JDBC——(5)使用Statement操作数据表的弊端

最新推荐文章于 2022-11-05 01:41:50 发布
最新推荐文章于 2022-11-05 01:41:50 发布
阅读量405 收藏 1
点赞数 1
分类专栏: JDBC学习笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44891295/article/details/103736745
版权

JDBC——(1)JDBC概述
JDBC——(2)数据持久化的含义和Java中的数据存储技术
JDBC——(3) JDBC程序操作和访问数据库步骤
JDBC——(4)获取数据库连接
JDBC——(4)获取数据库连接——方式一
JDBC——(4)获取数据库连接——方式二
JDBC——(4)获取数据库连接——方式三
JDBC——(4)获取数据库连接——方式四
JDBC——(4)获取数据库连接——方式五(最终版)
JDBC——小知识 :Class.forName(“com.mysql.jdbc.Driver”)的浅谈
JDBC——(5)使用Statement操作数据表的弊端
JDBC——(6)PreparedStatement的使用
JDBC——小知识:封装数据库连接和关闭操作
JDBC——(6)PreparedStatement的使用——实现通用的增删改操作
JDBC——(6)PreparedStatement的使用——增、删、改示例演示
JDBC——(6)PreparedStatement的使用——实现查询操作
JDBC——(6)PreparedStatement的使用——实现通用的查询操作
JDBC——小知识:PreparedStatement 和Statement的比较
JDBC—— 小知识:Java与SQL对应数据类型转换表
JDBC——(6)PreparedStatement的使用——查询示例演示
JDBC——小知识:ResultSet与ResultSetMetaData
JDBC——小知识:资源的释放
JDBC——(6)PreparedStatement的使用——图解查询操作流程
JDBC——(6)PreparedStatement的使用——针对不同表的查询操作
JDBC——(6)PreparedStatement的使用——批量插入数据
JDBC——(7)JDBC API小结
JDBC——(8)数据库连接池技术的概述
JDBC——(8)数据库连接池技术的概述——Druid数据库连接池技术的实现
JDBC——小知识:Druid连接池的详细配置参数

一,操作和访问数据库

  • 数据库连接被用于向数据库服务器发送命令和 SQL 语句,并接受数据库服务器返回的结果。其实一个数据库连接就是一个Socket连接。

  • 在 java.sql 包中有 3 个接口分别定义了对数据库的调用的不同方式:

    • Statement:用于执行静态 SQL 语句并返回它所生成结果的对象。
    • PrepatedStatement:SQL 语句被预编译并存储在此对象中,可以使用此对象多次高效地执行该语句。
    • CallableStatement:用于执行 SQL 存储过程

二,使用Statement操作数据表的弊端

  • 通过调用 Connection 对象的 createStatement() 方法创建该对象。该对象用于执行静态的 SQL 语句,并且返回执行结果。如下代码演示
Connection conn = null;
Statement st = null;
conn=JDBCUtils.getConnection();//已经封装好的连接
st = conn.createStatement();

  • Statement 接口中定义了下列方法用于执行 SQL 语句:

    int excuteUpdate(String sql):执行更新操作INSERTUPDATEDELETE
ResultSet executeQuery(String sql):执行查询操作SELECT

  • 但是使用Statement操作数据表存在弊端:

    • 问题一:存在拼串操作,繁琐
    • 问题二:存在SQL注入问题

  • SQL 注入是利用某些系统没有对用户输入的数据进行充分的检查,而在用户输入数据中注入非法的 SQL 语句段或命令(如:SELECT user, password FROM user_table WHERE user=‘a’ OR 1 = ’ AND password = ’ OR ‘1’ = ‘1’) ,从而利用系统的 SQL 引擎完成恶意行为的做法。

