JDBC(三)(工具类,sql注入优化,事务自动机制,悲观锁,乐观锁)

最新推荐文章于 2022-10-14 21:17:08 发布
最新推荐文章于 2022-10-14 21:17:08 发布
阅读量1.1k 收藏
点赞数 1
分类专栏: 笔记 文章标签: java ide jar
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gun_wqy/article/details/123731945
版权

工具类:

解决代码重复:

1.编写配置文件:

在src目录下创建config.properties配置文件
在这里插入图片描述

2.编写jdbc工具类:

在config.properties里面编写:

driverClass=com.mysql.jdbc.Driver
url=jdbc:mysql://127.0.0.1:3306/dbtest
username=root
password=123456

3.使用jdbc工具类优化student表CRUD操作

在项目包下面建一个utils包,然后新建一个类:把需要封装的方法写在里面

package com.www.utils;

import java.io.IOException;
import java.io.InputStream;
import java.sql.*;
import java.util.Properties;

public class JDBCUtils {
    //1.私有构造方法


    public JDBCUtils() {
    }

    //2.声明所需的配置文件
    private  static String driverClass;
    private  static String url;
    private  static String username;
    private  static String password;
    private static Connection con;
    //3.提供静态代码块,读取配置文件的信息为变量赋值,注册驱动
    static {
        try {
            //读取配置文件的信息为变量赋值
            //io流,自动从流信息中加载集合
           InputStream is =JDBCUtils.class.getClassLoader().getResourceAsStream("config.properties");
            Properties prop = new Properties();//流对象
            prop.load(is);
            driverClass=prop.getProperty("driverClass");
            url=prop.getProperty("url");
            username=prop.getProperty("username");
            password=prop.getProperty("password");
            //注册驱动
            Class.forName(driverClass);
        }catch (Exception  e){
            e.printStackTrace();
        }
    }
    //4.提供获取数据库连接方法
    public  static Connection getconnection(){
        try {
            con= DriverManager.getConnection(url,username,password);
        }catch (SQLException e){
            e.printStackTrace();
        }
              return con;
    }
    //提供释放资源方法
    public static void close(Connection con, Statement stat, ResultSet rs){
        if (con != null) {//在进行判断一下是否为null
            try {
                con.close();
            } catch (SQLException e) {
                e.printStackTrace();
            }
        }
        if (stat != null) {
            try {
                stat.close();
            } catch (SQLException e) {
                e.printStackTrace();
            }
        }
        if (rs != null) {
            try {
                rs.close();
            } catch (SQLException e) {
                e.printStackTrace();
            }
        }
    }
}

(一):提供静态代码块,读取配置文件的信息为变量赋值,注册驱动,静态代码块在该类初始化是只运行一遍;上述静态代码块类似与系统自带的注册驱动模式一样,从摸个文件中读取地址,密码信息。这样做到目的安全。其他人只需要把文件给使用者填写地址,把密码隐藏起来。

 InputStream is =JDBCUtils.class.getClassLoader().getResourceAsStream("config.properties");
            Properties prop = new Properties();//流对象
            prop.load(is);
            driverClass=prop.getProperty("driverClass");
            url=prop.getProperty("url");
            username=prop.getProperty("username");
            password=prop.getProperty("password");

如果不写这一步:
就直接把地址,密码写在再上面:代码如下:

public  static Connection getconnection(){
        try {
            con= DriverManager.getConnection(url,username,password)con = DriverManager.getConnection("jdbc:mysql://127.0.0.1:3306/dbtest", "root", "123456
        }catch (SQLException e){
            e.printStackTrace();
        }
              return con;
    }

(二):使用静态写的方法可以直接用类名调用即可;

简化后代码:

package com.www;
import com.www.utils.JDBCUtils;
import java.beans.Statement;
import java.sql.Connection;
import java.sql.Driver;
import java.sql.DriverManager;
import java.sql.ResultSet;

public class JDBCDemo1 {

    public static void main(String[] args) throws Exception{
        Connection con=null;
//    第一步:注册驱动://调用JDBC工具自动加载静态代码块  
//    第二步:获取连接
       con=JDBCUtils.getconnection();
//    第三步:获取数据库操作对象
        java.sql.Statement  stat =  con.createStatement();
//    第四步:执行sql语句
        String sql ="SELECT * FROM employees";
        ResultSet rs= stat.executeQuery(sql);
//    第五步:处理查询结果集
        while(rs.next()){
  System.out.println(rs.getInt("employee_id")+"\t"+rs.getString("last_name"));
        }
    第六步:释放资源(使用完一定要关闭)
        JDBCUtils.close(con,stat,rs);
    }
}

sql注入优化

1.什么是sql注入:

