JDBC之ORM思想及SQL注入

于 2025-04-25 11:47:02 发布
阅读量845 收藏 25
点赞数 43
分类专栏: JDBC 文章标签: 数据库 sql ORM SQL注入 JDBC
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46987323/article/details/147468000
版权

目录

一. ORM编程思想

1. 简介

2. 实操ORM思想

a. Students实体类

b. ORM映射

二. SQL注入

1. 简介

2. 解决SQL注入

三. 总结

前言

本文来讲解ORM编程思想和SQL注入,旨在帮助大家更容易的理解和掌握

个人主页:艺杯羹

系列专栏:JDBC

一. ORM编程思想

1. 简介

这是一种思想,对象关系映射(英语:Object Relational Mapping,简称ORM,或O/R mapping)是一种为了解决面向对象语言与关系数据库存在的互不匹配的现象

这个思想就是要求:

  1. 表与所创建的类要对应
  2. 表的一个字段和类中一个属性一一对应
  3. 表的一行数据和类的一个对象对应

实体类

实体类就是一个定义了属性,拥有getter、setter、无参构造方法(基本必备)的一个类。实体类可以在数据传输过程中对数据进行封装,相当于一个“工具”、“容器”、“载体”,能存储、传输数据,能管理数据

特点分类具体描述
类名实体类名尽量和数据库中的表名一一对应
属性与字段实体类中的属性对应数据库表中的字段,相关的命名最好也一一对应
方法实体类内方法主要有 getter、setter 方法,用于设置、获取数据
访问修饰符实体类属性一般为 private 类型,方法为 public 类型
构造方法实体类应该有无参、有参构造方法

关系图如下:

2. 实操ORM思想

a. Students实体类

// 实体类,存放Users表中的数据
public class Students {
    private int studentid;
    private String studentname;
    private int studentage;

    public int getStudentid() {
        return studentid;
    }

    public void setStudentid(int studentid) {
        this.studentid = studentid;
    }

    public String getStudentname() {
        return studentname;
    }

    public void setStudentname(String studentname) {
        this.studentname = studentname;
    }

    public int getStudentage() {
        return studentage;
    }

    public void setStudentage(int studentage) {
        this.studentage = studentage;
    }
}

b. ORM映射

public List<Students> selectAllStu(){
        Connection connection = null;
        PreparedStatement ps = null;
        ResultSet rs = null;
        List<Students> list = new ArrayList<>();
        try{
            // 获取数据库连接
            connection = JdbcUtils.getConnection();
            // 创建PreparedStatement对象
            ps = connection.prepareStatement("select * from students");
            // 执行查询
            rs = ps.executeQuery();
            // 操作ResultSet对象获取查询的结果集
            while(rs.next()){
                // 获取列中的数据
                int studentid = rs.getInt("studentid");
                String studentname = rs.getString("studentname");
                int studentage = rs.getInt("studentage");
                // ORM映射处理
                Students student = new Students();
                student.setStudentid(studentid);
                student.setStudentname(studentname);
                student.setStudentage(studentage);
                list.add(student);
            }
        }catch (Exception e){
            e.printStackTrace();
        }
        return list;
    }

测试

ResultSetTest tst = new ResultSetTest();
List<Students> students = tst.selectAllStu();
for(Students student : students){
System.out.println(student.getStudentid()+" "+student.getStudentname()+" "+student.getStudentage());
}

 

二. SQL注入

1. 简介

所谓 SQL 注入,就是通过把含有 SQL 语句片段的参数插入到需要执行的 SQL 语句中,
最终达到欺骗数据库服务器执行恶意操作的 SQL 命令

这种情况会导致数据泄露的风险,如果是登录账号,被使用sql注入攻击,那么就会导致数据泄露
这里我那statement来举个例子

这是一个用户登录查询的sql语句

// 在Statement里
String sql = 
"SELECT * FROM users WHERE username = '"+username+"' AND password = '"+password+"'"

如果攻击者,输入如下内容
' OR '1'='1' --
那么就会有数据泄露的风险,为什么?现在我们看看源代码

// 这里的意思就变成名字是一直都是为真的
// 并且后面使用 -- 这个符号将密码注释掉了
// 这样就出现了SQL注入
SELECT * FROM users WHERE username = '' OR '1'='1' --' AND password = '任意值';

2. 解决SQL注入

就像之前的文章提到的,为什么使用Statement会出现SQL注入,就是这个原因
如何去解决呢,就是用PrepareStatement
因为prepareStatement会先用?来占位,就能够防止SQL注入

