JDBC连接MySQL数据库初探

最新推荐文章于 2024-02-04 11:08:02 发布
最新推荐文章于 2024-02-04 11:08:02 发布
阅读量659 收藏 2
点赞数
分类专栏: Java 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liulizhi1996/article/details/119361007
版权

一、第一个JDBC程序

要通过Java编写程序访问并操纵数据库,需要JDBC的帮助。JDBC一般指Java数据库连接,即Java Database Connectivity,是Java语言中用来规范客户端程序如何来访问数据库的应用程序接口,相当于应用程序与数据库间的一座桥梁。

要使得程序能够与某一品牌的数据库成功建立联系,需要下载相应数据库厂商提供的JDBC jar包。本文以MySQL为例,读者需要自行从https://dev.mysql.com/downloads/connector/j/上下载数据库对应版本的jar包,然后将其添加入Java项目的Library中。

下面的程序实现了对MySQL数据库中item表的查询操作:

import java.sql.*;

public class Main {
    public static void main(String[] args) throws ClassNotFoundException, SQLException {
        // 1. 加载驱动
        Class.forName("com.mysql.cj.jdbc.Driver");

        // 2. 连接数据库
        String url = "jdbc:mysql://localhost/TestMySQL?useUnicode=true&characterEncoding=utf8&useSSL=true";
        String user = "root";
        String password = "123456";
        Connection conn = DriverManager.getConnection(url, user, password);

        // 3. 创建数据库对象
        Statement stat = conn.createStatement();

        // 4. 编写SQL语句
        String sql = "SELECT `id`, `name`, `price`, `production_date` FROM `item`";

        // 5. 执行SQL语句并获取数据
        ResultSet rs = stat.executeQuery(sql);
        System.out.println("id\t\tname\tprice\tproduction_date\n" +
                           "------------------------------------------");
        while (rs.next()) {
            String id = rs.getString("id");
            String name = rs.getString("name");
            float price = rs.getFloat("price");
            java.util.Date date = rs.getDate("production_date");

            System.out.println(id + "\t" + name + "\t" + price + "\t" + date);
        }

        // 6. 释放链接
        rs.close();
        stat.close();
        conn.close();
    }
}

实现对数据库的连接与操纵可以归纳为6个步骤:

1. 加载驱动

Class.forName("com.mysql.cj.jdbc.Driver");

这一语句通过反射机制,输入MySQL的JDBC驱动类名,将类进行加载。而这个com.mysql.cj.jdbc.Driver类的内容为:

public class Driver extends NonRegisteringDriver implements java.sql.Driver {
    public Driver() throws SQLException {
    }

    static {
        try {
            DriverManager.registerDriver(new Driver());
        } catch (SQLException var1) {
            throw new RuntimeException("Can't register driver!");
        }
    }
}

根据Java类的加载机制,当执行反射语句时,JVM会执行其中的静态语句块(即static部分),而语句块中的内容事实上就是新建一个驱动对象。通过反射这种方式,我们就成功的隐式的将驱动加载到DriverManager中。

2. 连接数据库

Connection conn = DriverManager.getConnection(url, user, password);

上述语句中第一个参数是要连接到数据库的地址,如:

"jdbc:mysql://localhost/TestMySQL?useUnicode=true&characterEncoding=utf8&useSSL=true"

打头的“jdbc:mysql://”是固定写法,后跟的“localhost”表示本地主机,当然你也可以换成远程主机的IP地址,再后的“TestMySQL”表示要使用的Schema名,问号?后面的为连接参数:1)useUnicode表示使用Unicode编码;2)characterEncoding表示字符集编码为utf8;3)useSSL表示使用SSL安全连接。当然,这里还有很多其它参数,可以根据需要进行设置。

3. 创建数据库对象

Statement stat = conn.createStatement();

这里我们通过调用Connection对象的createStatement方法,建立了一个Statement对象,它相当于一个我们对数据库进行操作的“操作臂”。

4. 编写SQL语句

这一步我们就将要执行的SQL语句赋予String对象。

5. 执行SQL语句并获取数据

首先,我们通过执行Statement对象的executeQuery方法,执行查询语句,并得到ResultSet类的返回结果。假如要执行Insert、Delete、Update等DML语句,则可以调用executeUpdate方法。

ResultSet rs = stat.executeQuery(sql);

