数据库学习笔记十九 —— Statement对象、提取自己的工具类操作数据库、SQL注入

最新推荐文章于 2021-10-07 20:53:52 发布
最新推荐文章于 2021-10-07 20:53:52 发布
阅读量389 收藏 1
点赞数 1
分类专栏: 数据库 文章标签: 数据库 mysql jdbc java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43594119/article/details/106049749
版权

数据库学习笔记十九 —— Statement对象、提取自己的工具类、SQL注入

参考教程B站狂神https://www.bilibili.com/video/BV1NJ411J79W

  • Jdbc中的statement对象用于向数据库发送SQL语句,想完成对数据库的增删改查,只需要通过这个对象向数据库发送增删改
    查语句即可。
  • Statement对象的executeUpdate方法,用于向数据库发送增、删、改的sq|语句,executeUpdate执行完后, 将会返回- -个整
    数(即增删改语句导致了数据库几行数据发生了变化)。
  • Statement.executeQuery方法用于向数据库发送查询语句,executeQuery方法返回代表查询结果的ResultSet对象。

CRUD操作-create

在这里插入图片描述

CRUD操作-delete

在这里插入图片描述

CRUD操作-update

在这里插入图片描述

CRUD操作-read

在这里插入图片描述

提取工具类

1.在src里新建一个配置文件db.prorerties,把连接数据库相关的信息写在配置文件里

# 配置文件
driver=com.mysql.jdbc.Driver
url=jdbc:mysql://localhost:3306/jdbcstudy?useUnicode=true&characterEncoding=utf8&useSSL=false
username=root
password=123456

2.新建一个utils包,里面建一个JdbcUtils类

package pers.ylw.lesson02.utils;

import java.io.InputStream;
import java.sql.*;
import java.util.Properties;

public class JdbcUtils {

    private static String driver = null;
    private static String url = null;
    private static String username = null;
    private static String password = null;

    static {

        try{
            //通过反射获取配置文件资源流
            InputStream inputStream = JdbcUtils.class.getClassLoader().getResourceAsStream("db.properties");
            Properties properties = new Properties();
            properties.load(inputStream);
            driver = properties.getProperty("driver");
            url = properties.getProperty("url");
            username = properties.getProperty("username");
            password = properties.getProperty("password");

            //1.加载驱动,只用加载一次
            Class.forName(driver);

        }catch (Exception e){
            e.printStackTrace();
        }
    }

    //获取连接
    public static Connection getConnection() throws SQLException {
        return DriverManager.getConnection(url, username, password);
    }

    //释放连接资源
    public static void release(Connection conn, Statement st,ResultSet rs){
        if (rs!=null){
            try {
                rs.close();
            } catch (SQLException e) {
                e.printStackTrace();
            }
        }

        if (st!=null){
            try {
                st.close();
            } catch (SQLException e) {
                e.printStackTrace();
            }
        }

        if (conn!=null){
            try {
                conn.close();
            } catch (SQLException e) {
                e.printStackTrace();
            }
        }
    }

}

使用自己写的JdbcUtils工具类

增删改都使用executeUpdate(sql)方法,改一下sql语句就行

package pers.ylw.lesson02;

import pers.ylw.lesson02.utils.JdbcUtils;

import java.sql.Connection;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;

public class TestInsert {
    public static void main(String[] args) {
        Connection conn = null;
        Statement st = null;
        ResultSet rs = null;

        try {
            conn= JdbcUtils.getConnection(); //使用自己写的JdbcUtils类获取数据库连接
            st = conn.createStatement(); //获得SQL的执行对象

            //书写SQL语句
            String sql = "INSERT INTO users(`id`,`NAME`,`PASSWORD`,`email`,`birthday`)" +
                    "VALUES(4,'ylw','123456','123456@qq.com','2020-01-01')";

            //执行插入语句,接收返回值
            int i = st.executeUpdate(sql);
            if (i>0){
                System.out.println("插入成功");
            }

