JDBC的使用(二):PreparedStatement接口;ResultSet接口(获取结果集);例题:SQL注入...

最新推荐文章于 2023-03-06 14:37:00 发布
最新推荐文章于 2023-03-06 14:37:00 发布
阅读量336 收藏 1
点赞数
文章标签: 数据库 java
原文链接:http://www.cnblogs.com/AnswerTheQuestion/p/6249422.html
版权

ResultSet接口:类似于一个临时表,用来暂时存放数据库查询操作所获得的结果集。

getInt(), getFloat(), getDate(), getBoolean(), getString(), getObject(), next(),:将指针向下移一行。

例一:(输入用户名和密码验证是否登录成功):用Statement接口会导致,SQL注入!

下图是代码:

package com.inba.maya.chaxun;

import java.sql.*;
import java.util.*;

public class Text {
    
    public static void main(String[] args) throws Exception{
        Scanner sc=new Scanner(System.in);
        System.out.print("请输入用户名:");
        String yhm=sc.nextLine();
        System.out.print("请输入密码:");
        String mm=sc.nextLine();
        //第一种解决的方法:给用户名进行替换,把'换成".
        //yhm=yhm.replaceAll("\'", "\"");
        //一加载驱动
        Class.forName("com.mysql.jdbc.Driver");
        //二链接数据库
        Connection conn=DriverManager.getConnection("jdbc:mysql://localhost:3306/mydb?characterEncoding=GBK","root","");
        //创建SQL语句
        Statement stat=conn.createStatement();
        //采用字符串拼接的房方法会导致,SQL注入,从而导致错误发生,如控制台所示
        //原因是:当我输入: sl服务网16' or 1=1 #;在代码中显示的是:
    
//所以当我输入的里面有'时就会和前面的'相匹配,or 1=1永远成立 #在SQL语句中是注释,所以才会登陆成功
        String s="select * from user where username='"+yhm+"' and pasword='"+mm+"'";
        ResultSet rs=stat.executeQuery(s);
        if(rs.next()==true){
            System.out.println("登陆成功,欢迎"+rs.getString(3));
        }else{
            System.out.println("对不起,您输入的用户名或密码不正确!");PreparedStatement
        }
        conn.close();
    }

}

解决的方法1:

第一种解决的方法:给用户名进行替换,把'换成".
yhm=yhm.replaceAll("\'", "\"");

 解决的第二种方法:

用PreparedStatement接口,该接口继承自Statement接口,但是用于执行动态的SQL语句。通过PreparedStatement实例来执行SQL语句,将被预编译并保存到PreparedStatement实例中,从而可以反复执行该语句。

代码如下:

package com.inba.maya.chaxun;

import java.sql.*;
import java.util.*;

public class Text {
    public static void main1(String[] args) throws Exception{
        Scanner sc=new Scanner(System.in);
        System.out.print("请输入用户名:");
        String yhm=sc.nextLine();
        System.out.print("请输入密码:");
        String mm=sc.nextLine();
        YanZheng(yhm, mm);
    }


    private static void YanZheng(String yhm, String mm) throws ClassNotFoundException, SQLException {
        Class.forName("com.mysql.jdbc.Driver");
        Connection conn=DriverManager.getConnection("jdbc:mysql://localhost:3306/mydb?characterEncoding=GBK","root","");
String s="select * from user where username=? and pasword=?";
    
        PreparedStatement ps=conn.prepareStatement(s);
        ps.setString(1, yhm);
        ps.setString(2, mm);
        ResultSet rs=ps.executeQuery();
        if(rs.next()==true){
            System.out.println("登陆成功,欢迎"+rs.getString(3));
        }else{
            System.out.println("对不起,您输入的用户名或密码不正确!");
        }
        conn.close();
    }

}

 