ResultSet对象有点类似于一个链表,将一行行返回结果依次排列。要从中取出数据,可以调用ResultSet对象的getX方法,这里X指代相应的数据类型。例如,我们要获取第一个字段的数据,在数据库中它是一个varchar类型,那么对应到Java中就是String类型,所以调用getString方法:

String id = rs.getString("id");

其中,方法的参数为数据库中相应字段的名字。

要判断ResultSet对象取数是否完毕,可以通过调用ResultSet的next方法,判断是否还有下一条语句。

6. 释放连接

上面我们建立了Connection、Statement和ResultSet对象,运行结束前需要依次调用它们的close方法释放连接。请注意释放的顺序,后申请的要先释放。

二、Statement对象无法抵御SQL注入

SQL注入即是指应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。

假如现在item数据库中有如下3条数据:

现在我们需要用户输入要查询的商品名称,然后程序从数据库中进行查询并输出该商品的价格和生产日期。

import java.sql.*;
import java.util.Scanner;

public class Main {
    public static void main(String[] args) throws ClassNotFoundException, SQLException {
        // 1. 加载驱动
        Class.forName("com.mysql.cj.jdbc.Driver");

        // 2. 连接数据库
        String url = "jdbc:mysql://localhost/TestMySQL?useUnicode=true&characterEncoding=utf8&useSSL=true";
        String user = "root";
        String password = "961010";
        Connection conn = DriverManager.getConnection(url, user, password);

        // 3. 创建数据库对象
        Statement stat = conn.createStatement();

        // 4. 执行SQL语句并获取数据
        System.out.print("Enter the query product: ");
        Scanner scanner = new Scanner(System.in);
        String query_name = scanner.nextLine().trim();
        // 注意:这里使用了字符串拼接,将SELECT语句与用户输入的查询商品名拼在一起
        ResultSet rs = stat.executeQuery("SELECT `price`, `production_date` FROM `item` WHERE `name` = '" + query_name + "'");
        System.out.println("price\tproduction_date\n" +
                           "------------------------");
        while (rs.next()) {
            float price = rs.getFloat("price");
            java.util.Date date = rs.getDate("production_date");

            System.out.println(price + "\t" + date);
        }

        // 5. 释放链接
        rs.close();
        stat.close();
        conn.close();
    }
}

例如,用户输入了beer,则程序的输出结果为:

但是,假如一名黑客输入了这样一串字符串:' OR '1'='1 

则输出结果居然是数据库中的所有数据:

事实上,程序执行的SQL被拼接成了这样:

SELECT  `price`, `production_date` FROM `item` WHERE `name` = '' OR '1' = '1'

由于'1' = '1'一定成立,OR条件便整体成立,于是WHERE字句就失去作用,变成了将item表中所有数据都取出。

三、使用PreparedStatement防止SQL注入

要防止可能的SQL注入,我们可以使用PreparedStatement替换上面的Statement。

import java.sql.*;
import java.util.Scanner;

public class Main {
    public static void main(String[] args) throws ClassNotFoundException, SQLException {
        // 1. 加载驱动
        Class.forName("com.mysql.cj.jdbc.Driver");

        // 2. 连接数据库
        String url = "jdbc:mysql://localhost/TestMySQL?useUnicode=true&characterEncoding=utf8&useSSL=true";
        String user = "root";
        String password = "961010";
        Connection conn = DriverManager.getConnection(url, user, password);

        // 3. 编写SQL模版,使用问号?占位符表示待填充的内容
        String sql = "SELECT `price`, `production_date` FROM `item` WHERE `name` = ?";

        // 4. 创建数据库对象
        PreparedStatement stat = conn.prepareStatement(sql);

        // 4. 执行SQL语句并获取数据
        System.out.print("Enter the query product: ");
        Scanner scanner = new Scanner(System.in);
        String query_name = scanner.nextLine().trim();
        // 将query_name填充进第1个占位符的位置,类型为String
        stat.setString(1, query_name);
        // 这里就不再需要将SQL语句作为参数传入了,因为事先已经经过编译存储在stat中了
        ResultSet rs = stat.executeQuery();
        System.out.println("price\tproduction_date\n" +
                           "------------------------");
        while (rs.next()) {
            float price = rs.getFloat("price");
            java.util.Date date = rs.getDate("production_date");

            System.out.println(price + "\t" + date);
        }

        // 5. 释放链接
        rs.close();
        stat.close();
        conn.close();
    }
}

需要注意的几个点:

