一、jdbc的基本概念:
1.使用jdbc连接数据库的基本流程:
大概分为以上的七个步骤:1.注册驱动 2.获取连接 3.定义sql语句 4.由连接获取操作对象 5.由操作对象来执行sql语句 6.处理返回的结果 7.关闭资源
I:DriverManager:这个类相当与一个工具类,通过帮助文档可知,它里面全部是静态方法。
DriverManager.getConnection()方法用来获取连接对象
DriverManager.registerDriver()方法用来注册驱动
这里我们通过反射的方式来获取驱动:Class.forname("com.mysql.jdbc.Driver"),com.mysql.jdbc是java里面提供操作数据库的包,它里面的Drover类,这个类里面的源代码中就是通过实现DriverManager.registerDriver()方法用来注册驱动的,所以说DriverManager这个工具类也可以用来注册驱动。
II:Connection:可以用来执行sql的对象,也可以进行事务的管理。
代码实现:
III:Statement:用来执行sql语句
IV:ResultSet--结果集,用于进行DQL操作,next()--判断该行是否有数据;getXxx()--用来获取该行上的信息--(id,name,password)可以用1、2、3来表示三个字段也可以直接来写出这三个字段。
V:PreparedStatement:是一个接口---继承自Statement
1.sql注入问题:
(1)、为什么会出现sql注入?
核心就是拼字符串,导致使整个sql语句的句意发生了改变
java获取到前端传过来的username和password,然后去执行sql语句,就如上面的代码所示的一样,由于敏感字符的出现,导致整个sql语句的句意发生了改变,使得用户输入的密码不是正确的密码也可以登入到系统中。
(2)、PreparedStatement是如何解决的?
PreparedStatement通过“?”来解决,将?当作占位符来替代了拼字符串的操作
(3)、为什么通过设置参数就可以解决sql注入的问题呢?
在getXxx()方法中设置?的值是将用户输入的name和password作为一个参数传给了PreparedStatement,而PreparedStatement会将这个参数进行转译,简单地说就是将敏感字符进行转移,这样就完美的解决了sql注入的问题。
2.预编译功能:默认是关闭的,要手动打开。----在uri里面添加userServerPreparedStmts=true。
1805
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