例如:用户名乱填,密码为’or 1=1-,这种情况下点击登录按钮后竟然成功登录了。我们看一下最终的SQL就会找到原因:
SQL语句参数化的登录语句是这样的

Select * From  Where mytest UserName=xxx and Password=xxx

然后判断返回的行数,如果有返回行,证明账号和密码是正确的,即登录成功,而这样的语句的话,就很容易被注入代码,直接在密码框输入’or 1=1-,那么它的登录语句就会变成

"Select * From mytest Where UserName='xxx' and Password='aaa'or 1=1-'"

从代码可以看出,前一半单引号被闭合(‘aaa’),后一半单引号被 “–”给注释掉,中间多了一个永远成立的条件1=1,这就造成任何字符都能成功登录的结果。而Sql注入的危害却不仅仅是匿名登录。

**2.优化;

案例:**

import org.junit.Test;

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.ResultSet;
import java.sql.Statement;
import java.util.HashMap;
import java.util.Map;
import java.util.Scanner;

import static sun.security.jgss.GSSUtil.login;

public class JDBCtest  {
    public static void main(String[] args) {
        //初始化一个页面
       Map<String,String> userLoginInfo = initUI();
        //验证用户和密码
        boolean loginSuccess=login(userLoginInfo);
        //输出结构
        System.out.println(loginSuccess ? "登陆为真":"登陆失败");
    }
    /**
     * 用户登陆
     * @ruturn false 表示失败,ture 表示成功
     */
    @Test
    private static boolean login(Map<String, String> userLoginInfo) {
        //打标记
        boolean loginSuccess =false;
        Connection con =null;
        Statement stat = null;
        ResultSet rs = null ;

        //注册驱动,也可以省略
        try {
        //获取连接
             con= DriverManager.getConnection("jdbc:mysql://127.0.0.1:3306/mytest","root","123456");
        //获取数据库作对象
                stat=con.createStatement();
        //执行sql
            String sql ="SELECT * FROM t_user WHERE loginName='"+userLoginInfo.get("username")+"'and loginPwd='"+userLoginInfo.get("password")+"'";
            rs =stat.executeQuery(sql);
            //处理结果
            if(rs.next()){
                //登陆成功
                loginSuccess =true;
            }
        //
        //
    }catch (Exception e){
        e.printStackTrace();
    }finally {
            if(con!=null){
                try {
                    con.close();
                }catch(Exception e){
                    e.printStackTrace();
                }
            }
            if(stat!=null){
                try {
                    con.close();
                }catch(Exception e){
                    e.printStackTrace();
                }
            }
            if(rs!=null){
                try {
                    con.close();
                }catch(Exception e){
                    e.printStackTrace();
                }
            }
            return loginSuccess;
        }

    }


    /**
     * 初始化用户页面
     * @return 用户输入的用户名和密码等相关登陆信息
     */
    private static Map<String,String> initUI() {
        Scanner sc = new Scanner(System.in);
        System.out.println("用户名");
        String loginName= sc.nextLine();
        System.out.println("密码");
        String loginPwd= sc.nextLine();
        Map<String ,String> userLoginInfo =new HashMap<>();
        userLoginInfo.put("loginName",loginName);
        userLoginInfo.put("loginPwd",loginPwd);
        return userLoginInfo;
    }
}

优化:


     * 用户登陆
     * @ruturn false 表示失败,ture 表示成功
     */
    @Test
    private static boolean login(Map<String, String> userLoginInfo) {
        //打标记
        boolean loginSuccess =false;
        Connection con =null;
        PreparedStatement ps =null;//PreparedStatement是预编译数据库操作对象
        ResultSet rs = null ;
       String loginName= userLoginInfo.get("loginName");
        String loginPwd = userLoginInfo.get(" loginPwd ");
        //注册驱动,也可以省略
        try {
        //获取连接
             con= DriverManager.getConnection("jdbc:mysql://127.0.0.1:3306/mytest","root","123456");
//        //获取预编译的数据库作对象

