JDBC:createStatement(sql注入)与PrepareStatement(防止sql注入)程序案例代码优化

最新推荐文章于 2023-10-01 18:09:10 发布
最新推荐文章于 2023-10-01 18:09:10 发布
阅读量525 收藏 1
点赞数
分类专栏: 学习经验 文章标签: jdbc
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43477676/article/details/112569366
版权
本文通过实例代码对比了使用`createStatement`可能引发的SQL注入问题以及`PrepareStatement`如何有效防止SQL注入。通过将重复代码优化到工具类,提高了代码复用性和安全性。
摘要由CSDN通过智能技术生成

把程序中重复的代码写为一个工具类。
在这里插入图片描述
createStatement

package cn.dao;

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;
import java.util.ArrayList;
import java.util.List;

import javax.management.RuntimeErrorException;

import cn.IStudentDao.IStudentDao;
import cn.jdbcUtils.jdbcUtils;
import cn.student.Student;

//实现接口
public class DaoDemo implements IStudentDao{
   
	private static Connection connection ;
	private static Statement state;
	//实现
	private static ResultSet update;
	@Override
	public List<Student> findAll(Student student) {
   
		//创建一个集合储存学生对象
		List<Student> list = new ArrayList<Student>();
		//sql语句命令 SELECT id,NAME,age FROM student_jdbc;
		String sql = "SELECT id,NAME,age FROM student_jdbc;";
			try {
   
				//创建连接
				connection = jdbcUtils.getConnection();
				state = connection.createStatement();
				update = state.executeQuery(sql);
				while(update.next()) {
   
					Student stud = new Student();
					stud.setId(update.getInt("id"));
					stud.setName(update.getString("name"));
					stud.setAge(update.getInt("age"));
					list.add(stud);
				}			
			} catch (SQLException e) {
   
				// TODO Auto-generated catch block
				throw new RuntimeException(e);
			}finally {
   
				 jdbcUtils.closeAll(connection, state, update);
			}						
		    return list;
	}

	@Override
	public void save(Student student) {
   
		//sql语句命令 INSERT INTO student_jdbc(NAME,age) VALUES ("miemie2",19);
		//Student student = new Student();
		String sql = "INSERT INTO student_jdbc(id,NAME,age) VALUES ('"+student.getId()+"','"+student.getName()+"',"+student.getAge()+")";
		
			try {
   
				//创建连接
				connection= jdbcUtils.getConnection();
				//创建实现方法对象
				Statement state = connection.createStatement();
				//实现
				int update = state.executeUpdate(sql);
			} catch (SQLException e) {
   
				// TODO Auto-generated catch block
				throw new RuntimeException(e);
			}finally {
   
				jdbcUtils.closeAll(connection, state, null);
			}
			
		
	}

	@Override
	public void update(Student student) {
   
		//sql语句命令 UPDATE student_jdbc SET age=20 WHERE id=1;
				String sql = "UPDATE student_jdbc SET age="+student.getAge()+",name='"+student.getName()+"' WHERE id="+student.getId()+";";
				try {
   
					//创建连接
					connection= jdbcUtils.getConnection();
					//创建实现方法对象
					Statement state = connection.createStatement();
					//实现
					int update = state.executeUpdate(sql);
				} catch (SQLException e) {
   
					// TODO Auto-generated catch block
					throw new RuntimeException(e);
				}finally {
   
					jdbcUtils.closeAll(connection, state, null);
				}
		
	}

	@Override
	public void delete(int id) {
   
		//sql语句命令 delete from student_jdbc where id=1;
		Student student = new Student();
		String sql = "delete from student_jdbc where id="+id+"";
		try {
   