        } catch (SQLException e) {
            e.printStackTrace();
        } finally { //finally最后一定会执行
            JdbcUtils.release(conn,st,rs);
        }
    }
}



package pers.ylw.lesson02.utils;

import java.sql.Connection;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;

public class TestDelete {
    public static void main(String[] args) {
        Connection conn = null;
        Statement st = null;
        ResultSet rs = null;

        try {
            conn= JdbcUtils.getConnection(); //使用自己写的JdbcUtils类获取数据库连接
            st = conn.createStatement(); //获得SQL的执行对象

            //书写SQL语句
            String sql = "DELETE FROM users WHERE id = 4";

            //执行sql语句,接收返回值
            int i = st.executeUpdate(sql);
            if (i>0){
                System.out.println("删除成功");
            }

        } catch (SQLException e) {
            e.printStackTrace();
        } finally { //finally最后一定会执行
            JdbcUtils.release(conn,st,rs);
        }
    }
}



package pers.ylw.lesson02.utils;

import java.sql.Connection;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;

public class TestUpdate {
    public static void main(String[] args) {
        Connection conn = null;
        Statement st = null;
        ResultSet rs = null;

        try {
            conn= JdbcUtils.getConnection(); //使用自己写的JdbcUtils类获取数据库连接
            st = conn.createStatement(); //获得SQL的执行对象

            //书写SQL语句
            String sql = "UPDATE users SET `NAME`='ylw' WHERE `id`=1";

            //执行sql语句,接收返回值
            int i = st.executeUpdate(sql);
            if (i>0){
                System.out.println("更新成功");
            }

        } catch (SQLException e) {
            e.printStackTrace();
        } finally { //finally最后一定会执行
            JdbcUtils.release(conn,st,rs);
        }
    }
}

查询使用executeQuery(sql)

package pers.ylw.lesson02.utils;

import java.sql.Connection;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;

public class TestSelect {
    public static void main(String[] args) {
        Connection conn = null;
        Statement st = null;
        ResultSet rs = null;

        try {
            conn= JdbcUtils.getConnection(); //使用自己写的JdbcUtils类获取数据库连接
            st = conn.createStatement(); //获得SQL的执行对象

            //书写SQL语句
            String sql = "select * from users";

            //执行sql查询语句,接收返回的结果集
            rs = st.executeQuery(sql);
            while (rs.next()){
                System.out.println(rs.getString("NAME"));
            }

        } catch (SQLException e) {
            e.printStackTrace();
        } finally { //finally最后一定会执行
            JdbcUtils.release(conn,st,rs);
        }
    }
}

SQL注入问题

通过拼接字符串来获取数据信息
用户在登录时输入的不恰当字符串可能引起数据泄露,是一个非常大的安全隐患

package pers.ylw.lesson02.utils;

import java.sql.Connection;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;

public class SQL注入 {
    public static void main(String[] args) {

        //sql注入
        login("'or '1=1","'or'1=1");
        //注入语句拼接后为
        //select * from users where `NAME` =''or '1=1' AND `password` = ''or'1=1'
        //重点:`NAME` =''or '1=1' AND `password` = ''or'1=1' 等于空或者为true,永远正确

    }

    //登录业务
    public static void login(String username,String password){
        Connection conn = null;
        Statement st = null;
        ResultSet rs = null;

        try {
            conn= JdbcUtils.getConnection(); //使用自己写的JdbcUtils类获取数据库连接
            st = conn.createStatement(); //获得SQL的执行对象

            //书写SQL语句
            //select * from users where `NAME` ='username' AND `password` = 'password'
            String sql = "select * from users where `NAME` ='"+username+"' AND `password` = '" + password+"'";

            //执行sql查询语句,接收返回的结果集
            rs = st.executeQuery(sql);
            while (rs.next()){
                System.out.println(rs.getString("NAME"));
                System.out.println(rs.getString("password"));
                System.out.println("==================================");
            }

        } catch (SQLException e) {
            e.printStackTrace();
        } finally { //finally最后一定会执行
            JdbcUtils.release(conn,st,rs);
        }
    }
}

