JDBC进阶:PrepardStatement、JDBCUtil工具类

已于 2022-09-13 00:06:37 修改
阅读量475 收藏
点赞数
分类专栏: JavaSE MySQL 文章标签: java 数据库 sql
于 2022-09-13 00:04:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_52130567/article/details/126823450
版权

目录

1. PreparedStatement

1.1 概述

1.2 核心方法

1.3 SQL注入与演示

1.4 使用PrepareStatement防止SQL注入

2. JDBCUtil工具类

2.1 概述

2.2 创建和使用JDBCUtil工具类

1. PreparedStatement

1.1 概述

        

        PreparedStatement接口是Statement的子接口,PreparedStatement对象是通过Connection接口的实现类中实现的prepareStatement()创建的,特点是在创建时就与一条SQL语句完成了绑定,这样可以保护数据库和程序的安全,防止SQL注入。

1.2 核心方法

1. int executeUpdate()

  与Statement的executeUpdate(sql)的作用相同,不过这里的executeUpdate()不需要传入SQL语句,而是执行与当前对象绑定的SQL语句,如果绑定的SQL语句是做行的增删改,可以用这个方法。

  

2. ResultSet executeQuery()

  与Statement的executeQuery(sql)的作用相同,但一样不用传入SQL语句而是用绑定的,如果PreparedStatement对象绑定了查询表的语句,可以用这个方法。

1.3 SQL注入与演示

        所谓SQL注入,就是在需要用户输入的位置输入了SQL语句的片段,使其与代码中使用字符串拼接完成的SQL模板进行拼接形成完整的SQL语句。比如用户登录的逻辑就是验证输入的ID和密码是否能在数据库中查到,SQL注入可以做到不用匹配数据库已有的ID和密码就可以登录,这是很危险的!

        本Reno就来演示一下SQL注入是如何实现的

  先搞一个user表

CREATE TABLE tb_user (
user_name VARCHAR(10),
user_password VARCHAR(16)
)

 再写一段程序模拟用户登录

package com.reno.D0907;

import util.JDBCUtil;

import java.sql.*;

public class A {
    public static void login(String username, String password) throws SQLException {
        Connection con = null;
        Statement stmt = null;
        ResultSet rs = null;
        try {
            con = JDBCUtil.getConnection();

            stmt = con.createStatement();
            String sql = "SELECT * FROM tb_user WHERE " +
                    "user_name='" + username +
                    "' and user_password='" + password + "'";
            rs = stmt.executeQuery(sql);
            if (rs.next()) {
                System.out.println("欢迎" + rs.getString("user_name"));
            } else {
                System.out.println("用户名或密码错误!");
            }
        } catch (Exception e) {
            e.printStackTrace();
        } finally {
            if (con != null) con.close();
            if (stmt != null) stmt.close();
            if (rs != null) rs.close();
        }
    }

    public static void main(String[] args) throws SQLException {
        login("a' or '1' = '1", "a' or '1' = '1");
    }
}

此时注意,表中数据只有这两个

结果竟然登陆成功了

这是因为SQL语句中or的优先级高于and,or ‘1’ = ‘1’加进去自然就满足了里面的查询条件,从而不需要正确的用户名和密码就可以登录了。

1.4 使用PrepareStatement防止SQL注入

在这先提一嘴啊,单用preparedStatement是不足以防止SQL注入的,想要防止SQL注入,SQL语句绝对禁止使用字符串拼接,而是将带输入属性替换成“?”,通过preparedStatementXXX()方法即可,第一个参数指的是要给第几个问号赋值,第二个参数指的是将对应位置问号替换的值是什么。

 public static void login(String username, String password) throws SQLException {
        Connection con = null;

        PreparedStatement pst = null;
        ResultSet rs = null;
        try {
            con = JDBCUtil.getConnection();


            String sql2 = "SELECT * FROM tb_user WHERE user_name = ? and user_password = ?";
            pst = con.prepareStatement(sql2);
            pst.setString(1, username);
            pst.setString(2, password);
            rs = pst.executeQuery();
            if (rs.next()) {
                System.out.println("欢迎" + rs.getString("user_name"));
            } else {
                System.out.println("用户名或密码错误!");
            }
        } catch (Exception e) {
            e.printStackTrace();
        } finally {
            if (con != null) con.close();
            if (pst != null) pst.close();
            if (rs != null) rs.close();
        }
    }

没有了字符串拼接,想SQL注入,不可能! 