			//创建连接
			connection= jdbcUtils.getConnection();
			//创建实现方法对象
			Statement state = connection.createStatement();
			//实现
			int update = state
最低0.47元/天 解锁文章
羊咩咩a284811
关注
专栏目录
适用SQL Server 2016版本的数据库加载驱动包jdbc
03-19
为了在Java程序中与SQL Server 2016通信,我们需要特定的JDBC驱动,即"sqljdbc"。这个压缩包包含了所需的驱动文件,用于实现Java程序与SQL Server 2016的连接。 使用JDBC驱动连接SQL Server 2016的过程如下: 1. *...
JDBC(重点)
weixin_69430139的博客
12-20 607
无论使用什么数据源,本质还是一样的,DataSource接口不会变,方法就不会变
JDBC实现细节
lyp
01-07 244
JDBC是一套用于执行SQL语句的JavaAPI,应用程序可以通过这套API连接到关系型数据库,并使用SQL语句来完成对数据库中数据的查询,增加,更新和删除等操作。 那么我们首先来看看JDBC直连的几个步骤: 1.导包 将包含有驱动的jar包放入项目中 2.加载并注册数据库驱动 通过驱动名(注意大小写)加载驱动,这里注意要捕捉异常,也就是类未找到异常 Class.forName("com.microsoft.sqlserver.jdbc.SQLServerDriver"); 3.配置连接信息 (直连还是桥
浅谈 JDBCCreateStatement 和 PrepareStatement 的区别与优劣。
热门推荐
雏鹰
09-12 5万+
微信搜索 程序员的起飞之路 可以加我公众号,保证一有干货就更新~ 本人的几点浅见,各位大大不喜勿喷。 先说下这俩到底是干啥的吧。其实这俩干的活儿都一样,就是创建了一个对象然后去通过对象调用executeQuery方法来执行sql语句。说是CreateStatement和PrepareStatement的区别,但其实说的就是Statement和PrepareStatement的区别,相信大家在网上已经看到过不少这方面的资料和博客,我在此处提几点,大家看到过的,就当重记忆,没看到就当补充~下面开始谈谈他.
JDBC学习笔记
qq_69080551的博客
07-25 855
01.什么是JDBCJavaDataBaseConnectivity(Java语言连接数据库)02.JDBC的本质是什么?JDBC是SUN公司制定的一套接口(interface)(这个软件包下有很多接口。)03.JDBC编程六步(需要背会)第一步注册驱动(作用告诉Java程序,即将要连接的是哪个品牌的数据库)第二步获取连接(表示JVM的进程和数据库进程之间的通道打开了,这属于进程之间的通信,重量级的,使用完之后一定要关闭通道。)第三步05.封装jdbc工具类。......
Java的JDBC初学习
qq_43287952的博客
09-03 331
Java的JDBC初学习 JDBC常用API Driver接口 该接口专门提供给数据库厂商使用 DiverManager类 用于加载JDBC驱动并且创建与数据库的连接。 Connection接口 代表Java程序和数据库的连接,只有获得连接对象后,才能访问数据库,并操作数据表。 常用方法 Statement接口 用于执行静态的SQL语句,并返回一个结果对象。Statement接口对象可以通过Connection实例的createStatement()方法获得,该对象会把静态的SQ
连接MS SQLSERVER 的驱动jar包sqljdbc4-3.0.zip
12-29
`sqljdbc4-3.0.jar`是Microsoft为Java开发人员提供的一个JDBC驱动程序,它允许Java应用程序通过JDBC API与SQL Server进行通信。此驱动包版本3.0属于JDBC 4.0规范,适用于Java SE 6及更高版本。在这个压缩包中,`sql...
snow-jdbc:Snowflake JDBC驱动程序
02-06
对于参数化的SQL语句,可以使用`PreparedStatement`,这有助于防止SQL注入攻击: ```java PreparedStatement pstmt = conn.prepareStatement("INSERT INTO your_table (col1, col2) VALUES (?, ?)"); pstmt....
jdbc sqlserver2008 驱动包 连接代码加数据操作案例
11-08
PreparedStatement pstmt = conn.prepareStatement(sqlInsert); pstmt.setString(1, "value1"); pstmt.setString(2, "value2"); pstmt.executeUpdate(); ``` 这里使用了`PreparedStatement`,它允许预编译SQL语句,...
sql server jdbc 驱动包
01-21
SQL Server JDBC驱动是Java应用程序与Microsoft SQL Server数据库之间通信的重要桥梁。JDBC(Java Database Connectivity)是Java平台的标准接口,允许Java程序通过Java API与各种类型的数据库进行交互。本驱动包专...