  • 对于 Java 而言,要防范 SQL 注入,只要用 PreparedStatement(从Statement扩展而来) 取代 Statement 就可以了。
    代码演示:

package com.atguigu2.statement.crud;
import java.io.InputStream;
import java.lang.reflect.Field;
import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.ResultSet;
import java.sql.ResultSetMetaData;
import java.sql.SQLException;
import java.sql.Statement;
import java.util.Properties;
import java.util.Scanner;
import org.junit.Test;

public class StatementTest {

	// 使用Statement的弊端:需要拼写sql语句,并且存在SQL注入的问题
	//如何避免出现sql注入:只要用 PreparedStatement(从Statement扩展而来) 取代 Statement
	@Test
	public void testLogin() {
		Scanner scanner = new Scanner(System.in);
		
		System.out.print("请输入用户名:");
		String user = scanner.nextLine();
		System.out.print("请输入密码:");
		String password = scanner.nextLine();
		//SELECT user,password FROM user_table WHERE user = '1' or ' AND password = '=1 or '1' = '1'
		String sql = "SELECT user,password FROM user WHERE user = '"+ user +"' AND password = '"+ password +"'";
		User returnUser = get(sql,User.class);
		if(returnUser != null){
			System.out.println("登录成功");
		}else{
			System.out.println("用户名不存在或密码错误");
		}
	}

	// 使用Statement实现对数据表的查询操作
	public <T> T get(String sql, Class<T> clazz) {
		T t = null;

		Connection conn = null;
		Statement st = null;
		ResultSet rs = null;
		try {
			// 1.加载配置文件
			InputStream is = StatementTest.class.getClassLoader().getResourceAsStream("jdbc.properties");
			Properties pros = new Properties();
			pros.load(is);

			// 2.读取配置信息
			String user = pros.getProperty("user");
			String password = pros.getProperty("password");
			String url = pros.getProperty("url");
			String driverClass = pros.getProperty("driverClass");

			// 3.加载驱动
			Class.forName(driverClass);

			// 4.获取连接
			conn = DriverManager.getConnection(url, user, password);

			st = conn.createStatement();

			rs = st.executeQuery(sql);

			// 获取结果集的元数据
			ResultSetMetaData rsmd = rs.getMetaData();

			// 获取结果集的列数
			int columnCount = rsmd.getColumnCount();

			if (rs.next()) {

				t = clazz.newInstance();

				for (int i = 0; i < columnCount; i++) {
					// //1. 获取列的名称
					// String columnName = rsmd.getColumnName(i+1);

					// 1. 获取列的别名
					String columnName = rsmd.getColumnLabel(i + 1);

					// 2. 根据列名获取对应数据表中的数据
					Object columnVal = rs.getObject(columnName);

					// 3. 将数据表中得到的数据,封装进对象
					Field field = clazz.getDeclaredField(columnName);
					field.setAccessible(true);
					field.set(t, columnVal);
				}
				return t;
			}
		} catch (Exception e) {
			e.printStackTrace();
		} finally {
			// 关闭资源
			if (rs != null) {
				try {
					rs.close();
				} catch (SQLException e) {
					e.printStackTrace();
				}
			}
			if (st != null) {
				try {
					st.close();
				} catch (SQLException e) {
					e.printStackTrace();
				}
			}

			if (conn != null) {
				try {
					conn.close();
				} catch (SQLException e) {
					e.printStackTrace();
				}
			}
		}

