MySQL数据库05---JDBC及SQL注入

最新推荐文章于 2022-10-31 08:58:07 发布
最新推荐文章于 2022-10-31 08:58:07 发布
阅读量82 收藏
点赞数
文章标签: sql mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_56161569/article/details/120526775
版权
本文详细介绍了JDBC的基本操作步骤,包括加载驱动、连接数据库、执行SQL语句(如增删改查)及处理结果集。同时,针对SQL注入这一安全隐患,强调了其对数据安全的影响,并提醒开发者注意防止SQL拼接漏洞。
摘要由CSDN通过智能技术生成

一、JDBC

1、数据库驱动
驱动 : 声卡,显卡、数据库
我们的程序会通过数据库驱动,和数据库打交道!
2、JDBC
在这里插入图片描述
3、创建JDBC程序
步骤总结:
1、加载驱动
2、连接数据库DriverManager
3、获得执行sql的对象Statement
4、获得返回的结果集
5、释放连接

  • DriverManager
// DriverManager.registerDriver(new com.mysq1.jdbc.Driver();
Class.forName("com.mysq1.jdbc.Driver");   //固定写法,加载驱动
Connection connection = briverManager.getconnection(ur1,username,password);

//connection代表数据库
//数据库设置自动提交
//事务提交
//事务回滚
connection.rollback();
connection.commit();
connection.setAutocommit();
  • URL
String ur1 = "jdbc :mysql://localhost:3306/jdbcstudy?useUnicode=true&characterEncoding=utf8&usessL=true";

// mysq1 -- 3306
// 协议∶//主机地址:端口号/数据库名?参数1&参数2&参数3

// oralce -- 1521
// jdbc:oracle:thin : @1oca1host:1521:sid
  • Statement 执行SQL 的对象 PrepareStatement 执行SQL 的对象
statement.executequery();  //查询操作返回 Resu7tset
statement.execute();  //执行任何sQL
statement.executeupdate();  //更新、插入、删除。都是用这个,返回一个受影响的行数
  • ResultSet查询的结果集 : 封装了所有的查询结果
    获得指定的数据类型
resultSet.getobject(); //在不知道列类型的情况下使用
//如果知道列的类型就使用指定的类型
resultSet.getstring();
resultSet.getInt();
resultSet.getF1oat();
resultSet.getDate();
resultSet.getobject();
....
  • 遍历,指针
resultSet.beforeFirst();  //移动到最前面
resultSet.afterLast();  //移动到最后面
resultSet.next();  //移动到下一个数据
resultSet.previous();  //移动到前一行
resultSet.absolute(row);  //移动到指定行
  • 释放资源
//6、释放连接
resultSet.c1ose(); 
statement.close();
connection.close();   //耗资源,用完关掉!

4、statement对象
jdbc中的statement对象用于向数据库发送SQL语句,想完成对数据库的增删改查,只需要通过这个对象向数据库发送增删改查语句即可。

  • Statement对象的executeUpdate方法,用于向数据库发送增、删、改的sql语句,executeUpdate执行完后,将会返回一个整数(即增删改语句导致了数据库几行数据发生了变化)。
  • Statement.executeQuery方法用于向数据库发送查询语句,executeQuery方法返回代表查询结果的ResultSet对象。

CRUD操作-create
使用executeUpdate(String sql)方法完成数据添加操作,示例操作:

Statement st = conn.createstatement();
String sql = "insert into user (....) values(.....) ";
int num = st.executeupdate(sql);
if(num>0){
    System.out.println("插入成功!!! ");
}

CRUD操作-delete
使用executeUpdate(String sql)方法完成数据删除操作,示例操作:

Statement st = conn.createstatement();
String sql = "delete from user where id=1";
int num = st.executeupdate(sql);
if(num>0){
    System.out.println("删除成功! ! ! ");
}

CRUD操作-update
使用executeUpdate(String sql)方法完成数据修改操作,示例操作:

Statement st = conn. createstatement();
String sql = "update user set name='' where name=' ' ";
int num = st.executeupdate(sql);
if(num>0){
    System.out.println("修改成功! ! ! ");
}

