JDBC之数据库连接池和SQL注入攻击

最新推荐文章于 2022-08-22 23:39:58 发布
最新推荐文章于 2022-08-22 23:39:58 发布
阅读量2k 收藏 4
点赞数
分类专栏: 数据库之JDBC
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_27853161/article/details/53635546
版权

JDBC

数据库连接池

数据库连接池是管理并发访问数据库连接的理想解决方案.

DriverManager管理数据库连接适合单线程情况, 而在多线程并发情况下,为了能够重用数据库连接, 同时控制并发连接总数,保护数据库避免连接过载, 一定要使用数据库连接池.

连接池原理:

连接池原理

使用DBCP连接池

数据库连接池的开源实现非常多, DBCP是常用的连接池之一.

导入DBCP pom.xml:

<dependency>
  <groupId>commons-dbcp</groupId>
  <artifactId>commons-dbcp</artifactId>
  <version>1.4</version>
</dependency>

使用DBCP:

  1. 导入连接池jar
  2. 创建连接池对象
  3. 设置数据库必须的连接参数
  4. 设置可选的连接池管理策略参数
  5. 从连接池中获得活动的数据库连接
  6. 使用连接范围数据库
  7. 使用以后关闭数据库连接
    • 这个关闭不是真的关闭连接,而是将使用过的连接归还给连接池.

案例:

    String driver="oracle.jdbc.OracleDriver";
    String url="jdbc:oracle:thin:@192.168.201.227:1521:orcl";
    String username = "openlab";
    String password = "open123";
    BasicDataSource ds = 
        new BasicDataSource();
    //设置必须的参数
    ds.setDriverClassName(driver);
    ds.setUrl(url);
    ds.setUsername(username);
    ds.setPassword(password);
    //设置连接池的管理策略参数
    ds.setInitialSize(2);
    ds.setMaxActive(100);
    //使用连接池中的数据库连接
    Connection conn=ds.getConnection();
    //执行SQL
    String sql = "select 'hello' as a "
            + "from dual";
    Statement st=conn.createStatement();
    ResultSet rs=st.executeQuery(sql);
    while(rs.next()){
        String str = rs.getString("a");
        System.out.println(str);
    }
    //归还连接到数据库连接池!!
    conn.close();

为了便捷的使用连接池,经常将连接池封装为一个连接管理工具类:

/**
 * 连接池版本的 数据库 连接管理工具类
 * 适合于并发场合 
 */
public class DBUtils {
    private static String driver;
    private static String url;
    private static String username;
    private static String password;
    private static int initSize;
    private static int maxActive;
    private static BasicDataSource ds;

    static{
        ds=new BasicDataSource();
        Properties cfg=new Properties();
        try{
            InputStream in = DBUtils.class
                .getClassLoader()
                .getResourceAsStream("db.properties");
            cfg.load(in);
            //初始化参数
            driver = cfg.getProperty("jdbc.driver");
            url = cfg.getProperty("jdbc.url");
            username = cfg.getProperty("jdbc.username");
            password = cfg.getProperty("jdbc.password");
            initSize = Integer.parseInt( 
                    cfg.getProperty("initSize"));
            maxActive = Integer.parseInt(
                    cfg.getProperty("maxActive")); 
            in.close();
            //初始化连接池
            ds.setDriverClassName(driver);
            ds.setUrl(url);
            ds.setUsername(username);
            ds.setPassword(password);
            ds.setInitialSize(initSize);
            ds.setMaxActive(maxActive); 
        }catch(Exception e){
            e.printStackTrace();
            throw new RuntimeException(e);
        }
    }

    public static Connection getConnection(){
        try{
            //getConnection()从连接池中获取重用
            //的连接, 如果连接池满了,则等待. 
            //如果有连接归还,则获取重用的连接
            Connection conn = ds.getConnection();
            return conn;
        }catch(Exception e){
            e.printStackTrace();
            throw new RuntimeException(e);
        }
    }

    public static void close(Connection conn){
        if(conn!=null){
            try {
                //将用过的连接归还到连接池
                conn.close();
            } catch (Exception e) {
                e.printStackTrace();
            }
        }
    }
}