		return null;
	}

}

在这里插入图片描述
数据库中没有这个用户名和密码却可以登录成功

综上:
在这里插入图片描述

福建选手阿俊
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JDBC-使用Statement操作数据库的弊端
weixin_49984174的博客
08-10 330
使用Statement操作数据库的弊端 问题一:存在拼串操作 假设情景如下:当从控制台输入需要在数据库查询的用户名密码时,此时存在拼串操作操作繁琐且可读性差 问题二:sql注入问题 所以为了避免sql注入问题,用PrepareStatement取代Statement ...
Statement操作数据库的弊端 [Java][JDBC]
m0_57001006的博客
03-29 352
Statement操作数据库的弊端 数据库连接被用于向数据库服务器发送命令和SQL语句,并接受数据库服务器返回的结果 其实一个数据库连接就是一个Socket连接 在java.sql包有三个接口分别定义了对数据库的调用的不同方式: Statement: 用于执行静态SQL语句,并返回它所生成结果的对象 PreparedStatement: 预编译SQL语句并将SQL语句存储在此对象,可以使用此对象多次高效的执行该语句 CallableStatement: 用于执行SQL存储过程 这个接口
使用Statement操作数据表弊端
七一
07-27 503
使用Statement操作数据表弊端 通过调用 Connection 对象的 createStatement() 方法创建该对象。该对象用于执行静态的 SQL 语句,并且返回执行结果。 Statement 接口定义了下列方法用于执行 SQL 语句: int excuteUpdate(String sql):执行更新操作INSERT、UPDATE、DELETE ResultSet executeQuery(String sql):执行查询操作SELECT 但是使用Statement操作数据表
JDBC-02:操作访问数据库时使用Statement操作数据表弊端
小贺想改变
11-05 374
JDBC-02:操作访问数据库时使用Statement操作数据表弊端
使用预编译对数据库的操作
weixin_41536380的博客
07-28 201
java使用JDBC动态创建数据表及SQL预处理的方法
08-29
Java 使用 JDBC 动态创建数据表及 SQL 预处理的方法是 Java 语言常用的数据操作技术。该方法主要涉及到 JDBC 操作数据库的连接、创建表、添加数据、查询等相关实现技巧。 一、JDBC 操作数据库的连接 在使用 ...
使用JDBC4.0操作OracleBLOB类型的数据方法
12-16
下面通过本文给大家介绍JDBC4.0操作OracleBLOB类型的数据的方法。 需要的jar包 使用ojdbc6.jar 在/META-INF/MANIFEST.MF里可以看到Specification-Version: 4.0 建表 create sequence seq_blobmodel_id start ...
JDBC使用Statement修改数据
08-27
JDBC 使用 Statement 修改数据JDBCJava Database Connectivity,Java 数据库连接)是 Java 语言用来连接数据库的 API,StatementJDBC 的一种接口,用于执行 SQL 语句以修改数据数据。下面是对 ...
JDBCStatement和Preparement的使用讲解
08-26
JDBC Statement 和 PrepareStatement使用讲解 Statement 对象是用来执行 SQL 语句的接口,提供了基本的 SQL 语句执行功能。PrepareStatementStatement 的子接口,提供了预编译的功能,可以提高性能和安全...
SpringBoot使用JDBC获取相关的数据方法
08-26
SpringBoot 使用 JDBC 获取相关数据方法 SpringBoot 作为一个流行的微服务框架,提供了多种方式来访问数据库,其使用 JDBCJava Database Connectivity)是一种常用的方法。在这篇文章,我们将介绍如何使用 ...
使用预编译对数据库的操作代码
weixin_41536380的博客
07-28 230
页面一: package com.oracle.util; import java.sql.Connection; import java.sql.DriverManager; import java.sql.ResultSet; import java.sql.SQLException; import java.sql.Statement; /** * * DBTools: data...
Java数据操作
weixin_30617797的博客
08-28 55
一、JDBC 1.JDBC Java数据库连接,用于Java程序实现数据操作功能,java.sql包提供了执行SQL语句,访问各种数据库的方法,并为各种不同的数据库提供统一的操作接口及类。 2.操作步骤 加载JDBC驱动器,将JDBC驱动加载到classpath。 加载JDBC驱动,并将其注册到DriverManager。一般使用反射机制class.f...
获取参数的元数据信息
BuildingJiang的博客
03-23 876
public class parameterMedaData { public static void main(String[] args) { //创建sql语句 String sql = "select * from user where id >?"; //创建一个数组 Object obj[] = new Object[
