jdbc-PrepareStatement+数据库连接池的介绍

最新推荐文章于 2023-03-15 19:31:45 发布
最新推荐文章于 2023-03-15 19:31:45 发布
阅读量418 收藏
点赞数
分类专栏: JAVAWEB浅入 文章标签: 数据库 sql java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53037676/article/details/125628811
版权

jdbc-PrepareStatement

  1. PrepareStatement的作用

    预编译SQL语句并执行;预防SQL注入问题

  2. SQL注入的说明:

    sql注入是通过操作输入来修改事先准备定义好的SQL语句,用以达到执行代码对服务器进行进攻的方法
    比如我们在进行登录时:需要输入账号和密码,当我们在输入密码为 ‘or’1’='1时会产生sql注入,看下面分析:

@Test
public void testLogin() throws  Exception {
    //2. 获取连接:如果连接的是本机mysql并且端口是默认的 3306 可以简化书写
    String url = "jdbc:mysql:///db1?useSSL=false";
    String username = "root";
    String password = "1234";
    Connection conn = DriverManager.getConnection(url, username, password);

    // 接收用户输入 用户名和密码
    String name = "sjdljfld";
    String pwd = "' or '1' = '1";
    String sql = "select * from tb_user where username = '"+name+"' and password = '"+pwd+"'";
    // 获取stmt对象
    Statement stmt = conn.createStatement();
    // 执行sql
    ResultSet rs = stmt.executeQuery(sql);
    // 判断登录是否成功
    if(rs.next()){
        System.out.println("登录成功~");
    }else{
        System.out.println("登录失败~");
    }

    //7. 释放资源
    rs.close();
    stmt.close();
    conn.close();
}

看该条语句:“select * from tb_user where username = '”+name+“’ and password = '”+pwd+“'”;
将我们输入的账号密码写入(账号随意,密码会产生sql注入): password = ’ ‘or’1’='1 ’ ==>
password = ’ ‘or’1’=‘1’ ; ‘’ => 假 或 ‘1’=‘1’ 真 所以得到的结果为真,所以就算输入的不是真正的密码,最终也能够实现登录。

现在我们使用?(占位符)来防止sql注入:

// SQL语句中的参数值,使用?占位符替代
String sql = "select * from user where username = ? and password = ?";
// 通过Connection对象获取,并传入对应的sql语句
PreparedStatement pstmt = conn.prepareStatement(sql);

我们通过PrepareStatement对象的setXxx()方法来设置参数?的值,如下:

  // 接收用户输入 用户名和密码
    String name = "zhangsan";
    String pwd = "' or '1' = '1";

    // 定义sql
    String sql = "select * from tb_user where username = ? and password = ?";
    // 获取pstmt对象
    PreparedStatement pstmt = conn.prepareStatement(sql);
    // 设置?的值
    pstmt.setString(1,name);
    pstmt.setString(2,pwd);
    // 执行sql
    ResultSet rs = pstmt.executeQuery();
    // 判断登录是否成功
    if(rs.next()){
        System.out.println("登录成功~");
    }else{
        System.out.println("登录失败~");
    }

我就很好奇为啥这样就不会产生sql注入?PrepareStatement是如何实现的?
PrepareStatement是将特殊字符进行了转义,转义的sql如下:

select * from tb_user where username = 'sjdljfld' and password = '\'or \'1\' = \'1'

PrepareStatement的优点:
预编译SQL,性能更高
防止SQL注入:将敏感字符进行转义

java代码操作数据库流程如图:
在这里插入图片描述
开启预编译功能:
在代码中编写url时需要加上以下参数。而我们之前根本就没有开启预编译功能,知识解决了sql注入漏洞

useServerPrepstmts=true

配置MYSQL执行日志(重启mysql服务后生效)

  • 在mysql配置文件(my.ini)中添加如下配置
  log-output=FILE
  general-log=1
  general_log_file="D:\mysql.log"
  slow-query-log=1
  slow_query_log_file="D:\mysql_slow.log"
  long_query_time=2