2. JDBCUtil工具类

2.1 概述

在我们用Java程序去操纵数据库时总是会用到里面的四大元素:驱动类、DB的url、用户名、密码

这四个元素都与指定数据库关联,如果以后要换一个数据库,这些元素必定要改,如果像我们初学JDBC时那样去定义这些元素,肯定需要修改源代码,这违背了设计模式中提到的开闭原则:对扩展开放,对修改关闭。要想避免频繁修改源代码,我们需要一个JDBC的工具类,和一个properties配置文件。

2.2 创建和使用JDBCUtil工具类

package util;

import java.io.IOException;
import java.io.InputStream;
import java.sql.*;
import java.util.Properties;

public class JDBCUtil {
    static Properties prop;//配置文件对象,是一种表示键值对的集合,可以获取配置文件的键值对
    private static InputStream is;

    static {
        prop = new Properties();
        try {
            is = JDBCUtil.class.getClassLoader().getResourceAsStream("db.properties");//通过相对路径获取配置文件的字节输入流
            prop.load(is);//读取配置文件中的键值对
            Class.forName(prop.getProperty("driverClass"));//加载驱动类,只需要运行一次
        } catch (IOException | ClassNotFoundException e) {
            e.printStackTrace();
        }
    }

    //得到连接
    public static Connection getConnection() throws SQLException {

        return DriverManager.getConnection(prop.getProperty("url"), prop.getProperty("username"), prop.getProperty("password"));

    }

    //关闭资源
    public static void close(ResultSet rs, PreparedStatement pst, Connection con) {
        try {
            if (rs != null) rs.close();
            if (pst != null) pst.close();
            if (con != null) con.close();
        } catch (SQLException e) {
            e.printStackTrace();
        }
    }
}