其配套参数配置文件 db.properties:

# db.properties
jdbc.driver=oracle.jdbc.OracleDriver
jdbc.url=jdbc:oracle:thin:@192.168.201.227:1521:orcl
jdbc.username=openlab
jdbc.password=open123

# paramter for BasicDataSource
initSize=2
maxActive=2

测试:

public class Demo02 {
    public static void main(String[] args) {
        Connection conn = null;
        try{
            conn = DBUtils.getConnection();
            String sql="select 'Hello' as a "
                    + "from dual";
            Statement st = conn.createStatement();
            ResultSet rs = st.executeQuery(sql);
            while(rs.next()){
                String str=rs.getString("a");
                System.out.println(str);
            }
            rs.close();
            st.close();
        }catch(Exception e){
            e.printStackTrace();
        }finally{
            DBUtils.close(conn); 
        }
    }
}

DBUtils 简化了数据库访问

连接池并发性测试:

测试原理:

这里写图片描述

测试案例:

/*
 * 连接池并发测试
 */
public class Demo03 {
    public static void main(String[] args) {
        Thread t1 = new DemoTherad(5000);
        Thread t2 = new DemoTherad(6000);
        Thread t3 = new DemoTherad(1000);
        t1.start();
        t2.start();
        t3.start();
    }
}

class DemoTherad extends Thread{
    int wait;

    public DemoTherad(int wait) {
        this.wait=wait;
    }

    public void run() {
        Connection conn = null;
        try {
            //getConnection方法在连接池中没有
            //连接可以使用时候,会阻塞等待
            conn=DBUtils.getConnection();
            System.out.println("获取了连接:"+conn);
            Thread.sleep(wait);
            String sql = "select 'Hello' as a "
                    + "from dual";
            Statement st=conn.createStatement();
            ResultSet rs=st.executeQuery(sql);
            while(rs.next()){
                System.out.println(rs.getString("a"));
            }
            System.out.println(wait+"结束"); 
        } catch (Exception e) {
            e.printStackTrace();
        }finally {
            DBUtils.close(conn);
        }
    }
}

PreparedStatement

PreparedStatement 对象用于执行带参数的预编译执行计划, 其原理是:

这里写图片描述

关于执行计划:

  1. 任何SQL执行过程都是先编译”执行计划”,再执行”执行计划”
  2. 数据库为了优化性能, 在SQL相同时候, 会重用执行计划
    • 执行计划编译较慢
    • 重用执行计划可以提高数据库性能
  3. 数据库只在SQL语句完全一样时候才重用相同的执行计划
    • 如果SQL语句中有一个字符的更改,也会执行不同的执行计划
    • SQL中一个空格或者一个大小写不同也会创建不同的执行计划

PreparedStatement 好处是可以重复使用执行计划,提高DB效率

使用步骤

  1. 将带参数的SQL发送到数据库创建执行计划
  2. 替换执行计划中的参数
  3. 执行执行计划,得到结果

案例:

/**
 * 演示预编译的SQL执行计划 
 */
public class Demo04 {
    public static void main(String[] args) {
        Connection conn = null;
        try {
            conn = DBUtils.getConnection();
            //创建带参数的SQL语句.
            String sql="insert into robin_demo "
                    + "(id, name) values (?,?)";
            //将SQL发送到数据库,创建执行计划
            //返回值 ps 就代表执行计划
            PreparedStatement ps=
                conn.prepareStatement(sql);
            //替换执行计划中的参数, 2个参数
            //按照序号发送参数
            ps.setInt(1, 9);
            ps.setString(2, "Andy");
            //执行"执行计划"
            int n=ps.executeUpdate();
            System.out.println(n); 
            //再次重复使用执行计划
            ps.setInt(1, 100);
            ps.setString(2, "Wang"); 
            n = ps.executeUpdate();
            System.out.println(n); 
        } catch (Exception e) {
            e.printStackTrace();
        }finally{
            DBUtils.close(conn);
        }
    }
}

案例:

/**
 * 使用执行计划执行更新语句 
 */
public class Demo05 {
    public static void main(String[] args) {
        Connection conn = null;
        try{
            conn = DBUtils.getConnection();
            String sql="update robin_demo "
                    + "set name=? "
                    + "where id=? ";
            PreparedStatement ps=
                conn.prepareStatement(sql);
            ps.setString(1, "Lao Wang");
            ps.setInt(2, 100);
            int n=ps.executeUpdate();
            System.out.println(n);//1
            //?
        }catch(Exception e){
            e.printStackTrace();
        }finally{
            DBUtils.close(conn);
        }
    }

}

案例: 带参数的查询功能:

/**
 * 利用PS 实现查询功能 
 */
public class Demo06 {
    public static void main(String[] args) {
        Connection conn = null;
        try {
            conn = DBUtils.getConnection();
            String sql="select id, name "
                    + "from robin_demo "
                    + "where name like ? ";
            PreparedStatement ps =
                conn.prepareStatement(sql);
            ps.setString(1, "%w%"); 
            ResultSet rs=ps.executeQuery(); 
            while(rs.next()){
                //getInt(列的序号),利用序号获取值
                int id=rs.getInt(1);
                String name=rs.getString(2);
                System.out.println(id+","+name);
            }
        } catch (Exception e) {
            e.printStackTrace();
        } finally {
            DBUtils.close(conn); 
        }
    }
}

PreparedStatement 可以避免SQL注入攻击

何为注入攻击:
用户输入了 含有SQL成分的参数, 参数在拼接SQL时候造成SQL语句的语义改变! 进一步改变SQL语句的执行计划! 最终的执行结果就完全变了!!!

如何避免:

  1. 拦截用户输入的SQL成分
  2. 固定执行计划,避免改变执行逻辑

原理:

注入攻击原理

一个注入攻击的例子:

数据准备:

create table robin_user1(
  id number(6),
  name varchar2(100),
  pwd varchar2(100)
);
insert into robin_user1 (id, name, pwd)
    values (1, 'tom', '123' );
insert into robin_user1 (id, name, pwd)
    values (2, 'jerry', '123' );

案例代码:

public class Demo07 {
    public static void main(String[] args) {
        //获取用户输入
        Scanner in = new Scanner(System.in);
        System.out.print("用户名:");
        String name=in.nextLine();
        System.out.print("密码:");
        String pwd = in.nextLine();
        //检查登录情况
        boolean pass=login(name, pwd);
        if(pass){
            System.out.println("欢迎你!"+name);
        }else{
            System.out.println("用户名或者密码错误!");
        }
    }


    //检查用户是否能够登录
    public static boolean login(
        String name, String pwd){
        String sql="select count(*) as c "
                + "from robin_user1 "
                + "where name=\'"+name+"\' "
                + "and pwd=\'"+pwd+"\' ";
        System.out.println(sql); 
        Connection conn=null;
        try {
            conn = DBUtils.getConnection();
            Statement st=conn.createStatement();
            ResultSet rs=st.executeQuery(sql);
            while(rs.next()){
                int n = rs.getInt("c");
                return n>=1;
            }
        } catch (Exception e) {
            e.printStackTrace();
        }finally{
            DBUtils.close(conn);
        }
        return false;
    }
}

测试:

在输入用户名 tom 和密码: 1' or '1'='1 时候出现注入攻击现象

使用 PS 就可以避免注入攻击, 更新login方法如下:

/**
 * 利用 PS 就可以避免注入攻击
 * @param name
 * @param pwd
 * @return
 */
public static boolean login(
    String name, String pwd){
    String sql = "select count(*) as c "
            + "from robin_user1 "
            + "where name=? and pwd=? ";
    Connection conn = null;
    try {
        conn = DBUtils.getConnection();
        PreparedStatement ps=
            conn.prepareStatement(sql);
        ps.setString(1, name);
        ps.setString(2, pwd); 
        ResultSet rs=ps.executeQuery();
        while(rs.next()){
            int n = rs.getInt("c");
            return n>=1;
        }
    } catch (Exception e) {
        e.printStackTrace();
    }finally{
        DBUtils.close(conn); 
    }
    return false;
}