在这里插入图片描述
通常不使用 Statement 而使用更安全的 PrepareStatement
详见博客 https://blog.csdn.net/qq_43594119/article/details/106052859

影龙武
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
JDBC工具类通用upda方法和PreparedStatement
angel_hyj的博客
03-26 338
补充JdbcTools 类通用方法update(String sql,object ...args);/** * 通用方法update(String sql,Object...args) * */ public static void update(String sql, Object ... args){ Connection connection = null; Prepa...
Android学习笔记(十三)——数据存储(LitePal操作数据库
01-03
Android学习笔记(一)——创建第一个Android项目 Android学习笔记(二)android studio基本控件及布局(实现图片查看器) Android学习笔记(三)android studio中CheckBox自定义样式(更换复选框左侧的勾选图像) ...
SqlStatementGenerator,SQL数据库辅助工具帮手
05-20
该工具设置一下数据库连接字符串,就可以访问SQL Server数据库,并能够查询表数据,灵活设置字段和表名,然后快速生成新增,修改,删除 SQL语句 方便快捷~~~
数据库MySQL基础---JDBC开发步骤--JDBC封装工具类--PreparedStatement实现CRUD操作
愚者的博客
06-20 523
JDBC简介 1、JDBC定义 Java数据库连接(Java Database Connectivity,简称JDBC): 是Java语言中用来规范客户端程序如何来访问数据库的应用程序接口,提供了诸如查询和更新数据库中数据的方法。 JDBC也是Sun Microsystems的商标。我们通常说的JDBC是面向关系型数据库的。 JDBC原理: 由sun提供的一套访问数据库的规范(一组接口)。各个数据库厂商就会遵守这一套规范,提供一套访问自己公司数据库的程序, 这套程序就叫数据库驱动。 2、主要用
java jdbc 注解_利用注解将JDBC结果集转成Java对象详解
weixin_39861920的博客
02-13 96
SamplePojo.javaimport javax.persistence.Column;import javax.persistence.Entity;@Entitypublic class SamplePojo {@Column(name="User_Id")private int id;@Column(name="User_Name")private String name;@Colum...
Java数据库编程基础操作Statement实现数据查询操作
weixin_46245201的博客
02-07 2682
Statement实现数据查询操作 在整个数据库的开发过程之中数据的查询操作是最复杂的,因为查询会牵扯到各种复杂查询的管理,例如:多表查询、子查询、统计查询、集合操作等等,但是从现代的开发来讲,对于数据的查询如果非必须的情况下建议以简单查询为主,在Statement接口里面所定义的数据查询方法如下: ResultSet executeQuery​(String sql) throws SQLException 这个查询方法会直接返回有一个ResultSet接口的对象实例,这样就可以得到如下的完整的
Microsoft SQL 数据库学习笔记
11-28
DLUT 数据库学习笔记985 计算机专业数据库学习笔记Microsoft SQL 数据库学习笔记
iOS学习笔记(十六)——详解数据库操作(使用FMDB)
01-05
iOS中原生的SQLite API在使用上相当不友好,在使用时,非常不便。... 在FMDB下载文件后,工程中必须导入如下文件,并使用 libsqlite3.dylib 依赖包。 FMDB同时兼容ARC和非ARC工程,会自动...FMDB常用类: FMDatabase
SQL数据库学习笔记总结(数据库创建和基本概念)
12-14
(1)完全限定名,在SQL Server 2008中,完全限定名是对象的全名,包括四个部分:服务器名,数据库名,数据库架构名,对象名,其格式为server.database.schema.object (2)部分限定名,在使用T-SQL的时候,使用全名...
sqlserver 数据库学习笔记
12-15
1,exists和in的理解(参考//www.jb51.net/article/28922.htm) exists:如果子查询中包括某一行,那么就为TRUE in:如果操作数为TRUE等于表达式列表中的一个,那么就为TRUE exists总是搞得不太明白 select 。...