1. 我们现在需要写好SQL模版,并将待填入的内容用问号“?”占位符空出,而不再使用字符串拼接这样危险的方式。

2. 需要在准备statement时就将SQL模版作为参数,传入prepareStatement方法中。

3. 不再需要将SQL语句作为参数传入executeQuery/executeUpdate方法中了,因为事先已经经过编译存储在stat中了。

我们现在来测试一下危险的破坏性输入,看看运行结果:

 此时,程序没有给出任何查询结果,这正是我们所需要的。

事实上,prepareStatement对象防止sql注入的方式是把用户非法输入的单引号用反斜杠“\”做了转义。例如,上面的输入被处理后的实际查询语句为:

SELECT `price`, `production_date` FROM `item` WHERE `name` = '\' OR \'1\' = \'1'

即name条件是" \' OR \'1\' = \'1  " 或者说是" ' OR '1' = '1 "。在数据库显然不会有一个商品会叫" ' OR '1' = '1 "这个名字,因此也就查不到数据了。

liulizhi1996
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
JSP使用JDBC连接MYSQL数据库的方法
01-08
本文实例讲述了JSP使用JDBC连接MYSQL数据库的方法。分享给大家供大家参考,具体如下: 1. 可在 http://www.mysql.com/products/connector-j/index.html下载MySQL JDBC驱动程序mysql-connector-java-*.jar,如我下载的...
Postgresql jdbc scheme设置
Dream - to be coder
11-17 2582
Postgresql jdbc scheme设置
数据库学习之-JDBC和XML的学习笔记
chenxi0905的博客
09-27 533
JDBC和XML的学习JDBCJDBC的概述SQL注入问题预处理对象JDBC 控制事务 JDBC JDBC的概述 JDBC(Java Data Base Connectivity) 是 Java 访问数据库的标准规范.是一种用于执行SQL语句的Java API,可以为多种关系数据库提供统一访问,它由一组用Java语言编写的类和接口组成。是Java访问数据库的标准规范。 JDBC是接口,驱动是接口的实现,没有驱动将无法完成数据库连接,从而不能操作数据库!每个数据库厂商都需要提供自己的驱动,用来连接自己公司的数
JDBC教程:JDBC连接Mysql数据库超详细讲解(从入门到熟练使用)
最新发布
kkkyyy0817的博客
02-04 2618
带你快速入门掌握!包括导包步骤以及功能类详解、增删改查(CRUD)、sql注入、事务、连接池...
使用 jdbc 实现一个用户访问多个 schema 下的表
天道酬勤
11-28 2526
一、想实现这样的场景 假设我们在做一个工具,工具有两个模块,一个模块是数据源模块,一个模块是数据查询模块。 数据源模块负责配置一些 url,用户名,密码之类的参数,数据查询模块使用这些参数,去查询数据。 假设现在有一个数据库,有好多 schema,每一个 schema 都有可能被查询,这个时候,得要去数据源那边,为每一个 schema 配置一个连接参数。 二、这是我们不想要的,如何优化 可以使用 alter session set current_schema = my_schema 这样的语法,在一个用户
JDBC基本知识
08-20 116
JDBC的作用 JDBC为java访问数据库提供通用的API,可以为多种关系数据库提供统一访问。因为SQL是关系式数据库管理系统的标准语言,只要我们遵循SQL规范,那么我们写的代码既可以访问MySQL又可以访问SQL Server. 简单的说,JDBC可以做三件事: 与数据库建立连接 发送SQL语句 处理结果 JDBC中重要的类 java.sql.DriverMan...
JDBC 连接串中指定当前 schema(含 Oracle, DB2, PostgreSQL 和 SQLServer)
一叶不知秋
03-03 6204
现在流行数据都有 Schema 的概念,一般作为数据库对象(表,函数,存储过程等)的命名空间。所以在数据库端往往存在 实例/数据库/Schema 这样层级划分。对于 DB2 和 Oracle 用客户端创建一个新的数据库并非易事,灵活的在数据库中较轻量的划分隔离空间的办法因数据库类型而异 MySQL: 创建数据库(create database), create schema 是 create database的别名 PostgreSQL: create database 创建新的数据库,或在当前数据..
mysql连接串指定schema_使用JDBC连接ORACLE时如何指定SCHEMA | 学步园
weixin_39949506的博客
02-04 4381