测试结果不会发生注入攻击

IsSwm
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Boot使用JDBC连接,注入jdbc属性
yanweijie0317的专栏
02-02 757
这篇文章来说一下,如果使用jdbc,如何注入jdbc连接的一些属性呢? 1. 是配置文件中定义jdbc连接的属性 dataSource.driverClassName=com.mysql.jdbc.Driver dataSource.jdbcUrl=jdbc:mysql://localhost:3306/mysql?characterEncoding=utf-8&serverTimezone=GMT%2B8 dataSource.username=username dataSource.pas
jdbc 数据库的连接(sqlserver oracle)
09-11
为了提高性能和安全性,建议使用`PreparedStatement`来执行SQL,它可以防止SQL注入攻击,并且可以预先编译SQL,提高执行效率。此外,还可以考虑使用连接池(如C3P0、HikariCP等)管理数据库连接,避免频繁创建和关闭...
JDBCSQL注入攻击
qq_45061361的博客
06-05 501
SQL注入问题1、SQL注入原理1.1 SQL注入攻击:1.2 SQL注入案例1.3 SQL注入分析2、如何处理SQL注入问题2.1 PreparedStatement预编译的机制2.2 PreparedStatement的优点2.3 PerparedStatement的使用3、SQL防注入案例 1、SQL注入原理 1.1 SQL注入攻击: 上一篇文章所使用到的SQL语句是拼接出来的,其中有一部分内容是由用户从客户端传入,所以当用户传入的数据中包含sql关键字时,就有可能通过这些关键字改变sql语句的语义,
jdbc的学习4“关于sql注入攻击
单俞浩的博客
11-24 301
注入攻击,就是在sql语句传入数据值时做的引号修改 例:"select * from activity where userName = '+username+' and pwd = '+pwd+'" 在传入pwd的值时,传入 123’ or ‘a’ = 'a 这里就改变了sql语句原本的结构了,sql语句变成了 例:"select * from activity where userName = 'XXX' and pwd = '**123’ or 'a' = 'a**'" 所以这里查询是必定成功的。 原
JDBC及防sql注入攻击
We_chuan的博客
12-25 245
哪有什么一夜成名,都是百炼成钢 JDBC JDBC(Java DataBase Connectivity,java数据库连接)又SUN公司开发,是一种用于执行SQL语句的Java API,可以为多种关系数据库提供统一访问,它由一组用Java语言编写的类和接口组成。JDBC提供了一种基准,据此可以构建更高级的工具和接口,使数据库开发人员能够编写数据库应用程序。 简单地说,JDBC 可做三件事:与...
JDBC--解决sql注入
tianqinglei的博客
06-26 423
sql注入 由于没有对用户输入进行充分检查,而SQL又是拼接而成,在用户输入参数时,在参数中添加一些SQL 关键字, 达到改变SQL运行结果的目的,也可以完成恶意攻击。   示例: 在输入用户名时  tom' or '1'='1 这时就不会验证密码了。 解决方案: PreparedStatement(重点) 它是一个预处理的Statement,它是java.sql.Statem
JDBC&Druid数据库连接池
06-05
"JDBC&Druid数据库连接池" JDBC(Java Database Connectivity)是一种Java API,用于连接和操作数据库。Druid是一个Java语言的数据库连接池,旨在提供高效、稳定、可靠的数据库连接服务。 JDBC基本概念 JDBC是一...
JDBC更新+数据库连接池–详解–初学者必看
12-14
插入-insertJDBC实现修改数据-更新–updateJDBC实现删除数据-删除—deleteJDBC实现查询数据-查询—select案例:实现用户登录案例:登录更新—-防止SQL注入攻击数据库连接池—C3P0 上一篇文章给大家写了jdbc的基本的...
java连接SQLServer数据库的JDBC驱动
04-08
9. **性能优化**: 使用`PreparedStatement`可以避免SQL注入攻击,并且通常比`Statement`执行得更快。此外,考虑使用批处理(`addBatch()`和`executeBatch()`)来一次执行多个相似的SQL语句。 10. **连接池**: 在生产...
JDBC连接实现简单学生管理系统(附数据库).zip
