精通的二十万字总结(一) javaSE从入门到精通的二十万字总结(二) javaSE从入门到精通的二十万字总结(三) 以及 Sprin
MySQL for JavaSQL注入测试
加菲学Java
07-19 258
只要你学JDBC,基本上所有的人都会和你说,Statement不能防止SQL注入, PreparedStatement能够防止SQL注入. 基本上参加工作了一段时间之后还是这么认为的, 没错, 这句是没有问题的, 但到底如何进行SQL注入?怎么直观的去了解SQL注入?这还是需要花一定的时间去实验的.   前提:以下的测试都是在一种理想环境下   首先准备好数据库环境, 以下是数据库的s...
java mysql 注入攻击_Java应用开发中的SQL注入攻击
weixin_39893274的博客
02-01 138
查找与修补一、注入点的查找当我们想要测试某个站点时,一般会架上注入工具对其狂轰乱炸,这样做虽然有时能找到注入点,但还是有些盲目,我个人的看法是:如果有源码的话,就从源码入手,在源码中查找注入点。对于源码,有些朋友可能觉得很难,其实源码并不神秘,它也是有一定的语法规则的,看一套优秀的源码就像是在欣赏一部精美的电影,只要我们坚持每天看一些优秀源码,再加上百度这个老师的指点,用不了多久,源码的神秘面纱就...
重新学习MySQL数据库11:以Java的视角来聊聊SQL注入
Java技术江湖
01-17 1930
Java的视角来聊聊SQL注入 转自 javatikuJava面试那些事儿2017-08-09 在大二就接触过sql注入,之前一直在学习windows逆向技术,认为web安全以后不是自己的从业方向,所以当时也就没有深入研究。工作多年来,本人也一直从事安全开发相关工作,随着Java的市场份额越来越重,在工作中接触Java的机会也越来越多,也是机缘巧合的契机,自己开始走向了偏 Java开...
java mysql sql注入攻击_java-sql注入攻击
weixin_31649177的博客
01-19 92
注射式攻击的原理SQL注射能使攻击者绕过认证机制,完全控制远程服务器上的数据库。SQL是结构化查询语言的简称,它是访问数据库的事实标准。目前,大多数Web应用都使用SQL数据库来存放应用程序的数据。几乎所有的Web应用在后台都使用某种SQL数据库。跟大多数语言一样,SQL语法允许数据库命令和用户数据混杂在一起的。如果开发人员不细心的话,用户数据就有可能被解释成命令,这样的话,远程用户就不仅能向We...
2021年JAVA 精心整理的常见面试题-附详细答案【持续更新~~】
geejkse_seff的博客
06-24 359
一、Java基础面试题二、Java 集合框架三、Linux常用指令四、MySQL基础面试2000多G的计算机各行业电子资源分享(持续更新)2020年微信小程序全栈项目之喵喵交友【附课件和源码】Spring Boot开发小而美的个人博客【附课件和源码】Java微服务实战296集大型视频-谷粒商城【附代码和课件】Java开发微服务畅购商城实战【全357集大项目】-附代码和课件最全最详细数据结构与算法视频-【附课件和源码】2021年JAVA 精心整理的常见面试题-附详细答案https://mikejun.blog
解读分库分表中间件Sharding-JDBC与实现分库分表功能
KHOST的博客
04-28 326
分库分表适用场景 分库分表用于应对当前互联网常见的两个场景——大数据量和高并发。通常分为垂直拆分和水平拆分两种。 垂直拆分是根据业务将一个库(表)拆分为多个库(表)。如:将经常和不常访问的字段拆分至不同的库或表中。由于与业务关系密切,目前的分库分表产品均使用水平拆分方式。 水平拆分则是根据分片算法将一个库(表)拆分为多个库(表)。如:按照ID的最后一位以3取余,尾数是1的放入第1个库(表),...