java statement升级_通过 Statement 执行数据表的更新操作
weixin_29628189的博客
02-24 714
通过Statement来执行SQL的Insert,Delete,Update操作package xuezaipiao;/*** 通过JDBC数据表添加数据* 1.获取数据库连接* 2.Statement : 用于执行SQL的对象* --通过 Connection 的createStatement() 方法来获取* --通过executeUpdate(sql) 可以执行SQL语句* --注意SQ...
java_web学习(12)JDBC
weixin_30340353的博客
08-08 109
数据持久化 持久化(persistence):把数据保存到可掉电式存储设备以供之后使用。大多数情况下,特别是企业级应用,数据持久化意味着将内存数据保存到硬盘上加以”固化”,而持久化的实现过程大多通过各种关系数据库来完成。持久化的主要应用是将内存数据存储在关系型数据,当然也可以存储在磁盘文件、XML数据文件。 ...
Java JDBC技术:(三)通过 Statement 向表插入数据与修改数据
地球村
05-15 2232
通过 Statement 向表插入数据与修改数据1.下载数据库驱动1.MySQL 驱动2.Oracle 驱动2.创建项目添加驱动3.通过 Statement 向表插入数据4.通过 Statement 对象修改表数据 1.下载数据库驱动 1.MySQL 驱动 驱动下载地址 2.Oracle 驱动 数据库安装目录\oracle\product\11.2.0\dbhome_1\jdbc\lib 2.创建项目添加驱动 创建一个正常的项目我相信我不用说了吧… 手动滑稽 添加jar包的话我之前有说链接在下面
jdbc+sql+preparedStatement使用预编译实现增添数据
yigehowo的博客
07-23 714
import java.sql.Connection; import java.sql.DriverManager; import java.sql.PreparedStatement; import java.sql.SQLException; public class testInsert { //通过参数,插入一条记录 public static void testIns
Statement操作sql语句的弊端
pison007的博客
01-31 388
Statement操作SQL语句的弊端 在学习JDBC的时候,提到了用Statement进行数据库的增删改查的弊端,主要有两点。 拼写sql语句涉及字符串的拼接,太痛苦 sql注入 . 下面通过一个登录情景说明这两个弊端 登录的过程: 简单的登录实现,用户输入用户名和密码。获取用户名和密码的信息后去数据库的表对比,如果发现有匹配的用户名和密码,就表明登录成功,没有匹配的用户信息说明匹配失败。 我写了一个get方法,该方法可以去数据表查看是否有对应的用户信息,如果有就返回相应的User对象,没有则返回
jdbc增删改查——jdbc查询数据
最新发布
06-12
好的,JDBCJava Database Connectivity的缩写,它是Java语言用于操作数据库的标准API。在Java程序使用JDBC查询数据的步骤如下: 1. 加载JDBC驱动程序 在使用JDBC操作数据库之前,需要先加载JDBC驱动程序。可以通过Class.forName()方法来加载驱动程序,例如: ``` Class.forName("com.mysql.jdbc.Driver"); ``` 2. 建立数据库连接 使用DriverManager.getConnection()方法建立与数据库的连接,需要指定数据库的URL、用户名和密码,例如: ``` String url = "jdbc:mysql://localhost:3306/test"; String username = "root"; String password = "123456"; Connection conn = DriverManager.getConnection(url, username, password); ``` 3. 创建Statement对象 使用Connection对象的createStatement()方法创建Statement对象,用于执行SQL语句,例如: ``` Statement stmt = conn.createStatement(); ``` 4. 执行SQL语句 使用Statement对象的executeQuery()方法执行查询语句,例如: ``` String sql = "select * from student where age > 18"; ResultSet rs = stmt.executeQuery(sql); ``` 5. 处理查询结果 使用ResultSet对象处理查询结果,例如: ``` while (rs.next()) { int id = rs.getInt("id"); String name = rs.getString("name"); int age = rs.getInt("age"); System.out.println("id=" + id + ", name=" + name + ", age=" + age); } ``` 6. 关闭资源 使用完ResultSet、Statement和Connection等资源后需要关闭,例如: ``` rs.close(); stmt.close(); conn.close(); ``` 以上就是使用JDBC查询数据的步骤,希望能对你有所帮助。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值