07-29
- 预编译的PreparedStatement能有效防止SQL注入攻击,因为它会自动转义特殊字符。 - 不应在代码中硬编码数据库凭据,应考虑使用环境变量或配置文件存储敏感信息。 7. **性能优化** - 使用批处理(batch ...
JDBC的基本操作 SQL注入 数据库连接池 数据库连接 常用方法 MyBatis连接数据库 JDBC讲解第一篇
01-18 165
看了这篇文章你可以 什么是JDBC JDBC最原始的操作步骤 SQL注入是什么 常用statement接口的方法 以及这些方法的区别 连接数据库的参数是什么、有什么作用 数据库连接池的使用c3p0和德鲁伊数据库连接池的使用 MyBatis框架连接数据库 以及上述操作的细节 什么是JDBC JDBC就是用于连接数据库的东西 JDBC最原始的操作步骤 加载驱动 建立连接 执行SQL语句 处理返回结果 关闭对象和连接 加载驱动 初学者要注意C是大写的哦 //加载驱动 Class.forName("
JDBCSQL注入与注入攻击原理
YCixZoem的博客
03-12 952
最近在学jdbc的数据库连接 里面讲到sql注入,没明白,后来搜wiki,解释真的是十分清楚。 作用原理[编辑] SQL命令可查询、插入、更新、删除等,命令的串接。而以分号字符为不同命令的区别。(原本的作用是用于SubQuery或作为查询、插入、更新、删除……等的条件式)SQL命令对于传入的字符串参数是用单引号字符所包起来。(但连续2个单引号字符,在SQL数据库中,则视为字符串中的一
jdbc&连接池&sql注入
weixin_44654375的博客
02-15 324
jdbc&amp;amp;连接池 能够理解JDBC的概念 能够使用DriverManager类 能够使用Connection接口 能够使用Statement接口 能够使用ResultSet接口 能够描述SQL注入原理和解决方案 能够通过PreparedStatement完成CURD代码 能够理解连接池的原理 能够使用C3P0连接池 能够编写连接池...
JDBC--数据库连接、注入攻击与防止攻击
weixin_43239397的博客
05-23 202
数据库的连接与基本操作 public class JDBCDemo { public static void main(String[] args)throws ClassNotFoundException,SQLException{ //1.注册驱动 反射技术,将驱动类加入到内容 // 使用java.sql.DriverManager类静态方法 registerDriver(Driver driver) // Diver是一个接口,参数传递,MySQL驱动程序中的实现类
确保数据库连接字符串的安全性
hwy00的专栏
11-05 657
 可以利用这个类来限制对特定连接字符串的访问,既可以通过类的属性与方法进行限制,也可以通过代码访问安全性来进行限制。C#示例代码:爱普生专卖--->SqlClientPermission perm = new SqlClientPermission(PermissionState.None); perm.Add("Data So
spring 连接 jdbc jdbcTemplate注入userInfoDao
qq_24735877的博客
03-07 295
看学习视频,边看边做的。找了好久的报错。原来是因为UserInfoDaoImpl中缺少jdbcTemplate的set方法。= =
jdbc基本流程(注入数据源)
内沐的博客
10-22 466
1,在实现类中注入数据源 该数据源为在spring 配置文件中配置好的数据源 e,g: //注入数据源 @Resource private DataSource dataSource;2,jdbc基本流程 1,得到数据源 2,得到Connection 3,得到PreparedStatement
JDBCsql注入
PP东博客
08-22 696
使用PreparedStatement的参数化的查询可以阻止大部分的SQL注入。在使用参数化查询的情况下,数据库不会将参数的内容视为SQL指令的一部分来处理,而是在数据库完成SQL指令的编译后,才套用参数运行,因此就算参数中含有破坏性的指令,也不会被数据库所运行。
JDBC中的SQL注入
DZH2020的博客
08-14 1108
JDBC中的SQL注入
jdbc连接池和数据库连接池
最新发布
10-28
Druid是阿里巴巴开源的数据库连接池,具有监控、防御SQL注入攻击、支持Oracle、MySql、SqlServer等多种数据库等特点。HikariCP是一个轻量级、高性能的数据库连接池,被广泛应用于Spring Boot等框架中。它的特点是...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值