JDBC学习

于 2019-05-09 16:24:53 发布
阅读量95 收藏
点赞数 1
分类专栏: java后端开发
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37166734/article/details/90040453
版权

JDBC是一个访问各大数据库的接口,专为java程序访问数据库而出品,学习web开发,JDBC是必不可少的临门一脚,因为web系统基本都需要连接数据库。

1.原始jdbc访问数据库(没有封装过)

步骤:1.装载驱动程序 2.建立数据库连接 3.执行数据库语句 4.获取执行结果 5.清理环境

以下以book图书表的按类型查找类型为例子:

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.util.ArrayList;
import java.util.List;

/**
 * Created by *** on 2017/10/22.
 */
public class OriginalJDBC {
    private final static String DRIVEFORNAME = "com.mysql.jdbc.Driver";
    private final static String URL = "jdbc:mysql://localhost:3306/book";
    private final static String USERNAME = "root";
    private final static String PASSWORD = "1234";

    /**
     * 查找type="{}"的数据
     *
     * @return
     */
    public List<Book> findByType(String type) {
        //初始化
        Connection con = null;
        PreparedStatement pstmt = null;
        String sql = null;
        ResultSet rs = null;
        List<Book> bookList = new ArrayList<Book>();

        try {
            //装载驱动程序
            Class.forName(DRIVEFORNAME);
            //建立数据库连接
            con = DriverManager.getConnection(URL, USERNAME, PASSWORD);
            //编写sql,参数用?代替
            sql = "select * from bookta where type=?";
            //获得语句对象,承载sql语句
            pstmt = con.prepareStatement(sql);
            //设置参数
            pstmt.setString(1, type);
            //执行sql语句
            rs = pstmt.executeQuery();
            //获取执行结果
            while (rs.next()) {
                Book book = new Book();
                //数据库记录->实体对象
                book.setIsbn(rs.getString(1));
                book.setTitle(rs.getString(2));
                book.setType(rs.getString(3));
                book.setPrice(rs.getDouble(4));
                //对象加入集合
                bookList.add(book);
            }
        } catch (Exception e) {
            e.printStackTrace();
        } finally {
            //finally代码块特点:抛出异常也会运行
            //负责关闭资源,先申请的资源的后关闭,此处代码有误,应该先关闭rs对象
            try {
                if (con != null) {
                    con.close();
                }
                if (pstmt != null) {
                    pstmt.close();
                }
                if (rs != null) {
                    rs.close();
                }
            } catch (Exception e1) {
                //ignore
            }
            return bookList;
        }
    }
}

亮点:(1).清理环境(关闭资源),无论是jdbc的哪一步骤出现了异常,代码总能使用finally代码块将已申请的资源释放掉,假如系统使用过程中出现了bug,就不会产生连接等资源的堆积,造成系统性能变差,适合在上线时候使用。

(2)与一步骤一try catch(写上通俗易懂的异常提醒)相比,此代码块将步骤全都放在一个try catch块内,异常提示能力虽然有待提高,但资源做到了创建一个关闭一个,一步骤一try catch并没有去关闭异常出现前的创建好的资源,一旦此处出现异常,数据访问一多,系统未释放的资源数变多,性能就变差,当然,一般是在开发阶段使用,服务器关闭资源就被释放了,不会出现这样情况。

测试:

public class Test {
    public static void main(String[] args) {
        //测试
        OriginalJDBC originalJDBC=new OriginalJDBC();
        List<Book> bookList =originalJDBC.findByType("文学");
        //遍历
        for(Book book:bookList){
            System.out.println(book.getTitle()+"这本书价格为"+book.getPrice());
        }
    }
}

2.sql注入

sql注入是使用拼接sql语句造成的一种数据库漏洞,“不法分子”改变sql语义来获取数据库信息,比如登录验证,select * from user where username="张三" and password="123" 种的username前台填成张三' or 1=1;-- ,这样下来or 1=1成了永真式,--后的密码成了注释,于是结果用户登录成功。

解决方案:使用preparedstatement,创建这个语句对象时需要传递sql语句,此时已经确定了sql语句,也不需要为String类型的字段加上单引号,相比statement更方便和安全。

程序:

