javawebday44(预编译设置 JdbcUtils 获取连接 JdbcUtils工具类)

最新推荐文章于 2021-11-18 13:34:30 发布
最新推荐文章于 2021-11-18 13:34:30 发布
阅读量211 收藏
点赞数
分类专栏: javaweb 
PreparedStatement
    Statement接口的子接口
    强大之处
        防SQL攻击
        提高代码的可读性、可维护性
        提高效率
    学习PreoaredStatement的用法
        如何得到PreparedStatement对象
            给出SQL模版
            调用Connection的PreparedStatement preparedStatement(String sql 模版)
            调用pstmt的setXxx()系列方法sql模版中的?赋值
            调用pstmt的executeUpdate()或executeQuery(),但它的方法都没有参数
    预处理的原理
        服务器的工作
            校验sql语句的语法
            编译:一个与函数相似的东西
            执行:调用函数
        PreparedStatement(预编译)
            前提:连接的数据库必须支持预处理。几乎没有不支持的
            每个pstmt都与一个sql模版绑在一起,先把sql模版给数据库,数据库先进行校验,再进行编译。执行时只是把参数传递过去而已
            若二次执行时,就不用再次校验语法,也不用再次编译。直接执行

MySQL的预编译功能
预编译的好处
    当客户发送一条SQL语句给服务器后,服务器总是需要校验SQL语句的语法格式是否正确,然后把SQL语句编译成可执行的函数,最后才是执行SQL语句。
    其中校验语法,和编译所花的事件可能比执行SQL语句花的时间还要多

    如果我们需要执行多次insert语句,但知识每次插入的值不同,MySQL服务器也是需要每次去校验SQL语句的语法格式,以及编译,就浪费了太多的事件,如果使用预编译功能,那么只对SQL语句进行一次语法校验和编译,所以效率要高

MySQL执行预编译
    MySQL执行预编译分为三步
        执行预编译语句:例如:prepare myfun from 'select * from t_book where bid=?'
        设置变量 例如 set @str='b1'
        执行语句例如 execute myfun using @str
    如果需要再次执行myfun那么就不再需要第一步,即不需要再编译语句了
        设置变量 例如 set @str='b2'
        执行语句 例如 execute myfun using@str
    通过查看MySQL日志可以看到执行的过程

使用Statement执行预编译
    使用Statement执行预编译就是把上面的SQL语句执行一次     

userServerPrepstmts参数
    默认使用PreparedStatement是不能执行预编译的,这需要在url中给出useServerPrepStmts=true 参数(MySQL Server 4.1之前的版本是不支持预编译的,二Connector/J在5.0.5以后的版本,默认是没有开启预编译功能的)
    例如:jdbc:mysql://localhost:3306/db1?useServerPrepStmts=true
    这样才能保证mysql驱动会先把SQL语句发送给服务器进行预编译,然后在执行executeQuery()时知识把参数发送给服务器

cachePrepStmts参数
    当使用不同的PreparedStatement对象来执行相同的SQL语句时,还是会出现编译两次的现象,这是因为驱动没有缓存编译后的函数key,导致二次编译。如果希望缓存编译后函数的key,那么就要设置cachePrepStmts参数为true
    jdbc:mysql://localhost:3306/db1?useServertPrepStmts=true&cachePrepStmts=true    
打开批处理
    MySQL的批处理也需要通过参数来打开 rewriteBatchedStatements=true               
1、什么是SQL攻击
    在需要用户输入的地方,用户输入的是SQL语句的片段,最终用户输入的SQL片段与我们DAO中写的SQL语句合成一个完整的SQL语句。例如用户在登陆时输入的用户名和密码都是为SQL语句的片段
2演示SQL攻击
    首先需要创建一张用户表,用来存储用户的信息   