转载于:https://www.cnblogs.com/AnswerTheQuestion/p/6249422.html

ak364877
关注
JDBC连接数据库步:与数据交互 Statement 和 PreparedStatement
区块链之美
06-05 945
当获得了与数据库的连接后,就可以与数据库进行交互了。 获取数据库连接,参考上一篇文章。 JDBCStatement,PreparedStatement和CallableStatement接口定义了可用于发送SQL或PL/SQL命令,并从数据库接收数据的方法和属性。 下表提供了每个接口定义,以及使用这些接口的目的的总结。 表格来源:https://www.yiibai.com/jdbc/...
JDBC:对数据库的增删改查练习题
卓汶的博客
03-22 2163
练习1:从控制台向数据库的表customers中插入一条数据,表结构如下。 在项目的src路径下新建一个文件,命名为jdbc.properties user=root password=124869 url=jdbc:mysql://localhost:3306/test?characterEncoding=utf-8 driverClass=com.mysql.jdbc.Driver 新建一个java.util包,用于存放数据库所需要的工具类,将JDBC所需要的数据库连接和数据库资源关闭存放在JDBC
MySQL数据库学习笔记(九)----JDBCResultSet接口(查询操作)、PreparedStatement接口重构增删改查(含SQL注入的解释)...
weixin_33904756的博客
10-27 260
【声明】  欢迎转载,但请保留文章原始出处→_→  生命壹号:http://www.cnblogs.com/smyhvae/ 文章来源:http://www.cnblogs.com/smyhvae/p/4050825.html   【正文】 首先需要回顾一下上一篇文章中的内容:MySQL数据库学习笔记(八)----JDBC入门及简单增删改数据库的操作 一、ResultSet接口的介绍...
【大数据系列之JDBC】(八):使用PreparedStatement获取结果对象
CSDN 精品推荐
12-22 953
ResultSet 对象维护了一个指向当前数据行的游标,初始的时候,游标在第一行之前,可以通过 ResultSet 对象的 next() 方法移动到下一行。相当于Iterator对象的 hasNext() 和 next() 方法的结合体。当指针指向一行时, 可以通过调用 getXxx(int index) 或 getXxx(int columnName) 获取每一列的值。getColumnTypeName(int column):检索指定列的数据库特定的类型名称。有一个指针指向数据表的第一条记录的前面。
JDBC三大接口Connection、Statement(PreparedStatement)、ResultSet接口使用(笔记)
ma574621344的博客
07-18 8576
Connection(java.sql包)是获取数据库连接的接口 因为连接数据库需要使用DriverManager.getConnection方法,而此方法的返回值是Connection。 //传入的三个值分别为使用数据的URL、当前数据库的name、当前数据库的密码pwd Connection conn = DriverManager.getConnection("jdbc:mysql://lo...
java jdbc()各接口介绍--Connection,Statement,ResultSet,PreparedStatement,ResultSetMetaData,DatabaseMetaDa
zfireear的博客
04-12 815
1.Connection接口提供了许多 transaction管理方法,比如commit(),rollback()等等,可以获得tatement, PreparedStatement, and DatabaseMetaData对象。 常用方法:1) public Statement createStatement(): creates a statement object that can be
实验7-通过JDBC访问数据库.doc
最新发布
05-11
- **java.sql.ResultSet:**表示查询结果。 - **JDBC驱动程序:** - **JDBC-ODBC桥接器与ODBC驱动程序:**通过ODBC实现与数据库的连接,但要求每台客户端都安装了ODBC驱动程序。 - **Native-API部分Java驱动...
JDBCjava数据库连接对象
Problem_Girl的博客
03-19 5005
一、JDBC:即Java DataBase Connectivity的缩写。全称为Java数据库连接对象,是java程序和数据库的连接桥梁。 作用:可以为多种关系型数据库DBMS提供统一的访问方式,用Java来操作数据库。 1. JDBC API主要功能:主要干三件事,具体通过以下类/接口实现: DriverManager:管理jdbc驱动 Connection:连接 Sta...
j2ee访问SQL数据库的方法和例题
04-18