javaSE第十二章_JDBC
SDWESCES的博客
02-22 598
文章目录JDBC概述 JDBC 概述 ● JDBCJava DataBase Connectivity)java数据库连接 ● 是一种用于执行SQL语句的Java API,可以为多种关系型数据库提供统一访问, 它由一组用Java语言编写的类和接口组成。 ● 有了JDBC,java开发人员只需要编写一次程序,就可以访问不同的数据库. JDBC API: 供程序员调用的接口与类,集成在java.sql包中 DriverManager类 管理各种不同的jDBC驱动Connection接口 与特
2024全新Java学习路线图一条龙(视频+课件+源码资料)
最新发布
码农王也的博客
04-25 1650
互联网浩瀚无际,你能来到这里,是机遇也是缘分,机遇,就像我的标题一样,你找到了一份Java 360度无死角的 Java 学习路线,而缘分让我们相遇,注定给你的学习之路搭上一把手,送你一程。整条线路除了拥有后端整个技术体系外,还涵盖了前端、大数据、云计算、运维等各大领域。在这十八般武艺汇聚全身的同时,这条学习路线也拥有着独有的特色和着重点,比如加入了极为重要且业内稀缺的基本功修炼——六套计算机基础类课程。还有多套Java基础类课程,多维度讲解帮助学习者入门。
利用JDBC工具类的方式实现mysql数据库的连接并且完成登录相关功能(防sql注入方式)
10-01
利用JDBC工具类的方式实现mysql数据库的连接并且完成登录相关功能,并且通过PreparedStatement类实现防sql注入
java mysql sql注入_java编程——MyBatis框架中常见的SQL注入
weixin_42528780的博客
02-01 243
MyBatis 是支持定制化SQL、存储过程以及高级映射的优秀的持久层框架。由于它很是灵活,很是轻量级,受到广年夜开发者的欢迎,各个年夜厂也用得比较多。MyBatis框架介绍相关的内容不多说,这类文章网上很多,这里我着重介绍一下MyBatis下常见的SQL注入漏洞。写到一半发现有些概念要在前面说清楚一下,不然容易晕。MySQL:指MySQL办事器。MyBatis:指MyBatis框架。JDBC:是...
java试试在Mysql环境中注入sql
auzll
10-09 171
一般的说,在java环境中,使用java.sql.Statement可能导致sql注入,而使用java.sql.PreparedStatement可以避免这个问题。 今天做了个实验,发现Statement也是没那么容易注入的,在jdbc url里面必须配置[color=red]allowMultiQueries=true[/color],例如jdbc:mysql:///dem...
java mysql sql注入_java安全-SQL注入漏洞
weixin_34837971的博客
01-27 353
漏洞简介SQL 注入漏洞在以下情况下出现:1. 数据从一个不可信赖的数据源进入程序。2. 数据用于动态地构造一个 SQL 查询。String userName = ctx.getAuthenticatedUserName();String itemName = request.getParameter("itemName");String query = "SELECT * FROM items ...
java mysql 注入攻击_SQL注入攻击原因及预防
weixin_32239819的博客
01-27 159
前言客户测试反馈说我们的代码有SQL注入的风险,查了一下确实有一处。咱来说说SQL注入问题吧SQL注入到底是什么SQL注入是一种注入攻击,,可以执行恶意SQL语句。它通过将任意SQL代码插入数据库查询,使攻击者能够完全控制Web应用程序后面的数据库服务器。攻击者可以使用SQL注入漏洞绕过应用程序安全措施;可以绕过网页或Web应用程序的身份验证和授权,并检索整个SQL数据库的内容;还可以使用SQL注...
java mysql 注入,Java / Mysql如何将整个SQL文件注入mysql服务器?
weixin_42282116的博客
01-19 87
How would you go about loading a .sql file into a mysql database from a java program? I've tried extracting a sql resource file from the self containted jar, I've try processBuilder to locate and run ...
java mysql 注入攻击_Java-JDBC-SQL注入攻击实例及反注入攻击
weixin_34663036的博客
02-01 144
packagecn.bruce.MySql;importjava.sql.Connection;importjava.sql.DriverManager;importjava.sql.PreparedStatement;importjava.sql.ResultSet;importjava.sql.Statement;importjava.util.Scanner;public classLOGO...
java当中sql注入详解
萤火虫,点点星光
02-22 3840
(1)代码如下package cn.packa.wwy;import java.sql.Connection;import java.sql.DriverManager;import java.sql.ResultSet;import java.sql.SQLException;import java.sql.Statement;import org.junit.Test;public class...
JavaEE源代码与mysql-connector-java-5.0.8-bin工具解析
mysql-connector-java-5.0.8-bin.jar是一个实现JDBC规范的Java库,为Java应用程序提供与MySQL数据库交互的能力。驱动程序中包含了用于连接MySQL数据库并执行SQL语句的类和方法。 知识点三:JDBC驱动版本 文件名中的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值