mysql之jdbc连接数据库和sql注入的问题

最新推荐文章于 2023-12-05 13:04:45 发布
最新推荐文章于 2023-12-05 13:04:45 发布
阅读量1.4k 收藏 1
点赞数
分类专栏: jdbc 文章标签: mysql jdbc sql注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bighuan/article/details/60953147
版权

一,概述


可能是自己的记忆力太差了,经常忘记一些很重要的知识点,记得个大概,等要用的时候就去找,结果还找不到。干脆,记博客里,怎么都找的到。这篇博客主要就是关于Jdbc(java database connectivity)和MySql的,记录如何连接数据库及插入数据等等。

二,工具及准备工作


MyEclipse10,mysql驱动jar包(我用的是这个版本mysql-connector-java-5.0.8-bin.jar,大家可以选择用其他版本)

三,导入驱动,连接数据库


在MyEclipse中新建一个Web Project命名为bighuan_login,将准备好的驱动jar包拷贝到bighuan_login/WebRoot/WEB_INF/lib目录下,将驱动jar包拷入到lib目录后就可以了。

接下来就去封装一下连接数据库的代码,这样就不用每次操作数据库都写一大堆代码了。JdbcUtils.java代码如下: 
package com.bighuan.utils;

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;
import java.util.ResourceBundle;

import org.junit.Test;

/**
 * Jdbc工具类
 * 
 * @author bighuan
 * 
 */
public class JdbcUtils {

	private static String driverClass = null;
	private static String url = null;
	private static String username = null;
	private static String password = null;

	/**
	 * 获得连接
	 * 
	 * @return
	 */
	public static Connection getConnection() {
		// 注意:导sql包下的Connection
		try {
			loadDriver();

			ResourceBundle bundle = ResourceBundle.getBundle("jdbc");
			url = bundle.getString("url");
			username = bundle.getString("username");
			password = bundle.getString("password");

			return DriverManager.getConnection(url, username, password);
		} catch (SQLException e) {
			e.printStackTrace();
			return null;
		}
	}

	/**
	 * 注册驱动
	 */
	private static void loadDriver() {

		try {
			// ResourceBundle专门用于读取properties文件,注意不要后缀名
			ResourceBundle bundle = ResourceBundle.getBundle("jdbc");

			driverClass = bundle.getString("driverClass");
			// 注册驱动
			Class.forName(driverClass);
		} catch (ClassNotFoundException e) {
			e.printStackTrace();
		}
	}

	/**
	 * 释放资源
	 * 
	 * @param rs
	 * @param stmt
	 * @param conn
	 */
	public static void release(ResultSet rs, Statement stmt, Connection conn) {

		if (rs != null) {
			try {
				rs.close();
			} catch (SQLException e) {
				e.printStackTrace();
			}
			rs = null;
		}

		if (stmt != null) {
			try {
				stmt.close();
			} catch (SQLException e) {
				e.printStackTrace();
			}
			stmt = null;
		}

		if (conn != null) {
			try {
				conn.close();
			} catch (SQLException e) {
				e.printStackTrace();
			}
			conn = null;
		}

	}

	@Test
	public void test() {
		Connection conn = getConnection();

		Statement stmt = null;
		ResultSet rs = null;
		try {
			stmt = conn.createStatement();

			rs = stmt.executeQuery("select * from user");

			while (rs.next()) {

				String name = rs.getString("name");
				String psd = rs.getString("psd");
				System.out.println("name:" + name + ",psd:" + psd);
			}
		} catch (SQLException e) {
			e.printStackTrace();
		} finally {
			release(rs, stmt, conn);
		}
	}
}
为了加强程序的扩展性,一些必要的配置信息写在jdbc.properties文件中,以key-value形式,这个文件建在src目录下,代码如下: 
driverClass=com.mysql.jdbc.Driver
url=jdbc:mysql://localhost:3306/bighuan
username=root
password=abc

接下来就对工具类和这个配置文件进行解释。driverClass对应的值主要用来注册驱动,url username password主要就是在建立连接的时候需要用到。url中的bighuan是数据库名,如果需要修改,直接在配置文件中修改即可,这也是配置文件的好处之一吧。url中的3306是你mysql数据库的端口号,默认就是3306,可自行查看。localhost就代表本地机器咯。前面那一串jdbc:mysql:是固定的。username代表当前那个用户,password代表对应的密码。安装mysql时最后几个步骤包含设置密码这个步骤。说完这些,那配置文件中我们需要的配置信息我们要怎样拿出来呢?将目光转移到工具类中,在注册驱动的loadDriver()方法中,