/**
 *PreparedStatement 
 */
public class Demo3 {
    /**
     * 登录
     * 使用username和password去查询数据
     * 若查询出结果集,说明正确!返回true
     * 若查不出结果,说明用户名或密码错误,返回false
     * @throws Exception 
     */
    public boolean login(String username,String password) throws Exception{
        /*
         * 一、得到Connection
         * 二、得到Statement
         * 三、得到ResultSet
         * 四、rs.next()返回的是什么,我们就返回什么
         */
        //准备四大参数
        String driverClassName = "com.mysql.jdbc.Driver";
        String url = "jdbc:mysql://localhost:3306/db1";
        String mysqlUsername = "root";
        String mysqlPassword = "123"; 
        //加载驱动类
        Class.forName(driverClassName);
        //得到Connection
        Connection con = DriverManager.getConnection(url,mysqlUsername,mysqlPassword);
        //得到Statement
        Statement stmt = con.createStatement();
        //给出sql语句,调用stmt的executeQuery(),得到ResultSet
        String sql = "select * from t_user where username ='"+username+"'and password='"+password+"'";
        System.out.println(sql);
        ResultSet rs = stmt.executeQuery(sql);

        return rs.next();
    }
    /**
     * SQL攻击
     * @throws Exception
     */
    @Test
    public void fun1() throws Exception{
        //select * from t_user where username ='a' or 'a'='a'and password='a' or 'a'='a'
        String username = "a' or 'a'='a";
        String password = "a' or 'a'='a";
        boolean bool =login(username,password);
        System.out.println(bool);
    }
    public boolean login2(String username,String password) throws Exception{
        /*
         * 一、得到Connection
         * 二、得到Statement
         * 三、得到ResultSet
         * 四、rs.next()返回的是什么,我们就返回什么
         */
        //准备四大参数
        String driverClassName = "com.mysql.jdbc.Driver";
        String url = "jdbc:mysql://localhost:3306/db1";
        String mysqlUsername = "root";
        String mysqlPassword = "123"; 
        //加载驱动类
        Class.forName(driverClassName);
        //得到Connection
        Connection con = DriverManager.getConnection(url,mysqlUsername,mysqlPassword);

        
        /*
         * 得到PreparedStatement
         * 1、给出sql模版:所有的参数使用?来替代
         * 2、调用Connection方法,得到PreparedStatement
         */
        String sql ="select * from t_user where username=? and password=?";
        PreparedStatement pstmt = con.prepareStatement(sql);

        /*
         * 二、为参数赋值 
         * 多了少了都不行会报异常
         */
        pstmt.setString(1, username);//给第一个问号赋值,值为username
        pstmt.setString(2, password);//给第二个问号赋值,值为password

        ResultSet rs = pstmt.executeQuery();//调用查询方法,向数据库发送查询语句
        return rs.next();
    }
    @Test
    public void fun2() throws Exception{
        //select * from t_user where username ='a' or 'a'='a'and password='a' or 'a'='a'
        String username = "a' or 'a'='a";
        String password = "a' or 'a'='a";
        boolean bool =login2(username,password);
        System.out.println(bool);
    }
    /**
     *测试JdbcUtils.getConnection()
     * @throws SQLException 
     * @throws IOException 
     * @throws ClassNotFoundException 
     */
    @Test
    public void fun3() throws ClassNotFoundException, IOException, SQLException{
        Connection con = JdbcUtils.getConnections();
        System.out.println(con);

        Connection con1 = JdbcUtils.getConnections();
        System.out.println(con1);

    }
}

public class JdbcUtils {
    public static Connection getConnections() throws IOException, ClassNotFoundException, SQLException{
        /*
         * 1.加载配置文件
         * 2、加载驱动类
         * 3、调用DriverManager.getConnection()
         */
        //加载配置文件
        InputStream in = JdbcUtils.class.getClassLoader()
                .getResourceAsStream("dbconfig.properties");
        Properties props = new Properties();
        props.load(in);
        //加载驱动类
        Class.forName(props.getProperty("driverClassName"));
        //得到Connection
        return DriverManager.getConnection(props.getProperty("url"),
                props.getProperty("username"),
                props.getProperty("password"));
    }
}

dbconfig.properties
这里写图片描述

/**
 * v1.0
 * @author Administrator
 *
 */

public class JdbcUtils {
    private static Properties props = null;
    //只在JdbcUtils类被加载一次
    static{
        //props进行初始化,即加载dbconfig.properties文件到props对象中
        try {
            /*
             * 1.加载配置文件
             * 2、加载驱动类
             * 3、调用DriverManager.getConnection()
             */
            //加载配置文件
            InputStream in = JdbcUtils.class.getClassLoader()
                    .getResourceAsStream("dbconfig.properties");
            props = new Properties();
            props.load(in);
        } catch (IOException e) {
            throw new RuntimeException(e);
        }
        try {
            //加载驱动类
            Class.forName(props.getProperty("driverClassName"));
        } catch (ClassNotFoundException e) {
            throw new RuntimeException(e);
        }
    }
    //获取连接
    public static Connection getConnections() throws SQLException{