CRUD操作-read
使用executeQuery(String sql)方法完成数据查询操作,示例操作:

Statement st = conn.createstatement();
String sql = "se1ect * from user where id=1";
Resu1tset rs = st.executeupdate(sql);
while(rs.next(){
     //根据获取列的数据类型,分别调用rs的相应方法映射到java对象中
 }

二、SQL注入

sql存在漏洞,会被攻击导致数据泄露。也就是SQL会被拼接 or

好好编程不会胖!
关注
MySQL数据库基础-SQL注入漏洞及解决方案
二丫的博客
11-26 608
SQL注入问题及解决方案
JDBC中的SQL注入
Leessang
05-22 954
狭义的 SQL注入 称之为狭义,是指我在深入了解前自己对SQL注入的理解,也就是在练习JDBC操作数据库时接触到的SQL注入。 1.1 JDBC 先介绍一下JDBC的概念:JDBC是sun公司(已被Oracle收购)制定一系列接口标准,由不同数据库厂商(Oracle、MySQL等)实现接口方法并封装成驱动文件,供开发人员操作数据库。也就是说,开发人员可采用统一的代码来操作不同的数据库,而无需关注驱动文件的内部实现。 通俗的理解就是JDBC是规范、是接口,不同的数据库厂商要据此编写各自的操作实现。 1.2 S
jdbc中的sql注入
a8153285的博客
04-23 250
转载于:https://www.cnblogs.com/Koma-vv/p/10755273.html
JDBCSQL注入
qq_46093575的博客
05-16 237
一、SQL注入 是指利用某些系统没有对用户输入数据进行充分的检查,而在用户输入数据中注入非法的sql语句或命令,恶意攻击数据库
JDBCsql注入
PP东博客
08-22 756
使用PreparedStatement的参数化的查询可以阻止大部分的SQL注入。在使用参数化查询的情况下,数据库不会将参数的内容视为SQL指令的一部分来处理,而是在数据库完成SQL指令的编译后,才套用参数运行,因此就算参数中含有破坏性的指令,也不会被数据库所运行。
最新版 JDBC,版本号为mysql-connector-java-8.0.16
03-20
3. 创建Statement或PreparedStatement:创建一个Statement对象用于执行SQL语句,或者使用PreparedStatement预编译SQL,提高效率并防止SQL注入。 ```java Statement stmt = conn.createStatement(); // 或 ...
JDBC_MYSQL.rar_JDBC-MYSQL_java jdbc mysql_java sql 简单
09-21
在本示例中,我们关注的是使用JDBCMySQL数据库的连接,这也是一个常见的应用场景,因为MySQL是一个广泛使用的开源关系型数据库管理系统。 1. **JDBC基础**: - JDBC是Java中的一个API,它提供了多种方法来建立...
mysql-connector-java-8.0.23.jar
最新发布
12-18
MySQL Connector/J 8.0.23 是MySQL数据库与Java应用程序之间的重要桥梁,它是一个用于连接Java应用程序到MySQL服务器的JDBC驱动程序。这个jar文件是MySQL官方提供的,确保了与MySQL数据库的高效且可靠的通信。在Java...
mysql-connector-java-8.0.24.jar
12-18
MySQL Connector/J 8.0.24 是MySQL数据库与Java应用程序之间的重要桥梁,它是一个用于连接Java应用程序到MySQL服务器的JDBC驱动程序。这个压缩包包含的“mysql-connector-java-8.0.24.jar”是这个驱动的二进制文件,...
jdbc——sql注入
m0_72960906的博客
10-31 974
在用户输入的数据中有SQL关键字或语法,并且关键字或语法参与了SQL语句的编译。导致SQL语句编译后的条件为true,一直得到正确的结果。这种现象就是SQL注入。上面案例代码中,当你的用户名为 abc' or 1=1;# 密码为123,拼接到SQL语句中,变成如下效果:此SQL语句or 后面1=1永远正确,#后面的成了注释,所以这条语句会将表中所有的数据查询出来,然后再做数据判断的时候,就会得到正确结果,从而说用户名和密码正确,登录成功。
JDBC之【SQL注入
weixin_48485216的博客
04-16 1598