            //一个问号表示一个占位符,一个问号只接收一个值,占位符不能使用单引号扩起来
            String sql ="SELECT * FROM t_user WHERE loginName=? and  loginPwd=?";//PreparedStatement中sql框架
            //该出会发送sql框子给DBMS,然后DBMS进行sql语句的预先编译
            ps= con.prepareStatement(sql);
            //给占位符?传值,第一个问号是1,第二个问号是2
            ps.setString(1,loginName);
            ps.setString(2,loginPwd);
            //执行sql
            rs=ps.executeQuery();
            //处理结果
            if(rs.next()){
                //登陆成功
                loginSuccess =true;
            }
      
    }catch (Exception e){
        e.printStackTrace();
    }finally {
            if(con!=null){
                try {
                    con.close();
                }catch(Exception e){
                    e.printStackTrace();
                }
            }
            if(ps!=null){
                try {
                    ps.close();
                }catch(Exception e){
                    e.printStackTrace();
                }
            }
            if(rs!=null){
                try {
                    con.close();
                }catch(Exception e){
                    e.printStackTrace();
                }
            }
            return loginSuccess;
        }

    }

解决:只要用户提空信息不参与sql语句的编译过程就行,即使有sql语句关键字,不参与过程就不起作用。
PreparedStatement是预编译数据库操作对象,然后在传值;

3.Statement和PreparedStatement区别及应用:

关系:PreparedStatement继承自Statement,都是接口
**区别:**1.PreparedStatement可以使用占位符,是预编译的,批处理比Statement效率高
详解:
2.statement每次执行sql语句,相关数据库都要执行sql语句的编译,preparedstatement是预编译得,preparedstatement支持批处理

应用:

preparedstatement用于密码登陆,
statement应用于需要注入的,例如选择按照降序还是升序进行查询信息;

select id from emplees where order by id desc
select id from emplees where order by id ?
select id from emplees where order by id key

如果是占位符编译时会将?的内容变成select id from emplees where order by id ’ desc’,所以之前写?时不需要单引号;程序无法识别 ’ desc’是啥
故这里面只能应用statement,key就可以直接转换成desc

事务自动机制

在执行数据库更行的时候,都是默认的自动提交数据的,但是有很多时候,我们不能设置默认提交,生活中最常见就是,你给某人转钱,你的钱已经转出去了,但是对方在收款的时候却出现了某些问题,导致对方账户上的钱并没有增加,这个时候,为了防止问题的发生,我们就不能设置数据库默认提交。要手动提交并加锁,要不一次性成功,要不都不成功

  * 用户登陆
     * @ruturn false 表示失败,ture 表示成功
     */
    @Test
    private static boolean login(Map<String, String> userLoginInfo) {
        //打标记
        boolean loginSuccess =false;
        Connection con =null;
        PreparedStatement ps =null;//PreparedStatement是预编译数据库操作对象
        ResultSet rs = null ;
       String loginName= userLoginInfo.get("loginName");
        String loginPwd = userLoginInfo.get(" loginPwd ");
        //注册驱动,也可以省略
        try {
        //获取连接
             con= DriverManager.getConnection("jdbc:mysql://127.0.0.1:3306/mytest","root","123456");
//        //获取预编译的数据库作对象

            //一个问号表示一个占位符,一个问号只接收一个值,占位符不能使用单引号扩起来
            String sql ="SELECT * FROM t_user WHERE loginName=? and  loginPwd=?";//PreparedStatement中sql框架
            //该出会发送sql框子给DBMS,然后DBMS进行sql语句的预先编译
            ps= con.prepareStatement(sql);
            //给占位符?传值,第一个问号是1,第二个问号是2
            //一次传值;
            ps.setString(1,loginName);
            ps.setString(2,loginPwd);
            
            //第二次传值
            ps.setString(1,loginName);
            ps.setString(2,loginPwd);
            //执行sql
            rs=ps.executeQuery();
            //处理结果
            if(rs.next()){
                //登陆成功
                loginSuccess =true;
            } 
    }