        //得到Connection
        return DriverManager.getConnection(props.getProperty("url"),
                props.getProperty("username"),
                props.getProperty("password"));
    }
}
wenchi2018
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java Web学习三:JDBC连接池&DBUtils(简化JDBC的工具包)
rnang0的博客
07-19 291
Java Web学习三:JDBC连接池&DBUtils(简化JDBC的工具包)Java Web学习三:JDBC连接池&DBUtils(简化JDBC的工具包)一:连接池概述1)开发背景:2)概述3)规定(规范)二: Jdbc工具类——JdbcUtils1)作用:(2)C3P0Utils中的方法与内容(3)DBCP连接池(了解即可)1.静态代码块里:2.方法:三:测试(使用)C3P0 ...
JavaWeb基础之JdbcUtils工具类2.0
weixin_30271335的博客
09-22 123
使用c3p0连接池来改版JdbcUtils工具 1. 使用c3p0连接获取连接,使代码更加简单 1 /** 2 * 使用c3p0连接池做小工具 3 * JdbcUtils v2.0 4 * @author hui.zhang 5 * 6 */ 7 public class JdbcUtils { 8 // 配置文件的默认配置,必须给出c3...
JavaWeb基础之JdbcUtils工具类1.0
weixin_30929011的博客
09-22 233
2016年12月20日,第一次学习JDBC。看的是传智播客崔希凡老师的视频,东北口音很是风趣幽默,技术之牛让人膜拜。2017年9月21日,再次重温web知识,分享JdbcUtils工具类,用以接下来的开发更加简单 优雅...... 1. 在src下给出连接数据库的四大参数配置文件   *在src下创建dbconfig.properties文件   * 给出下列键值对(下面以mysql为例)...
JavaWeb基础之JdbcUtils工具类final
weixin_30727835的博客
09-22 206
JdbcUtils工具类3.0最终版,添加了事务相关功能和释放链接。最终版本可以直接打成jar包,在后面的基本项目都会使用该工具类 1. JdbcUtils代码 1 /** 2 * 最终版 3 * @author hui.zhang 4 * 5 */ 6 public class JdbcUtils { 7 // 配置文件的默认配置,必须给...
预编译 java_javaweb笔记—04(预编译和泛型)
weixin_32820457的博客
02-20 175
预编译:ps对象1.ps可进行预编译,占位符传值,性能高于sta的(数据库驱动层有优化)2.比较灵活,数据库将预编译的SQL缓存了,第二次访问,就不用预编译,直接执行。3.较为安全,不会发生SQL注入。4.简单,不用拼接SQL,少出错。SQL注入; select * from user where name = '"+name+"' or 1=1and pwd = '"+pwd+"' or 1=1...
JDBCUtils_JDBCutils_
10-01
在Java编程领域,数据库操作是不可或缺的一部分,而`JDBCUtils`则是开发者为了简化JDBC(Java Database Connectivity)操作常用的一种工具类。标题中的“JDBCUtils_JDBCutils_”和描述中的“自己封装的dbutils工具类...
JDBC 工具类JdbcUtils封装与测试应用(针对mysql)
05-03
本篇文章将深入探讨如何创建一个针对MySQL的JdbcUtils工具类,并进行测试应用。 首先,JdbcUtils的核心功能是管理数据库连接。为了实现这个功能,我们需要导入以下依赖: ```java import java.sql.Connection; ...
JdbcUtils项目文件打包.rar
04-02
在Java编程领域,JDBC(Java Database Connectivity)是连接数据库的标准API,而JdbcUtils则是基于JDBC的一系列实用工具类,旨在简化数据库操作,提高代码的可读性和可维护性。本项目文件打包中,我们主要探讨...
javaweb jdbc工具类.zip
05-20
3. **预编译SQL语句(PreparedStatement)**:JDBC工具类通常会推荐使用PreparedStatement来防止SQL注入,并提高执行效率。通过预编译,SQL语句可以被多次执行,且参数可以动态替换,增强了代码的安全性和可读性。 ...
JDBC数据库连接工具类
08-15
使用这个工具类时,只需在代码中调用`JdbcUtils.getConnection()`即可得到数据库连接,然后创建Statement或PreparedStatement对象进行后续操作,最后记得关闭资源。 在实际项目中,还可以考虑引入数据库连接池,如...