三. 总结

到此,就讲解完了ORM编程思想和SQL注入,相信你能够很好的理解了
希望本文能够帮助到你😊

网络安全之 SQL 注入防范
威哥说编程
12-08 836
使用预处理语句:通过分离 SQL 语句结构和用户输入,防止恶意输入干扰查询。使用存储过程:将 SQL 逻辑封装在数据库中,避免直接拼接用户输入。输入验证与过滤:对用户输入进行严格的验证和过滤,防止恶意数据进入。最小化数据库权限:确保数据库账户拥有最小的操作权限,避免因权限过大而造成风险。使用 ORM 框架:ORM 自动处理数据库操作,减少手写 SQL 语句的风险。启用 WAF:通过 Web 应用防火墙增加额外的安全防护。错误信息处理:隐藏详细的错误信息,避免泄露系统细节。
java安全(二):JDBC|sql注入|预编译
weixin_45694388的博客
11-14 6417
1 JDBC基础 JDBC(Java Database Connectivity)是Java提供对数据库进行连接、操作的标准API。Java自身并不会去实现对数据库的连接、查询、更新等操作而是通过抽象出数据库操作的API接口(JDBC),不同的数据库提供商必须实现JDBC定义的接口从而也就实现了对数据库的一系列操作。 2 JDBCConnection 2.1连接 Java通过java.sql.DriverManager来管理所有数据库的驱动注册,所以如果想要建立数据库连接需要先在java.sql.Drive
SQLSugar ORM框架
12-03
SqlSugar是一款轻量级、高性能、以及支持.NET 4.+和ASP.NET Core一款ORM框架
ORMSQLAchemy
weixin_30539625的博客
08-28 115
ORMSQLAchemy orm英文全称object relational mapping,就是对象映射关系程序,简单来说就是类似python这种面向对象的程序来说一切皆对象,但是使用的数据库却都是关系型的,为了保证一致的使用习惯,通过orm将编程语言的对象模型和数据库的关系模型建立映射关系,这样在使用编程语言对数据库进行操作的时候可以直接使用编程语言的对象模型进行操作就可以了,而不...
ORM框架如何防范SQL注入风险?
最新发布
qq_35974860的博客
04-16 44
选择合适的ORM框架、严格过滤输入数据、使用参数化查询与预处理语句、使用参数绑定与验证机制以及定期更新和维护都是有效的防范措施。通过参数化查询,可以确保每次执行的SQL语句都是固定的,避免了恶意SQL语句的**。随着互联网应用的普及和数据交互的增加,ORM框架作为ORM工具的重要支柱,其安全性和防范SQL注入风险的重要性逐渐凸显。ORM框架应提供参数绑定与验证机制,确保传入的参数符合预期的值范围和类型。选择具有严格的安全机制和防范SQL注入功能的框架,可以有效降低因SQL注入导致的风险。
使用ORM操作SQL数据库(JPA、Mybatis)
weixin_45906088的博客
05-04 796
JDBC操作每次都需要进行数据库连接,然后处理SQL语句、传值、关闭数据库。为了减少繁琐的步骤,减少开发人员的工作量,于是出现了JDBCTemplate。JDBCTemplate是对JDBC的封装。它已经完成所有的JDBC底层工作,所以,不需要每次都进行连接、打开、关闭等操作了。ORM(Object Relation Mapping)是对象/关系映射。将数据库中的表和内存中的对象建立映射关系。JDBC(Java DataBase Connectivity):用于执行数据库SQL语句的Java API。
《Spring Boot 实战派》--08.用ORM操作SQL数据库
tumu6889的博客
05-28 1460
本章首先介绍如何使用。RM (JPA. MyBatis )操作数据库;然后讲解常用的查询方式、自定义查询方式、原生SQL (Structured Query Language,结构化查询语言)的开发和映射, 还会深 入地讲解一对一、一对多、多对多的关系映射操作以及事务的使用;最后对比分析JPA和MyBatis 的区别 8.1认识Java的数据库连接模板JDBCTemplate 8.1.1认识J DBCTemplate 1.了解JDBC 我们先来了解一下JDBC( Java D...
JDBC如何有效防止SQL注入
12-14
在Java的JDBC编程中,防止SQL注入至关重要,以下是一些有效的策略: 1. **预编译SQL语句(PreparedStatement)**: 使用`PreparedStatement`代替`Statement`是防止SQL注入的基本方法。预编译的SQL语句将参数化查询...
SQL注入原理与解决方法代码示例
09-09