JWT整合Springboot
xiejianweifdd的博客
11-19 383
JWT实战步骤什么是JWTJWT长什么样?JWT的构成创建Springboot项目pom.xmlapplication.propertiesmapper.xml创建JWT工具类创建domain创建Dao层创建service层创建Controller创建注解类创建Config创建拦截器测试步骤(postman) 什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点
【Java 进阶篇】JDBC Statement:执行 SQL 语句的重要接口
最新发布
繁依Fanyi的博客
10-01 6846
Statement接口是JDBC的一部分,它允许我们向数据库发送SQL查询和更新语句,并从数据库中获取结果。StatementStatement:用于执行普通的SQL语句,不带有参数。:用于执行预编译的SQL语句,可以带有参数,防止SQL注入攻击。:用于执行数据库存储过程。在本文中,我们将主要关注Statement接口及其用法。Statement接口是JDBC中执行SQL语句的关键接口之一。通过创建Statement对象,我们可以执行查询和更新等各种数据库操作。
JDBC第一讲
m0_56528635的博客
09-11 579
JDBC概念、JDBC组成、JDBC驱动、JDBC 访问数据库的步骤、
JDBC:createStatementsql注入)与PrepareStatement防止sql注入程序案例
羊咩咩的博客
01-12 430
需求: 对数据库CRUD(增删查改) 建立一个数据库,并插入数据: createStatementsql注入): 分为student实例、接口、实现接口、测试四个部分。 Student.java package cn.student; public class Student { private int id; private String name; private int age; public int getId() { return id; } public void s
JDBC中的statement对象
TvTToT的博客
04-28 1082
JDBC中的statement对象用于向数据库发送SQL语句,想要完成对数据库的增删改查,只需要通过这个对象向数据库发送增删改查语句即可 Statement对象的executeUpdate方法,用于向数据库发送增删改的SQL语句,executeUpdate执行完成后,会返回一个整数(即增删改语句导致了数据库几行数据发生了变化) statement.executeQuery方法用于向数据库发送查询语句,executeQuery方法返回代表查询结果的ResultSet对象 CRUD操作-insert 使.
JDBC编程之creatstatement()的用法
Starbucks_star的专栏
11-09 3586
对数据库的操作进行过好多次,createStatement()方法也用了一次又一次,但是其中的参数却一直想当然的认为是固定的,每次用得时候要不 “ctrl+c”和“ctrl+v”来用,要不照葫芦画瓢就移过来了。今天终于忍受不了我自己的这种做法了,就查了一下文档和相关资料。 createStatement() 作用:创建一个Statement对象将SQL语句发送到数据库。     
JDBC createStatement(1004,1007) 的含义
艾欧里亚
09-27 897
Statement stmt = Conn.createStatement(1004,1007);   //只可向前滚动; TYPE_FORWORD_ONLY = 1007 ;   //双向滚动,但不及时更新,就是如果数据库里的数据修改过,并不在ResultSet中反应出来。 TYPE_SCROLL_INSENSITIVE = 1004;    //双向滚动,并及时跟踪数据...
Jdbc连接、createStatement--execute操作数据库
全干工程师
09-27 7498
几种获取数据库连接的方式配置文件jdbc.propertiesdriver = com.mysql.jdbc.Driver jdbcUrl = jdbc:mysql://localhost:3306/mydatabase user = root password = rootJDBCTestpackage com.godinsec;import java.io.InputStream; import
11.JDBC【pom:mysql-connector-java】+ JDBC 固定步骤(使用createStatement、preparedStatement对象传递sql)
你说的白是什么白_
01-28 5066
文章目录JDBC JDBC 什么是JDBC : Java连接数据库! 需要jar包的支持: java.sql javax.sql mysql-conneter-java… 连接驱动(必须要导入) 实验环境搭建 导入数据库依赖 ​ ​ ​ ​ mysql ​ mysql-connector-java ​ 5.1.47 ​ IDEA中连接数据库: [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ToRlxHp3
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值