我的JDBC学习笔记-02

最新推荐文章于 2021-11-24 21:25:35 发布
最新推荐文章于 2021-11-24 21:25:35 发布
阅读量200 收藏
点赞数 1
文章标签: 数据库 java jdbc oracle sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42002553/article/details/104483932
版权

JDBC学习笔记-02

若使用

Statement st = conn.createStatement();
#则会有sql注入的问题

在这里插入图片描述
由图可见,即使输入的密码不对,程序仍然识别为正确
此时就是 恶意地对sql语句注入使其跳过验证,直接登录

为了避免出现这种情况,我们使用

			String sql ="insert  into users values (?,?,?)";
           PreparedStatement  ps = conn.prepareStatement(sql);
            ps.setString(1,u.getId());
            ps.setString(2,u.getUsername());
            ps.setString(3,u.getPassword());

使用? 作为占位符,而后调用PreparedStatement 的方法手动添加参数
数字是第几个问号,后边是传入的参数,使用此方法可避免sql注入问题

所以,jdbc的流程改为

1.加载驱动

Class.forName("oracle.jdbc.driver.OracleDriver");

2.获得链接

Connection conn  = DriverManager.getConnection(
                "jdbc:oracle:thin:@localhost:1521:orcl","ltw","ltw");

3.编写sql

String sql ="insert  into users values (?,?,?)";

4.创建预处理语句的对象

PreparedStatement ps = conn.prepareStatement(sql);

5.给sql语句的占位符填入参数

ps.setString(1,u.getId());
ps.setString(2,u.getUsername());
ps.setString(3,u.getPassword());