出于安全等因素考虑,分配给应用使用的数据库连接用户一般不是数据库的创建者(DBO/SCHEMA/CATALOG),应用在访问数据时需要指定其所在的空间,例如:select*frombbasys.t_trans_profileorderbytransseqno这个空间在Oracle中称为Schema。显然在应用中所有的SQL语句中都要加上Schema是一件繁琐的事情,SQL SERVER...
JDBC连接MySQL数据库
weixin_49880184的博客
03-12 206
JDBC
MYSQL-JDBC简介
Schwertlilien的小屋
10-19 1343
即使用java语言操作关系型数据库的一套API。
Java连接数据库Mysql
CSDN 精品推荐
11-18 293
文章目录一、Java连接数据库二、代码实现 一、Java连接数据库 1.首先下好JDBC驱动,导入自己的Java项目中 2.然后运行下面的代码 二、代码实现 Connection conn; String driverName="com.mysql.cj.jdbc.Driver";//这里是固定的 String url = "jdbc:mysql://localhost:3306/name?serverTimezone=UTC";//将name换为想要连接数据库 String name="r
jdbc详解 mysql_JDBC连接MySQL详解
weixin_34028581的博客
02-05 364
Java数据库连接,(Java Database Connectivity,简称JDBC)是Java语言中用来规范客户端程序如何来访问数据库的应用程序接口,提供了诸如查询和更新数据库中数据的方法,JDBC主要就是与数据库建立连接,然后发送 SQL 语句,处理结果。其中JDBC连接数据库的典型代表就是MySQL数据库,本文我们就来介绍JDBC连接MySQL的详尽过程。1.加载及注册JDBC驱动程序C...
Java 通过JDBC连接Mysql数据库
09-03
本文给大家详细介绍了java如何使用JDBC连接Mysql的方法以及驱动包的安装,最后给大家附上了java通过JDBC连接其他各种数据库的方法,有需要的小伙伴可以参考下。
Java使用jdbc连接MySQL数据库实例分析
08-27
主要介绍了Java使用jdbc连接MySQL数据库,结合实例形式分析了Java基于jdbc链接mysql的相关配置及工具类的定义相关操作技巧,需要的朋友可以参考下
Java基于jdbc连接mysql数据库操作示例
08-29
主要介绍了Java基于jdbc连接mysql数据库操作,结合完整实例形式分析了java使用jdbc连接mysql数据库的具体步骤与相关注意事项,需要的朋友可以参考下
JDBC连接MySql数据库步骤 以及查询、插入、删除、更新等
08-27
主要介绍了JDBC连接MySql数据库步骤,以及查询、插入、删除、更新等十一个处理数据库信息的功能,需要的朋友可以参考下
Java多线程编程——生产者消费者问题
荔枝的FM
07-25 4535
一、问题介绍 生产者消费者问题是一个经典的多线程同步问题。该问题描述了两个进程——即所谓的“生产者”和“消费者”——在实际运行时会发生的问题。生产者的主要作用是不断的生成数据,而与此同时,消费者则不断消耗这些数据。该问题的关键就是要保证当生产者生产了产品后,若消费者还没有消费此产品,则生产者停止生产并等待,直到消费者消费了此产品;当消费者消费了产品后,若生产者还没有及时生产新的产品,则消费者停止消费并等待,直到生产者生产了新产品。本文为了简单起见,只介绍单生产者—单消费者模式。 二、解决方案一:管程
厦大计算机系Java程序设计实验(三)
荔枝的FM
01-19 3555
习题1 三角形类题目描述:从课本的GeometricObject类继承一个Triangle 类,并满足下列条件:有3个私有double成员表示三条边,默认长度为1.0;有1个无参构造方法,用于创建默认三角形;有1个3参数构造方法,用于创建指定三角形,不需要考虑3边非法的情况;有1个getArea(),1个getPerimeter() 分别返回三角形的面积和周长;有1个toString()方法返回三
Java Web开发——利用HttpServletResponse进行文件下载
荔枝的FM
08-11 2152
现在我们希望访问一个Servlet服务,从服务器上下载一个文件到本地,这可以使用HttpServletResponse进行实现,具体代码如下: import javax.servlet.ServletException; import javax.servlet.ServletOutputStream; import javax.servlet.http.HttpServlet; import javax.servlet.http.HttpServletRequest; import javax.ser
jdbc连接mysql数据库
11-19
以下是使用JDBC连接MySQL数据库的步骤: 1. 下载并安装MySQL数据库,确保数据库已经启动。 2. 下载并安装Java开发环境(JDK)。 3. 下载并安装MySQL JDBC驱动程序。 4. 在Java代码中导入MySQL JDBC驱动程序。 5. ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值