特喵非要去刚
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Day8_9 Java学习之PreparedStatement类与JDBCUtil工具类
weixin_43717536的博客
09-08 695
解析:驱动类、url、用户名,以及密码。2.也为了代码的复用性高,我们将上述注册驱动及获取数据库连接、关闭资源等等代码抽取出来,统一的放到JDBCUtil工具类中。3.上述的四大参数都与特定数据库关联,如果将来想更改数据库,那么就要去修改这四大参数,那么为了不去修改代码,我们也必须写一个JdbcUtils类,让它从配置文件中读取配置参数,然后创建连接对象,这样做是为了方便程序的维护。
PreparedStatement的基本介绍与使用
薯条和番茄酱的博客
10-25 3152
1.PreparedStatement执行的SQL语句中的参数用?表示,调用PreparedStatement对象的setXxx()方法设置这些参数。setXxx()有两个参数,第一个参数是要设置SQL语句中的参数的索引从1开始,第二个是设置的SQL语句中的参数的值例如:2.调用,返回ResultSet对象3.调用,执行更新,包括增删改查。
JDBC之PreparedStateMent类、工具类、Dao层、事务
weixin_54194900的博客
09-10 587
PreparedStatemen是预编译声明的意思。预编译功能:客户端发送sql语句给数据库服务器的时候,服务器有三步,编译sql-----语法分析------执行语句。预编译的意思就是当前面执行过相似的sql语句,会把前面两步保存起来,后面执行类似的语句 可以跳过前面两步。该子接口可以让数据库开启预编译功能(前提是数据库有这个功能)。同时,PreparedStatementStatement的子接口,我们在以后的学习中我们可以使用PrearedStatement来代替Statement
使用PreparedStatement实现量数据的操作
qq_56627079的博客
10-10 2015
JDBC对数据的量操作
java-jdbc2-PreparedStatement, 元数据, JdbcUtils
weixin_51313154的博客
06-25 267
总结:
JDBCUtil javaJDBC工具类
最新发布
07-31
* 将JDBC开发流程封装 ...加载类文件: 类文件只需要加载到内存一次即可 * 2.建立连接通道 * 3.建立交通工具 * 4.推送命令并得到处理结果 * 5.销毁相关资源 连接通道建立 交通工具创建 推送sql命令并带回处理结果
JdbcUtilJdbc通过工具类
01-05
JdbcUtilJdbc通过工具类
JDBC工具类(针对mySQL
06-07
1、JDBCUtilJDBC工具类) 这里封装了Java数据库建立连接,执行查询或更新语句,释放链接等基本方法,并使用连接池实现mySql高效率执行查询更新的功能。 2、SQLUtilSQL语句工具类) 对基本SQL语句进行了...
day2_jdbc.zip_jdbc ut_jdbc util_jdbcUtil_jdbc封装
09-23
JdbcUtil,是jdbc自己写了一个类,用它来封装具体的实现
jdbc练习的一个工具类
07-22
public class JdbcUtil { private static final String URL = "url"; private static final String DBINFO_FIIE_NAME = "dbinfo.properties"; private static Properties infos = new Properties(); private ...
JDBC用PrepareStatement解决SQL注入
qq_46534049的博客
01-31 2131
setXxx()方法有两个参数,第一个参数是要设置的SQL语句中的参数的索引(从1开始),第二个是设置的SQL语句中的参数的值。SQL注入(SQL injection)是因为应用程序在执行SQL语句的时候没有正确的处理用户输入字符串,将用户输入的恶意字符串拼接到了SQL语句中执行,从而导致了SQL注入。这个代码中1=1永远都是对的,#后面的成了注释,所以这条语句会将表中所有的数据查询出来,然后再做数据判断的时候,就会得到正确结果,从而说用户名和密码正确,登录成功。这是查询一条数据的运行结果。
使用PrepareStatement实现插入数据、查询数据、ResultSet和ResultSetMetaData及资源释放
m0_61961937的博客
09-19 2273
使用PrepareStatement实现插入数据、查询数据、ResultSet和ResultSetMetaData及资源释放
prepareStatement的用法和解释
weixin_43882983的博客
08-21 3927
1.PreparedStatement是预编译的,对于量处理可以大大提高效率. 也叫JDBC存储过程 2.使用 Statement 对象。在对数据库只执行一次性存取的时侯,用 Statement 对象进行处理。PreparedStatement 对象的开销比Statement大,对于一次性操作并不会带来额外的好处。 3.statement每次执行sql语句,相关数据库都要执行sql语句的编译,p...
(21)JDBC工具类、Dao模式、项目分层、Statement和PrepareStatement的区别
qq_44667083的博客
08-11 189
这里写目录标题一、JDBC工具类二、Statement和PrepareStatement的区别三、项目分层1.需求分析:2.界面原型分析:3.数据库分析:4.接口分析: 一、JDBC工具类 建立连接 关闭连接 执行增删改查SQL 封装无参的JDBCUtil: import java.sql.Connection; import java.sql.DriverManager; import java.sql.SQLException; import java.sql.Statement; public cl
Java实现关系型数据库工具类JdbcUtils系列四:PreparedStatement执行sql语句实现查询
zhengzaifeidelushang的博客
12-11 1320
Java实现关系型数据库工具类JdbcUtils系列四:PreparedStatement执行sql语句实现查询一、建表语句二、JdbcUtils实现建立连接和关闭连接三、PreparedStatement实现查询 一、建表语句 CREATE TABLE `stuinfo` ( `id` int(11) NOT NULL AUTO_INCREMENT COMMENT '学生自增id', `stunum` int(11) NOT NULL COMMENT '学号', `name` varchar(
JAVAJDBC】【使用PreparedStatement操作数据库
芊樱烛渊的博客
08-07 4495
这里我们是先连接到了我们上述的数据表,然后将数据表中的user和password的内容独取出来,然后编成sql语句,交给我们的mysql,并且如果查询失败就返回用户名不存在或者密码错误,如果查询成功就返回登陆成功。针对于不同的表我们想要获取到的查询数据的结构一定是不同的,所以我们需要在查询的时候将我们查询的结构传入,然后利用反射机制构造出对应的对象,然后将对应的对象返回。原来我们想表达的是 xx and xx是一个并且的关系,也就是我们的use和password同时正确的时候才返回结果。...
PreparedStatement的setObject作用
花伤情犹在的博客
06-07 4508
前言 在了解setObject作用前讲解一下PreparedStatement这个接口,然后循序渐进从setXxx()方法讲解到setObject。 PreparedStatement java.sql包中的PreparedStatement接口继承了Statement接口,PreparedStatement对象可以防止sql注入,而Statement不能防止sql注入,所以实际开发的时候千万不要使用StatementSQL注入: 比如我的SQL语句为: select * from user wher
prepareStatement语句
qq_36930483的博客
09-27 310
JDBC中的——PreparedStatement 预编译原理 prepareStatement语句有三大好处: Statement.executeUpdate("INSERT INTO tb1_students (name,age,sex,address) VALUES('"+var1+"','"+var2+"',"+var3+",'"+var4+"')"); ​ prepareStatement= connection.prepareStatement("INSERT INTO tb1_stud
PrepareStatement用法(附源码解析)
Sherlock1020的博客
08-11 5044
PrepareStatement 基本用法 与 SQL注入分析
写一个JDBCUtil工具类
03-29
JDBCUtil是一个用于管理JDBC连接的工具类。它可以帮助你轻松地创建、释放和管理数据库连接,同时也提供了一些方便的方法来执行SQL语句和获取结果集。 以下是一个JDBCUtil工具类的示例: ```java import java.sql.*...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值