MySQL学习Statement对象
qq_45000602的博客
03-30 705
学自 狂神说
SQL—— Statement 对象
beishanqiye的博客
09-10 2845
JDBC 中的 Statement 对象用于向数据库发送 SQL 语句,像完成数据库的增删改查,只需要通过这个对象数据库发送增删改查语句即可。 Statement 对象executeUpdate 方法,用于向数据库发送增、删、改的 SQL 语句,executeUpdate 执行完后,将会返回一个整数(即增删改语句导致了数据库几行数据发生了变化)。 Statement.executeQuery 方法用于向数据库发送出查询语句,executeQuery 方法返回代表查询结果的 ResultSet对象
StatementexecuteQueryexecuteUpdate 和 execute的使用方法
dubaitianxia的博客
08-24 4560
 executeQueryexecuteUpdate 和 execute  接口提供了三种执行 SQL 语句的方法:executeQueryexecuteUpdate 和 execute。使用哪一个方法由 SQL 语句所产生的内容决定。 方法 executeQuery 用于产生单个结果集的语句,例如 SELECT 语句。 方法 executeUpdate 用于执行 INS
NHibernate学习手记(1) - 对象的简单CRUD操作
weixin_33842328的博客
03-10 98
你是否正在为编写和维护冗长和复杂的SQL语句而苦恼? 你是否厌倦了继续以面向过程的开发方式,而想开始尝试以面向对象的方式去思考? 你是否想跳出重复编写SQL语句的囹囵,而想更加专注于实现用户需求的逻辑实现? ... 和许多开发人员一样,我非常反感(甚至是恐惧)sql语句,这种当初设计用来和数据库进行会话的语言,想不到现在被发扬光大到可以用来编写业务逻辑(通过任意复杂的组合)。但我们完全可以...
statement对象executeQuery()和execute()方法的区别
Elodiecat的博客
06-27 1万+
执行查询SQL 查询可以使用Statement对象executeQuery()和execute()方法。 两个方法的参数均为一个拼接好的String类型字符串SQL。 1.executeQuery()方法只能执行一条SQL,返回ResultSet对象。 2.execute()方法应该仅在语句能返回多个 ResultSet 对象、 多个更新计数或ResultSet对象与更新计数的组合时使用。 可以...
javaStatement详细用法。
热门推荐
窥望奇妙世界
12-30 9万+
1、创建 Statement 对象 建立了到特定数据库的连接之后,就可用该连接发送 SQL 语句。Statement 对象用 Connection 的方法createStatement 创建,如下列代码段中所示: Connection con = DriverManager.getConnection(url, "sunny",""); Statement stmt = con.cr
JDBC基础教程之语句
11-05 565
[正文]  概述   Statement 对象用于将 SQL 语句发送到数据库中。实际上有三种 Statement 对象,它们都作为在给定连接上执行 SQL 语句的包容器:Statement、PreparedStatement(它从 Statement 继承而来)和 CallableStatement(它从 Prepare
java Statement详细用法
yaomenglan69的专栏
11-02 463
数据库学习笔记02:statement对象详解、数据库的增删改查四大方法
给bug点个赞
10-07 1065
statement对象 Jdbc中的statement对象用于向数据库发送SQL语句,想完成对数据库的增删改查,只需要通过这个对象数据库发送增删改查语句即可。 Statement对象executeUpdate方法,用于向数据库发送增、删、改的sq|语句, executeUpdate执行完后, 将会返回一个整数(即增删改语句导致了数据库几行数据发生了变化)。 Statement.executeQuery方法用于向数据库发生查询语句,executeQuery方法返回代表查询结果的ResultSet对象。 创
oracle数据库学习笔记
最新发布
08-18
学习Oracle数据库的时候,你可以关注以下几个方面: 1. Oracle监听器:它是运行于Oracle数据库服务器上的进程,负责监听来自客户应用的连接请求。了解监听器的工作原理和配置方法可以帮助你更好地管理数据库的连接。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

影龙武

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值