/**
 * 测试sql注入
 */
public List<Book> findByTypeSQLInsert(String type) {
    //初始化
    Connection con = null;
    Statement statement = null;
    String sql = null;
    ResultSet rs = null;
    List<Book> bookList = new ArrayList<Book>();

    try {
        //装载驱动程序
        Class.forName(DRIVEFORNAME);
        //建立数据库连接
        con = DriverManager.getConnection(URL, USERNAME, PASSWORD);
        //编写sql
        sql = "select * from bookta where type='"+type+"'";
        //获得语句对象
        statement = con.createStatement();
        //执行sql语句
        rs = statement.executeQuery(sql);
        //获取执行结果
        while (rs.next()) {
            Book book = new Book();
            //数据库记录->实体对象
            book.setIsbn(rs.getString(1));
            book.setTitle(rs.getString(2));
            book.setType(rs.getString(3));
            book.setPrice(rs.getDouble(4));
            //对象加入集合
            bookList.add(book);
        }
    } catch (Exception e) {
        e.printStackTrace();
    } finally {
        //finally代码块特点:抛出异常也会运行
        //负责关闭资源,先申请的资源的后关闭,此处代码有误,应该先关闭rs对象
        try {
            if (con != null) {
                con.close();
            }
            if (statement != null) {
                statement.close();
            }
            if (rs != null) {
                rs.close();
            }
        } catch (Exception e1) {
            //ignore
        }
        return bookList;
    }
}

 

在此程序中使用statement对象,测试语句段如下:

//测试sql注入
System.out.println("测试sql注入");
//测试sql注入,数据库中其实没有type="爱情"依然能查询数据库
//select * from bookta where type='爱情' or 1=1,-- ';
bookList=originalJDBC.findByTypeSQLInsert("爱情' or 1=1;-- ");
for (int i = 0; i < bookList.size(); i++) {
 System.out.println(bookList.get(i).getTitle() + "价格为" + bookList.get(i).getPrice());
}

该程序仍能查询所有的书籍信息,网络上还有很多这样的sql注入,所以,开发系统时一定要使用preparedstatement对象,且要杜绝提供客户端删除表、限制删除记录等权限。