- **预编译语句(PreparedStatement)**:Java的JDBC提供预编译语句接口,可以有效地防止SQL注入。预编译语句将查询模板与用户输入分开,确保用户输入的数据不会被解释为SQL代码。例如: ```java String query = ...
ORM 与纯 SQL:选择哪一个?
我的博客,不一样的自我表达
03-31 512
如果您需要完全控制、查询优化,并且正在处理具有复杂或动态数据的高性能项目,请选择纯 SQL。您的查询高度复杂且可定制:当 ORM 抽象限制您的查询能力时,这是理想的选择。您需要数据处理方面的最大灵活性:特别是在具有非传统或高度动态数据结构的系统中。您的数据是结构化和关系型的:非常适合具有明确定义的数据模型的应用程序。您更喜欢专注于业务逻辑:ORM 处理数据库查询,让您专注于应用程序。您需要全面的控制和优化:直接数据库访问允许进行特定的优化。您需要快速开发:ORM 允许您更有效地生成数据库代码。
ORMsql 的配合使用
weixin_42260623的博客
01-18 855
Django中原生sql语句查询的方法 sql = “SELECT count(*) from main_infohash” sql = “select rows from table_rows where DATE_FORMAT(dt,’%Y%m%d’)=‘20181208’” with connections[“update”].cursor() as c: c.execute(sql) to...
ORM框架SQLAlchemy使用学习
weixin_30393907的博客
09-19 981
参考源:http://blog.csdn.net/fgf00/article/details/52949973 一、ORM介绍 如果写程序用pymysql和程序交互,那是不是要写原生sql语句。如果进行复杂的查询,那sql语句就要进行一点一点拼接,而且不太有重用性,扩展不方便。而且写的sql语句可能不高效,导致程序运行也变慢。 为了避免把sql语句写死在代码里,有没有一种方法直接把原生s...
ORMSQLAchemy
MJ_GOD
06-23 745
文章目录ORMSQLAchemyORM 对象关系映射ORM是什么ORM的优点隐藏数据访问细节对于初学者体验好有助于编组以及代码一般更为简单ORM的缺点配置自定义查询特定的绑定对象查询语言性能紧耦合性缓存SQLAchemySQLAchemy是什么SQLAchemy的使用配置连接数据库的url与连接对象常见的SQLAchemy数据类型常用的SQLAlchemy列选项创建表格常见的SQLAlchemy...
ORM 盛行下,你知道真正执行的 sql
Go中国
06-12 306
推荐理由在这个 orm 盛行的服务端开发环境下,已经很少有人写 raw sql 了吧,毕竟 orm 框架可以帮助开发人员屏蔽 db 的细节,同时还能在一定成程度上预防 sql 注入的风险,大多数情况下,对业务代码的单测,会使用 sqlite 来 mock 真正的 db,以验证功能的完备性,但当你写完一条 orm 语句后,是否会校验,生成的真正执行的 sql 是你的预期么?...
数据库sql操作基础和ORM
突维
02-18 395
show databases; -- `显示所有的库` use koa2weibo; -- `启用当前的库` select * from blog order by id desc; //通过id 倒序查询 select * from users; //查询users表 所有数据 一般不用 而用下面条件查询 select username,`password` from users where username='aaa' and `password`='123'; //条件查询 -- selec.
go语言开发时,ormsql应该怎么选呢
SMILY12138的博客
04-01 1556
Beego ORM支持MySQL、PostgreSQLSQLite、MSSQL等多种数据库,并提供了ORM常规操作、查询构建器、预加载、事务控制等功能。sqlx是一个基于database/sql扩展的SQL库,它在database/sql的基础上增加了更多的功能,例如命名参数绑定、结构体绑定、预编译语句等。综上所述,Go语言中既有优秀的ORM框架,也有灵活的SQL库。本文将从以下几个方面对这个问题进行分析:ORMSQL的优劣、Go语言中的ORM框架、Go语言中的SQL库、如何选择ORMSQL
ORM架构基础,通过反射获取SQL字符串
蜗牛的博客
12-01 871
ORM的核心内容即为在关系型数据库和对象之间作一个映射,这样,我们在具体的操作数据库的时候,就不需要再去和复杂的SQL语句打交道,只要像平时操作对象一样操作它就可以了 。
评论 35
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值