sql注入原理 用户输入的信息中含有sql语句的关键字,并且这些关键字参与sql语句编译过程,导致sql语句的原意被扭曲,进而达到sql注入sql注入的例子 存在SQL注入的代码: public class Test { public static void main(String[] args) { // 初始化一个界面 Map<String,String> userLoginInfo = initUI(); // 验证用户
JDBCSQL注入
Thumb_的博客
02-22 178
-- 创建一张表 CREATE TABLE admin( name VARCHAR(32) NOT NULL UNIQUE, pwd VARCHAR(32) NOT NULL DEFAULT '' )CHARACTER SET UTF8; -- 添加数据 INSERT admin VALUES('tom', '123'); -- 查找某个管理是否存在 SELECT * FROM admin WHERE name = 'wy' AND pwd = '123'; -- SQL -- 输入用户名 为 1'.
JDBCSQL注入攻击
qq_45061361的博客
06-05 679
SQL注入问题1、SQL注入原理1.1 SQL注入攻击:1.2 SQL注入案例1.3 SQL注入分析2、如何处理SQL注入问题2.1 PreparedStatement预编译的机制2.2 PreparedStatement的优点2.3 PerparedStatement的使用3、SQL防注入案例 1、SQL注入原理 1.1 SQL注入攻击: 上一篇文章所使用到的SQL语句是拼接出来的,其中有一部分内容是由用户从客户端传入,所以当用户传入的数据中包含sql关键字时,就有可能通过这些关键字改变sql语句的语义,
JDBC-SQL注入问题
Neuclil的博客
10-12 563
当用name作为参数时, 如果名字里面含有or 等带有歧义的情况时, 或导致错误。比如String name = "or 1 or "将导致全部的记录都会被输出。这种错误叫做sql注入。我们需要将过滤的工作交给数据库来处理。即PreparedStatement ps. 例子如下: PreparedStatement ps = null; String sql = "sele
JDBC解决sql注入问题
muli
01-15 1243
JDBC解决sql注入问题
JDBC01(JDBC介绍、自写JDBC工具类及使用、SQL注入问题)
么古的博客
04-16 248
Part01:JDBC 1、JDBC概述: JDBC(Java DataBase Connectivity)是一种用于执行SQL语句的Java API。JDBC是Java访问数据库的标准规范,可以为不同的关系型数据库提供统一访问,它由一组用Java语言编写的接口(大部分)和类组成; JDBC需要连接驱动,没有驱动将无法完成数据库连接,从而不能操作数据库,每个数据库厂商都需要提供自己的驱动,用来连...
JDBC——SQL注入与解决SQL注入的方法
hjk12345678910的博客
04-13 564
SQL注入原理 如下列代码 String sql="select * from t_user where loginName='"+userLoginInfo.get("loginName")+"' and passWord='"+userLoginInfo.get("passWord")+"'"; rs=s.executeQuery(sql); 在接收用户输入用户名和密码时,如果用户输入用户名为qw,密码输入qw’ or ‘1’='1,则执行的sql语句变为 select * from hero w
java安全(二):JDBC|sql注入|预编译
weixin_45694388的博客
11-14 6270
1 JDBC基础 JDBC(Java Database Connectivity)是Java提供对数据库进行连接、操作的标准API。Java自身并不会去实现对数据库的连接、查询、更新等操作而是通过抽象出数据库操作的API接口(JDBC),不同的数据库提供商必须实现JDBC定义的接口从而也就实现了对数据库的一系列操作。 2 JDBCConnection 2.1连接 Java通过java.sql.DriverManager来管理所有数据库的驱动注册,所以如果想要建立数据库连接需要先在java.sql.Drive
JavaEE课程:数据库编程入门 - 使用NetBeans与JDBC
PreparedStatement通过预编译参数化查询来提高安全性,避免SQL注入攻击,并演示了如何使用`setString`方法设置参数,如查询名字中含有“book”的书籍。 页面导入了相关的Java和SQL库,如`java.util.*`、`java.sql.*...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值