github源代码,点击转到github仓库处。喜欢的话请点个赞。

呼啸蓝天
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JDBC学习心得
qq_44634684的博客
07-25 2946
JDBC是什么? JDBC是 Java DataBase Connectivity(Java语言连接数据库) JDBC是SUN公司制定的一套接口(interface) 为什么要制定一套接口? ​因为每一个数据库的实现原理都不一样,每一个数据库产品都有自己独特的实现原理。SUN公司为了简化开发人员对数据库的统一操作,提供了一个Java操作数据库的规范,即JDBCJDBC接口的实现类由具体数据库厂商提供,开发人员只需要掌握JDBC接口的操作即可。 JDBC编程六步 第一步:注册驱动 第二步:获取连接 第三步
JDBC学习总结
一起进步
11-21 551
JDBC学习总结JDBC介绍数据库连接池传统数据库连接数据库连接池基本思想数据库连接池基本原理数据库连接池Druid(德鲁伊)介绍使用步骤参考代码 JDBC介绍 JDBC是一个通过的SQL数据库存取和操作的公共接口(一组API),定义了用来访问数据库的标准java类库,使用这些库可以以一种标准的方法、方便地访问数据库资源。 数据库连接池 传统数据库连接 传统的数据库连接,每次需要数据库连接时,就向数据库要求一个连接,执行完毕后断开连接。这样的方式消耗大量的资源和时间。数据库的连接资源没有得到很好的重复利用
jdbc学习手册
01-12
JDBC学习手册通常包含以下几个核心知识点: 1. **JDBC API**: JDBC API包括一系列的Java类和接口,如`java.sql.DriverManager`、`java.sql.Connection`、`java.sql.Statement`、`java.sql.PreparedStatement`和`...
postman实现传递session给后端
热门推荐
m0_37166734的博客
06-21 2万+
    用过postman的人都知道,postman可以模拟各种http请求,对于前后端分离的开发特别有好处。       开发中遇到这样的问题,登录信息保存在session中,拦截器会判断session中的值,为空则不允许访问,但我们在postman中模拟登录后,想进行下一步操作,如何拿到session中的数据呢??    (1)在我的项目中,登录界面需要从session中获取正确的验证码,由于...
oracle virtualbox里的宿主机和虚拟机如何相互通信?(使用NAT)
m0_37166734的博客
03-23 6560
    在这里需要了解三种网络连接方式(NAT、bridge adapter、host-only),在这就不阐述了,可以参考这篇博文:https://blog.csdn.net/ixidof/article/details/12685549    因为笔者使用的是NAT方式的网络连接方式,先介绍一下它的特点,Guest(NAT连接方式的虚拟机)访问网络的所有数据都是由主机提供的,Guest并不真实...
浅谈restful与ajax
m0_37166734的博客
03-16 5027
1.RESTFUL风格 最近在web的学习学习了一个新内容,resuful风格,从字面意思上就可以看到知道是一种风格,由于标准是必须遵从的,所以它在这方面上又不是一种代码设计的标准,废话不多说,restful到底是什么呢? 在网上看到了一句很能概括的话:URL定位资源,用HTTP动词(GET,POST,DELETE,put)描述操作。 从上面这张图中可以看到,GET和POST操作都是通...
SSM中如何使用redis
m0_37166734的博客
06-28 4302
    redis是一个缓存服务器,使用键值对存储数据,由于redis与web系统交互的时候是在不同域(同主机但不同端口也算跨域,tomcat是8080,而redis是6379),需要进行不同组件之间的跨域请求,经过了网络传输,在这个过程中,需要缓存的对象必须实现序列化接口,请求双方才能正常处理请求或者回应。    说了这么久,其实就是想说明使用redis,对象必须实现序列化。下面开始正式介绍r...
随笔-谈谈docker和redis
m0_37166734的博客
03-16 2930
总结一下这几天接触到的docker和今天实际操作下的redis的感受吧,docker捣鼓了几天,最终的作品是在自己的云服务器上搭建了一个mysql+jdk+tomcat的web环境,实话说,docker的功能强大到让人吃惊,比如说下载一个centos7的镜像images,配置了加速器能在几十秒内搞定,然后run,就可以立马跑起来,相比于虚拟机,速度在分钟级变为了秒级,下载所占容量也很小,本机上下载...
使用docker搭建简单的web环境
m0_37166734的博客
04-25 2603
1.安装docker(https://blog.csdn.net/qq_22841811/article/details/53447560)2.把需要的Dockerfile和需要的tomcat和jdk压缩包放在同一个目录下3.docker build -t hello:v2 . 指定镜像名称,在这里是hello,不含有大写字母成功之后,多了两个镜像。4.使用hello镜像创建一个容器有挂载的容器重...
简单application下实现mybatis的使用
m0_37166734的博客
05-09 1419
mybatis简单介绍: 它是一种ORM(object relational mapping)框架,即对象关系映射。意在根据对象和数据库记录之间的联系,实现操作对象就达到数据库的持久化存储(存储到硬盘)。 案例:做一个简单的图书表的增删改查,只涉及dao层 1.不管是xml配置还是注解配置,都需要这以下几个步骤。 (1)导入相应架包 <properties> &lt...
Spring 之jdbc模板(JdbcTemplate与NamedParameterJdbcTemplate)
m0_37166734的博客
05-09 1403
传统的jdbc访问数据库显得太繁琐,开发者开发了许多的框架与模板,让对数据库的增删改查变得尤为简单与标准化,在这里介绍的是spring出品的jdbc模板,亮点在:开发者不需要去书写建立连接和关闭资源等和核心业务(驱动选择和sql语句)耦合的代码块了,让开发者的注意点重新回到sql语句的设计和执行上。这便是封装的目的,让代码复用,让程序看起来很简洁。 本案例还是结合book数据库,关于book数据...
连接复用的利器-数据库连接池
m0_37166734的博客
03-16 1052
简单介绍一下数据库连接池,或者说使用连接池的背景是什么?数据库连接是一种关键的、有限的、昂贵的资源,这一点在多用户的网页应用程序中体现得尤为突出。对数据库连接的管理能显著影响到整个应用程序的伸缩性和健壮性,影响到程序的性能指标。数据库连接池正是针对这个问题提出来的。 而连接池能干什么呢?连接池能够像一个蓄水池一样容纳一些固定数量的数据库连接,当用户的请求需要访问数据库的时候,不是直接建立新的...
尚硅谷 jdbc学习文档
最新发布
07-28
回答:根据提供的引用内容,尚硅谷的jdbc学习文档中包含了配置文件和jdbc.properties文件的内容。配置文件中开启了注解扫描,并配置了JdbcTemplate对象,注入了DataSource。\[1\]\[2\]而jdbc.properties文件中包含了数据库的连接信息,包括驱动类名、数据库URL、用户名和密码。\[3\]这些配置文件和属性文件的内容可以帮助学习者了解如何配置和使用JdbcTemplate来进行数据库操作。 #### 引用[.reference_title] - *1* *2* *3* [尚硅谷Spring框架学习笔记(中)](https://blog.csdn.net/weixin_45685031/article/details/120705039)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值