上述代码中第一次传值默认的自动提交数据的,在等到第二次传值是,中间有个异常,第二个数据就没修改,就类似转账一样:

解决方案:

不让他自动提交,改为手动提交
在前面关闭获取预编译的数据库作对象添加con=setAtutoCommit(false),参数false为开启事务,所有传值结束后添加con.commit(),自己手动提交事务;con.close()改为回滚事务con.rollback()

悲观锁:

SELECT job,salary   FROM t_user WHERE job='aaa' for update;

这段语句后面加for update,表示某个事务结束前job为‘aaa’的数据不能修改。

**乐观锁:**可以并发运行,但是在数据后面有个标识版本1.0,原第一人改了数据就添加版本为号2.0,又来一个人修改数据,看见版本号为2.0,认为有人修改了数据,所有他就回滚数据。

gun_wqy
关注
专栏目录
oracle jdbc
03-28
6. 多版本并发控制:支持乐观锁悲观锁,确保在多用户环境中数据的一致性和完整性。 7. JTA(Java Transaction API)集成:支持全局事务管理,确保分布式事务的正确性。 8. 回滚和提交:提供Connection对象的...
MySQL事务/事务数据库底层数据/多点回滚/隔离级别/悲观锁乐观锁/锁模式和分类/相关锁总结/JDBC事务实现
最新发布
↫/(ㄒoㄒ)/~~不太会打代码的搬运工↬
11-19 603
MySQL事务/事务数据库底层数据/多点回滚/隔离级别/悲观锁乐观锁/锁模式和分类/相关锁总结/JDBC事务实现 并发写问题 串行化 幻读问题 事务隔离性 隔离级别的范围 总结隔离等级
gss java_Java GSSUtil.login方法代码示例
weixin_31852627的博客
03-06 182
import sun.security.jgss.GSSUtil; //导入方法依赖的package包/类/*** Retrieve the service ticket for serverPrincipal from caller's Subject* or from Subject obtained by logging in, or if not found, via the* Ticke...
JDBC悲观锁乐观锁
aiwokache的博客
08-30 357
JDBC悲观锁乐观锁 1.悲观锁乐观锁的概念 1.1悲观锁 悲观锁就是比较悲观。我在拿一条记录时,生怕别人修改这条记录,于是就把它锁住,不让别人用。直到我使用完才解锁。 悲观锁的语法格式是: select ... from ... where ... for update; 如: select empno,ename,job,sal from emp where empno = 7499 for update; 在mysql中,当使用for update语句时,决定行锁还
JDBC事务+工具类+行级锁for update
small_py_trade的博客
10-14 515
因为JDBC事务自动提交的,所以上述事务中A执行了而B没有执行,从而发生错误。因此在实际开发中需要关闭JDBC自动提交机制,改成手动提交。在获得数据库连接后就要关闭自动提交。模拟一个JDBC事务,实现A账户向B账户转账一万。A账户减去一万和B账户加上一万,必须同时成功或者失败。在正常执行结束后,在上述程序try语句块最后设置手动提交。出现异常,在try语句块进行回滚。
java回顾:JDBC工具类事务SQL注入
m0_56678122的博客
10-11 477
JDBC工具类事务SQL注入
提高Java数据库访问效率的策略研究.zip
10-16
3. 乐观锁/悲观锁:根据业务场景选择合适的锁定策略,减少并发冲突。 七、监控与调优工具 1. SQL分析:使用如JProfiler、VisualVM等工具进行性能分析,找出慢查询并优化。 2. 数据库性能监控:监控数据库的CPU、...
CS330:CSCI330 的作业
07-04
学生可能需要分析并发操作的冲突,并学习如何使用乐观锁悲观锁策略来解决这些问题。 数据库的安全性包括用户权限管理、数据加密和防止SQL注入攻击。了解如何设置用户角色、权限,以及如何编写安全的预编译SQL语句...
mybatis-plus 实践及架构原理
12-11
8. **乐观锁/悲观锁**:提供乐观锁悲观锁的支持,用于并发控制,保证数据的一致性。 9. **主键生成策略**:支持 ID_WORKER(雪花算法)、ID_WORKER_UUID(UUID 生成策略)等多种主键生成策略,方便设置自增主键。...
Java面试宝典2018-最全面试资料
01-20
3. **事务与并发控制**:ACID属性,锁机制乐观锁悲观锁。 4. **数据库优化**:查询优化,存储过程,分区表,读写分离。 **Java框架**: 1. **Spring框架**:依赖注入,AOP(面向切面编程),事务管理,Spring ...
防止sql注入工具类l
03-22
NULL 博文链接:https://kaka100.iteye.com/blog/1004594