// ResourceBundle专门用于读取properties文件,注意不要后缀名
			ResourceBundle bundle = ResourceBundle.getBundle("jdbc");

			driverClass = bundle.getString("driverClass");
			// 注册驱动
			Class.forName(driverClass);
我们只要通过ResourceBundle对象就可以拿到配置文件中的信息,注意,ResourceBundle.getBundle("jdbc")拿ResourceBundle对象时不要文件的后缀名。然后通过getXXX方法就可以取到值了。代码中都有注释,不做过多解释,对释放资源的方法做一个强调。我们连接数据库都是先注册驱动,建立连接,获得结果集(查询对象时),所以我们在释放资源时最好按相反顺序来释放资源,这也是mysql官网所推荐的方式哦。工具类中有一个test()方法,可以直接测试是否连接数据库成功,当然了,你要先向数据库中插入数据。

四,sql注入的问题

在传递sql语句的参数的时候,传递一些sql语句的关键字进来,更改了原有sql语句的语义,达成一些非法的目的,从而发生了sql注入的问题。如:

select * from user where name='zs' or '1'='1'and password='123';

上面这行代码or后面的约束相当于没用了,只要知道用户名就可以非法登录某个系统了。如何解决呢?

只要使用PreparedStatement代替Statement对象就可以了。 

Connection conn = JdbcUtils.getConnection();
//			Statement stmt = conn.createStatement();
//			ResultSet rs = stmt.executeQuery("select * from user where name='"+username+"' and psd='"+password+"'");
			
			PreparedStatement pstmt = conn.prepareStatement("select * from user where name = ? and psd = ? ");
			
			pstmt.setString(1, username);
			pstmt.setString(2,password);
			
			ResultSet rs = pstmt.executeQuery();
			//判断数据库中是否有这个用户
			if(rs.next()){
				//存在这个用户
				System.out.println("登录成功...");
			}else{
				System.out.println("登录失败...");
			}