6.执行语句

int a  = ps.executeQuery();
# 执行后会返回结果,1或0

7.关闭资源

# 此处使用封装好的工具类
# 若为查询操作,则会返回一个结果集,需要用ResultSet接收
# 此处为插入,所以传入null即可
JDBCUtil.closeAll(null, ps, conn);

关于项目的一些规范

src目录下有多个固定名称的package,用于规范文件

model包

根据数据库表创建对应的实体类
类名对应表名
属性对应表的字段名
属性数据类型对应字段的数据类型

将这些类统一放到此包下,认为是数据模型

dao包

DAO
Database Access Object 数据库访问对象

对于每张表都有相应的增删改查操作

这些操作方法统一地放到一个类中,该类一般命名为***Dao, 如StudentDao\UserDao

这些封装好的操作类,一般都放在此包下,包的命名为dao

小天准备起飞
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
String sql3="insert into teacher_student (teacher_id,student_id) values(?,?)";
云计算?
01-09 3231
package com.tfy.itheima.dao.impl; import java.util.List; import org.apache.commons.dbutils.QueryRunner; import org.apache.commons.dbutils.handlers.BeanHandler; import org.apache.commons.dbutils.ha...
MySql数据库
helloworld999999的博客
03-02 219
五、JDBC jdbc就是操作关系型数据库的规则(接口),数据库厂商需要实现这套接口,并且提供数据库驱动jar包。我们去使用这套接口,真正执行的是对应的驱动包里的实现类。 com.mysql.jdbc.Driver类是mysql提供的实现类,它实现了java.sql.Driver; ...
SQL注入问题
zijikanwa
05-17 254
文章目录一. Statement对象二. preparedStatement对象三. MyBatis是否可以防止SQL注入1. MyBatis中SQL注入的问题2. MyBatis中解决SQL注入三. 必须使用`${}`格式的情况四. 总结参考资料 一. Statement对象 说明:SQL注入只对SQL语句的编译过程有破坏作用 代码 public static void login(String username,String password){ Statement st = conn.c
如何解决SQL注入问题
Aixiaohuangren的博客
07-16 2685
一.什么是SQL注入问题? 在刚开始学习JDBC的六大步骤中其中我们在第三步(获取数据库操作对象)我们通常会执行以下操作: 要执行SQL语句,首先需要获得java.sql.Statement实例 执行静态SQL语句。通常通过Statement实例实现。 Statement stmt = conn.createStatement() ; 但是这样会出现一个很大的纰漏,这个纰漏会导致一系列的安全问题,这就被称为SQL注入问题。 二.SQL注入实例 例如我后台的sql语句为 select * from s_st
java.sql.SQLException:Data truncation: Incorrect date value: 'XX' for column 'xx' at row 1 Query解决办法
waS_TransvolnoS的博客
12-23 8927
最近在实现往数据库添加数据操作时出现了如下SQL异常: java.sql.SQLException: Data truncation: Incorrect date value: 'xx' for column 'xx' at row 1 Query: insert into product values (?,?,?,?,?,?,?) Parameters: [E4F2E4DD05E2452E8...
JDBC学习笔记(精华版)-1
04-19
本篇JDBC学习笔记将深入探讨JDBC的核心概念、操作步骤以及最佳实践。 **一、JDBC基本概念** 1. **驱动程序**:JDBC驱动程序是Java应用程序与数据库之间的桥梁,分为四种类型:JDBC-ODBC桥接驱动、本地API驱动、...
JDBC 实战教程-尚硅谷学习笔记 ,2022版
最新发布
03-24
**JDBC实战教程-尚硅谷学习笔记 2022版** Java Database Connectivity(JDBC)是Java语言中用于与数据库交互的一种接口,由Sun Microsystems公司开发并纳入Java标准库,使得Java程序员能够以标准化的方式来访问各种...
JDBC学习笔记--JDBC学习笔记
12-09
JDBC学习笔记 JDBCJava DataBase Connectivity)是一种Java程序语言访问数据库的标准接口。它使得Java程序可以连接到各种不同的数据库管理系统,例如OracleSQL Server、MySQL、DB2、Sybase等。 JDBC的概念 ...
JDBC笔记_JDBC学习笔记_
10-03
在本篇JDBC学习笔记中,我们将深入探讨JDBC的基础知识、核心概念以及实际应用。 一、JDBC基础 1. JDBC驱动程序:JDBC驱动是连接Java应用程序和数据库之间的桥梁。根据实现方式,JDBC驱动分为四种类型:类型1(JDBC...
jdbcsql注入问题
weixin_44048676的博客
06-15 180
问题出现的原因 在jdbc中用于编译sql对象的Statement类的使用如 String sql = "select * from jdbc where username = '"+username+"' and password = '"+password+"' "; //获取执行sql的对象 stmt = conn.createStatement(); //执行sql语句 stmt.executeQuery(sql); 假如传入的参数username为 ’or 1=1 ;-- ,或者参数pas..
jdbc链接数据库技术 简要概括 一看就懂
weixin_43246116的博客
12-10 131
定义 就是用来将java数据库进行链接让java可以操作数据库里的东西 实现步骤: 加载驱动 复制驱动包到项目中并且build 创建链接对象 Connection a) Connection conn=DriverManager();//jdbc:mysql://localhost:3306/practice2", “root”, “1234” 传入的值分别是 url 数据库帐号 数...
SQL注入问题及其解决办法
qq_49044908的博客
04-23 2639
SQL注入问题及其解决办法 前几次的 JDBC 案列的数据库操作对象我一直使用的是Statement 对象, 但是这个类实际上是存在一些问题的, 这就是我想要分享的 SQL 注入问题. 目录 SQL注入问题及其解决办法 问题发现 sql 注入的定义及其原因分析 问题解决------ PreparedStatement PreparedStatement 和 Statement 比较 问题发现 前几天用 JDBC 编写一个从数据库获取用户名和密码登录的简单 java 程序发现了一个 bug.
03-MySQLJDBCjdbc使用过程、自定义JdbcUtil类、jdbc事务、sql注入、PreparedStatement类、c3p0和Druid连接池】
欢迎来到编程小栈
04-22 390
文章目录一、JDBC1、JDBC简介2、JDBC核心API使用01)JDBC注册驱动**显式注册驱动****隐式注册驱动**02JDBC连接数据库03)JDBC操作数据库04)JDBC数据查询小结3、自定义JDBCUtil工具类4、JDBC事务5、SQL注入6、PreparedStatement解决SQL注入7、JDBC调用存储过程(了解)8、三层开发业务分析9、执行DQL查询结果封装成集合的操作10、连接池**01)单次创建连接的问题****02)连接池解决现状问题的原理****04)连接池好处****
sql语句insert插入函数如果values值括号里放变量名
weixin_51959559的博客
11-24 2377
sql语句insert插入函数如果values值括号里直接放变量名就会到时表增加了一个空的记录,解决方法是使用特殊格式 String sql = "insert into user(name,id,password)"+"values('"+Name+"','"+Id+"','"+Password+"');"; System.out.println("请输入用户名:"); String Name = sc.next(); System.out.pr..
使用DBUtils连接Sqlserver插入失败的问题
369540808
11-11 171
使用DBUtils连接Sqlserver插入失败的问题 帅宏军 一、问题描述: 使用DBUtils对数据库Sqlserver进行插入操作时,失败,提示参数“?”不可识别。代码如下 public void insert(Customer customer) { String sql = "insert into customer value...
java单表的增伤改查_JDBC简单增删改查实现(单表)
weixin_34307029的博客
02-26 107
packagecom.zzuli.dao.impl;importcom.zzuli.dao.BookDao;importcom.zzuli.entity.Book;import java.sql.*;importjava.util.ArrayList;importjava.util.List;/*** Created by hejjon on 2019/5/25.*/public class Bo...
mysqlinsert into语句的6种写法(上)
热门推荐
number1killer的博客
09-04 21万+
insert into是mysql中最常用的插入语句,它有6种写法。下面让我们一起来看一看吧: mysqlinsert into语句的6种写法(下) http://blog.csdn.net/number1killer/article/details/77842472 1向原表中某些字段中插入一条记录。 语法:insert into +表名(表中的字段,,)value...
MySQLJDBC学习笔记:从入门到精通
"MySQLJDBC学习笔记PDF提供了对数据库、特别是MySQL以及Java数据库连接(JDBC)的全面介绍。这份资料旨在帮助读者深入理解数据库在IT行业中的重要性,并提供学习数据库管理系统的路径。" 在IT行业中,数据库是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值