SQL注入问题及解决方法、JDBC事务处理
quwenjing_blog
10-19 346
SQL注入 利用非法的SQL拼接来达到入侵数据库的目的。 示例: 数据库中用户信息: 以登录为例: public class User { /* 登陆方法 */ boolean doLogin(String name,String passwd){ boolean result = false; try { //加载数据库驱动 Class.forName("co.
2.jdbc工具类SQL注入攻击和JDBC事务
hutc_Alan的博客
05-13 357
4.JDBC工具类 抽取工具类 1)编写配置文件 在src目录下创建config.properties配置文件 driverClass=com.mysql.cj.jdbc.Driver url=jdbc:mysql://192.168.1.224:3306/db14 username=root password=123456 2)编写jdbc工具类 utils文件下(JDBCUtils.java) package jdbc01.utils; import com.mysql.cj.protocol.Re
JDBC之【悲观锁乐观锁
weixin_48485216的博客
04-17 191
行级锁(悲观锁) 1、如果在select后加for update,则查询结果的行会被锁住,在当前事务未结束前,其他事务不能对这几行数据进行操作。 2、事务必须排队执行,不允许并发。 乐观锁 1、支持并发,事务也不需要排队,只不过需要一个版本号。 ...
事物处理机制---乐观锁(version详细使用)和悲观锁
yansong_8686的专栏
09-16 9411
下面先就乐观锁悲观锁的概念及基本用法做下介绍,因为网上的已经比较详细,就直接摘抄了  锁( locking )  业务逻辑的实现过程中,往往需要保证数据访问的排他性。如在金融系统的日终结算  处理中,我们希望针对某个 cut-off 时间点的数据进行处理,而不希望在结算进行过程中  (可能是几秒种,也可能是几个小时),数据再发生变化。此时,我们就需要通过一些机  制来保证这些数据在某个
JDBC事务工具类
weixin_42370899的博客
11-26 239
JDBC事务工具类 工具类(使用c3p0默认配置) import com.mchange.v2.c3p0.ComboPooledDataSource; import javax.sql.DataSource; import java.sql.Connection; import java.sql.SQLException; public class JDBCUtils { private...
SQL注入及解决方案
m0_54356563的博客
10-14 3342
目录 SQL注入问题及解决方案 SQL注入问题解决方案: JDBC处理事务 1、SQL注入问题及解决方案 SQL注入:利用非法的SQL拼接来达到入侵数据库的目的 以登录为例: /** * 登录方法 */ boolean doLogin(String name, String passwd) { boolean result = false; try { //1、加载数据库驱动 MySQL-》com.my
JDBC基本概念 工具类 以及控制事务
z1766042975的博客
02-05 235
JDBCJDBC的基本概念 JDBC的基本概念 概念:(Java Database Connectivity) java数据库连接,java语言操作数据库 JDBC本质:其实是官方(sun)定义的一套操作所有关系型数据库的规则,即接口.各个数据库厂商实现这套接口,提供数据库驱动jar包我们可以使用这套(JDBC)编程,真正执行的代码是驱动jar包中的实现类 快速入门: 步骤: 导入驱动jar包 注册驱动 获取数据库连接对象 获取执行sql语句的statement对象 定义sql语句 执行sql 处
JDBCUtils工具类事务
weixin_43343423的博客
07-25 285
package com.sy.utils; import java.sql.Connection; import java.sql.DriverManager; public class JDBCUtil { private static final ThreadLocal<Connection> THREAD_LOCAL = new ThreadLocal<Co...
JDBC工具类封装与优化实践
优化工具类时,可以考虑以下几点: - 使用`try-with-resources`语句自动关闭资源,避免资源泄露。 - 提供批量处理方法,提高执行效率。 - 封装成静态方法,简化调用。 - 添加日志记录,便于追踪错误。 - 使用连接...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

gun_wqy

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值