JAVA预编译示例代码
08-21
JAVA预编译示例代码,包括1预编译中使用like 2javaSQL预编译异常 3预编译语句支持in方式 4在预编译中遇到的问题.有了这个文档,java预编译就不用再发愁了。
SQL转Java代码小工具
11-01
因为经常在plsql写sql然后放到java 文件当成String去执行 所以经常要花时间格式化,然后找到了网上的一篇文章 ,工具非常不错: http://blog.csdn.net/isea533/article/details/9059001 后来我做了一些小的改进 包括:1。自动去除sql的注释 2。自动帮你自定义好变量
JDBC-mysql数据库工具类的实现
qq_43480321的博客
04-26 272
工具类 简单的jdbc连接数据库的操作就不介绍了,主要想说明的是这个比较方便通用的jdbc工具类。 另外:再用一张图表明什么是JDBC 目的:简化书写 分析: Ø 注册驱动也抽取 Ø 抽取一个方法获取连接对象 需求:不想传递参数(麻烦),还得保证工具类的通用性 解决:配置文件 Ø 抽取一个方法释放资源 package JDBCutil; import java.io.FileNo...
基于javaweb的商城系统一JDBCUtils类的封装
欢迎光临我的主页
11-18 104
JDBCUtils类的封装 搭框架 JDBCUtils-增删改操作 /** * 增删改操作方法,不用返回值的方法 * * @param sql sql语句 * @param params SQL语句个数不确定的 */ public static void update(String sql, Object... params) { /* 1、获取数据库的连接 2、获取statement
Javaweb14——JDBC04预编译
m0_56384168的博客
05-14 136
原始批处理添加: package com.jdbc.test; import java.sql.Connection; import java.sql.DriverManager; import java.sql.PreparedStatement; public class 原始批处理添加 { /** * 问题: * 1SQL命令书写麻烦 采用字符串拼接的方式 繁琐 * 2浪费时间 接通工具很累! * */ public static voi
javaweb笔记—04(预编译和泛型)
weixin_30363509的博客
08-05 95
预编译:ps对象1.ps可进行预编译,占位符传值,性能高于sta的(数据库驱动层有优化)2.比较灵活,数据库将预编译的SQL缓存了,第二次访问,就不用预编译,直接执行。3.较为安全,不会发生SQL注入。4.简单,不用拼接SQL,少出错。 SQL注入; select * from user where name = '"+name+"' or 1=1and pwd = '"+pwd+"'...
javawebJDBC数据查找
qq_37701945的博客
04-13 386
<%@ page language="java" contentType="text/html; charset=UTF-8"    pageEncoding="UTF-8"%><%@ page import="java.sql.*" %> <%@ page import="com.mysql.jdbc.Driver" %>
jdbc_useServerPrepStmts
maqingbin8888的专栏
02-23 5849
 原文地址 : https://yq.aliyun.com/articles/603142 for(int i=0;i<2;i++){ String sql="SELECT * FROM t_order WHERE user_id=?"; try{ Connection connection=dataSource.getConnetion(); PreparedStateme...
mysql开启 pscache_MySQL JDBC驱动程序中的cachePrepStmts和useServerPrepStmts有什么区别
weixin_35182419的博客
02-02 3119
小编典典首先,区分客户端和服务器准备好的语句很重要。客户准备的陈述客户准备的语句是“模拟”准备的语句。这意味着在客户端将SQL语句字符串标记为令牌,并且在将语句发送到服务器执行之前,所有占位符都将被文字值替换。每次执行时,完整的SQL语句都会发送到服务器。您可以使用常规日志来调查其工作原理。例如以下代码:ps=conn.prepareStatement("select ?")ps.setInt(1...
jdbcutils工具类
最新发布
07-28
对于jdbcutils工具类,它是一个用于简化Java数据库连接JDBC)操作的工具类。它提供了一些常见的方法和功能,帮助开发者更方便地进行数据库操作。 通常,jdbcutils工具类会包含以下一些主要功能: 1. 获取数据库...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值