使用`java.sql.DriverManager`类的`getConnection()`方法建立数据库连接。首先需要加载驱动,然后提供数据库URL、用户名和密码: ```java Class.forName("com.microsoft.jdbc.sqlserver.SQLServerDriver"); ...
Java使用PreparedStatement接口ResultSet结果的方法示例
08-27
主要介绍了Java使用PreparedStatement接口ResultSet结果的方法,结合实例形式分析了PreparedStatement接口ResultSet结果的相关使用方法与操作注意事项,需要的朋友可以参考下
JDBC主要接口DirverManager、Connection、Statement、PreparedStatementResultSet的简介
望月思灵
06-14 781
JDBC定义:JDBCJava Data Base Connectivity,java数据库连接)是一种用于执行SQL语句的Java API,可以为多种关系数据库提供统一访问,它由一组用Java语言编写的类和接口组成。JDBC为工具/数据库开发人员提供了一个标准的API,据此可以构建更高级的工具和接口,使数据库开发人员能够用纯 Java API 编写数据库应用程序,同时,JDBC也是个商
PreparedStatement ResultSet
月影追猎者的博客
07-07 749
private ResultSet getResultSet(String tab_name) {     String sql = "select * from " + tab_name;     PreparedStatement pstmt;     ResultSet rst = null;     try {       pstmt = conn.prepareStatem
JDBC使用Statement,PreparedStatement,ResultSet
hustwht的专栏
08-12 5468
1. 创建一个获取 Connection 对象和关闭资源的工具类 在对数据库进行CRUD操作的时候,每一个操作都需要获取Connection对象,所以我们就可以把获取Connection对象的过程抽离到一个工具类当中,下面是具体代码。  View Code public final class JdbcUtil { private JdbcUtil() {
java中PreparedStatement接口ResultSet结果
热门推荐
MT2048的博客
07-02 1万+
说明: 1.PreparedStatement接口继承Statement,它的实例包含已编译的SQL语句,执行速度要快于Statement。 2.PreparedStatement继承了Statement的所有功能,三种方法executeUpdate、executeQuery、execute不再需要参数。 3.在JDBC应用中,一般都用PreparedStatement,而不是Stateme
使用PreparedStatement查出resultSet通过反射封装到list中
aiyouweiwei_的博客
07-06 549
public List<Object> handler(ResultSet rs , Class<?> clazz){ ArrayList<Object> list = new ArrayList<>(); Object obj = null; try { while (rs.next()) { // 创建一个clazz对象实例并将其赋给要返回的那个返回值。 obj = .
JDBC学习总结(一)获取数据库连接ConnectionSQL注入PreparedStatement实现增删改查ResultSetResultSetMetaDataORM思想
long3359的博客
03-06 720
JDBC学习总结(一)获取数据库连接/Connection/SQL注入/PreparedStatement实现增删改查/ResultSet/ResultSetMetaData/ORM思想
如何将PreparedStatement查询得到的结果存储起来--方法一:采用对象数组
青松之竹_Java博客
10-04 8814
如何将PreparedStatement查询得到的结果存储起来--方法一:采用对象数组
JDBC】-- PreparedStatement实现数据库查询操作
张修宇的博客
07-21 4211
ORM思想(objectrelationalmapping)1、一个数据表对应一个java类2、表中一条记录对应java类的一个对象3、表中一个字段对应java类的一个属性JDBC结果的元数据获取列数获取列的别名反射通过反射,创建指定类的对象,获取指定的属性并赋值。...
JDBC深入讲解:PreparedStatement接口数据库交互
Statement接口用于执行静态SQL语句,而PreparedStatement则用于执行预编译的SQL语句,它可以接受参数并返回ResultSet对象,ResultSet则包含了SQL查询的结果。 在学习PreparedStatement的优势时,我们需要注意以下几...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值