PreparedStatement可以预编译sql语句,当你传参数进来的时候,其实sql语句已经确定了关键字,从而可以防止sql注入的问题发生了。

五,总结


好了,就这样吧!如果那里有问题,欢迎大家留言指出,我也会及时更改的!拜拜!
bighuan
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用JDBC连接Mysql数据库会出现的问题总结
09-09
在使用Java JDBC连接MySQL数据库时,开发者可能会遇到各种问题,这些问题通常涉及到驱动兼容性、配置错误、编码问题等。以下是一些常见的问题及其解决方案: 1. **驱动加载的弃用**: 在较新的MySQL版本(如...
jdbc链接数据库以及sql注入-基本
weixin_45489487的博客
01-12 113
文章目录sql注入jdbc链接数据库sql注入 sql注入指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的sql语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据库信息。 jdbc链接数据库 图 package jdbcTest; import java.sql.*; public class Test1 { private final String
jdbc——sql注入
m0_72960906的博客
10-31 958
在用户输入的数据中有SQL关键字或语法,并且关键字或语法参与了SQL语句的编译。导致SQL语句编译后的条件为true,一直得到正确的结果。这种现象就是SQL注入。上面案例代码中,当你的用户名为 abc' or 1=1;# 密码为123,拼接到SQL语句中,变成如下效果:此SQL语句or 后面1=1永远正确,#后面的成了注释,所以这条语句会将表中所有的数据查询出来,然后再做数据判断的时候,就会得到正确结果,从而说用户名和密码正确,登录成功。
JDBC中的SQL注入
DZH2020的博客
08-14 1141
JDBC中的SQL注入
JDBCSQL注入
每日一记,每周一结。
10-07 692
PreparedStatement 是 Statement 接口的子接口,继承于父接口中所有的方法。它是一个预编译的 SQL 语句对象.预编译: 是指SQL 语句被预编译,并存储在 PreparedStatement 对象中。然后可以使用此对象多次高效地执行该语句。
java安全(二):JDBC|sql注入|预编译
weixin_45694388的博客
11-14 6188
1 JDBC基础 JDBC(Java Database Connectivity)是Java提供对数据库进行连接、操作的标准API。Java自身并不会去实现对数据库的连接、查询、更新等操作而是通过抽象出数据库操作的API接口(JDBC),不同的数据库提供商必须实现JDBC定义的接口从而也就实现了对数据库的一系列操作。 2 JDBCConnection 2.1连接 Java通过java.sql.DriverManager来管理所有数据库的驱动注册,所以如果想要建立数据库连接需要先在java.sql.Drive
JSP使用JDBC连接MYSQL数据库的方法
10-23
在JSP中使用JDBC连接MySQL数据库,可以让Web应用实现数据的存储、检索、更新等操作。这是构建动态网站和应用程序时非常重要的能力。以下是使用JSP结合JDBC连接MySQL数据库需要掌握的知识点: 1. JDBC驱动下载与配置...
使用JDBC连接Oracle,MySql,SQLServer数据库
09-20
本话题将深入讲解如何使用Java JDBC(Java Database Connectivity)API来连接Oracle、MySQL和SQL Server这三种常见关系型数据库JDBC提供了一种标准的接口,使得Java开发者可以方便地与各种数据库系统进行通信。 ...
java jdbc连接mysql数据库实现增删改查操作
09-02
这里,我们静态初始化了JDBC连接,这样在加载时就会自动完成数据库驱动的加载和连接的获取。`getConnection()`方法提供了一个静态方法来获取数据库连接。 然后,创建一个表示数据库表结构的实体`Goddess`: ``...
JDBC连接MySQL数据库的方法浅析.pdf
10-10
JDBC连接MySQL数据库的方法浅析】 JDBC(Java Database Connectivity)是Java语言中用于与关系型数据库交互的标准API,由Sun Microsystems(现为Oracle公司)制定。它为Java开发者提供了一个统一的接口,用于访问...
Java的JDBC最全基础笔记(SQL注入
最新发布
weixin_55415300的博客
12-05 1361
1、JDBC:Java DataBase Connectivity,可以理解为是以前的Socket桥梁,或流读写数据库(1)确切的说,JDBC是Java平台提供的一套统一的执行规范/标准(2)那么我们知道通常定义规范,一般都要定义一些接口,所以JDBC这一套规范中定义了很多的接口和及方法(3)那么接口是不能干活的,需要子去完成,那么子需要谁去完成?(4)Java对应多种数据库,那么就需要数据库去实现这个接口,Mysql数据库要去实现,Oracle的数据库也要去实现;
JDBC之【SQL注入
weixin_48485216的博客
04-16 1555
sql注入原理 用户输入的信息中含有sql语句的关键字,并且这些关键字参与sql语句编译过程,导致sql语句的原意被扭曲,进而达到sql注入sql注入的例子 存在SQL注入的代码: public class Test { public static void main(String[] args) { // 初始化一个界面 Map<String,String> userLoginInfo = initUI(); // 验证用户
Spring Boot使用JDBC连接,注入jdbc属性
yanweijie0317的专栏
02-02 767
这篇文章来说一下,如果使用jdbc,如何注入jdbc连接的一些属性呢? 1. 是配置文件中定义jdbc连接的属性 dataSource.driverClassName=com.mysql.jdbc.Driver dataSource.jdbcUrl=jdbc:mysql://localhost:3306/mysql?characterEncoding=utf-8&serverTimezone=GMT%2B8 dataSource.username=username dataSource.pas
JDBC SQL注入问题
weixin_46441425的博客
02-07 1147
关于JDBC连接登录案例的改进
两种读取数据库配置文件的方式
bacongzhong1203的博客
09-16 188
1、ResourceBundle ResourceBundle bundle = ResourceBundle.getBundle("jdbc"); //读取配置文件 配置文件在的同一目录下,不同时需要加入路径 jdbc.properties url = bundle.getString("url"); user = bundle.getString...
JDBC-用户登录(不安全)
whatname123的博客
09-07 206
package jdbc; import java.sql.*; import java.util.Scanner; import com.mysql.cj.protocol.Resultset; import com.mysql.cj.x.protobuf.MysqlxCrud.Collection; public class jdbc2 { public static void main(String[] args) throws Exception { // TODO 自动生成的方法存根
通过jdbc连接mysql数据库时遇到的一些问题汇总
hsdmw123的博客
10-15 2640
通过jdbc连接mysql数据库时遇到的报错和解决方案整理
SQL注入流程
weixin_52180702的博客
06-26 1960
SQL是一门ANSI的标准计算机语言,用来访问和操作数据库数据库软件主要包括SQL server,MySQL,Oracle等数据库软件兼容一些主要的SQL关键词操作。 SQL注入流程。
JDBC相关题目
IT_Octopus的博客
10-01 6713
(多选题)下列属于JAVA的接口的是: A.Statement B.Collection C.ResultSet D.DriverManager 【正确答案】A,B,C 【答案解析】DriverManager是一个关于JDBC数据库驱动,其他都是接口。 (多选题)JDBC编程的异常型分为( ) A.SQLException B.SQLWarning C.SQLTruncation D.SQL...
Java JDBC连接数据库与防SQL注入教程
通过观看视频教程,学员可以学习到如何设置JDBC环境,包括导入MySQL数据库驱动程序,理解连接字符串的构造方法,并学会获取数据库连接对象。 接下来,教程引导学员进入实践阶段,详细介绍JDBC的开发步骤,涉及创建...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值