小结

  • 在获取PreparedStatement对象时,将sql语句发送给mysql服务器进行检查,编译(这些步骤很耗时)
  • 执行时就不用再进行这些步骤了,速度更快
  • 如果sql模板一样,则只需要进行一次检查、编译

4,数据库连接池

  • 数据库连接池是个容器,负责分配、管理数据库连接(Connection)

  • 它允许应用程序重复使用一个现有的数据库连接,而不是再重新建立一个;

  • 释放空闲时间超过最大空闲时间的数据库连接来避免因为没有释放数据库连接而引起的数据库连接遗漏

  • 好处

  • 资源重用

  • 提升系统响应速度

  • 避免数据库连接遗漏

数据库连接池实现

  • 标准接口:DataSource

    官方(SUN) 提供的数据库连接池标准接口,由第三方组织实现此接口。该接口提供了获取连接的功能:

    Connection getConnection()

    那么以后就不需要通过 DriverManager 对象获取 Connection 对象,而是通过连接池(DataSource)获取 Connection 对象。

  • 常见的数据库连接池

    • DBCP
    • C3P0
    • Druid

    我们现在使用更多的是Druid,它的性能比其他两个会好一些。

  • Druid(德鲁伊)

    • Druid连接池是阿里巴巴开源的数据库连接池项目

    • 功能强大,性能优秀,是Java语言最好的数据库连接池之一

陈毓辰
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
关于JDBC如何与Druid连接池配合使用
m0_72541842的博客
07-14 1001
JDBC与Druid连接池的结合使用
JDBC数据库连接池Druid工具类详解
最新发布
wgq2020的博客
10-05 441
上面的配置文件中,定义了一个数据源名称为dataSource,它使用的是DruidDataSource类,设置了数据库基本信息、数据库连接池的一些配置和一些拓展功能的配置。在这个示例中,我们通过DruidUtils.getConnection()来获取数据库连接,然后执行SQL查询语句,在finally块中通过DruidUtils.closeConnection()来关闭数据库连接。通过使用Druid工具类,我们可以避免在程序中频繁地创建和销毁数据库连接,从而提高程序的性能和效率。使用Druid工具类。
JDBC - (04)Druid数据库连接池技术
chenyouchang的博客
03-15 517
JDBCJava Database Connectivity(Java连接数据库技术) 通俗点说:在Java代码中,使用JDBC提供的方法,可以发送字符串类型的`SQL语句`到`数据库管理软件`(MySQL、Oracle等),并且获取语句`执行结果`,进而实现数据库数据`CURD操作`的技术。
大数据—— 使用 Durid 进行 JDBC 连接
Vicky_Tang
09-12 3740
目录 一、Druid简介 二、Druid的优点 三、使用 Durid 进行 JDBC MySQL 的连接 3.1 添加 Druid 的依赖、数据库驱动 3.2 创建 JDBC 工具类 3.3 添加配置参数 3.4 测试代码 一、Druid简介 Druid是阿里开源的数据库连接池,作为后起之秀,性能比dbcp、c3p0更高,使用也越来越广泛。 当然Druid不仅仅是一个连接池,还有很多其他的功能。 二、Druid的优点 高性能。性能比dbcp、c3p0高很多。 只要是...
mysql jdbc url ssl_JDBC连接数据库的url设useSSL参数为true产生的问题
weixin_42134168的博客
01-27 1524
**JDBC连接数据库的url设useSSL参数为true产生的问题在此记录一下,我通过JDBC连接MySQL数据库,当将连接数据库的url的useSSL参数设置为true时,就无法连接数据库,当设置为false时就可以正常连接**![]产生的异常信息是:Exception in thread "main" com.mysql.jdbc.exceptions.jdbc4.Communication...
关于JDBC数据库连接池,你了解多少?
12-14
文章目录1 JDBC1.1 使用JDBC的基本步骤1.2 JDBC工具类构建1.3 数据库的CRUD1.4 Dao模式1.5 Statement安全问题1.6 PrepareStatement2 数据库连接池2.1 自定义数据库连接池2.2 解决自定义数据库连接池出现的问题。...
Java数据库连接池c3p0过程解析
08-18
下面将详细介绍Java数据库连接池c3p0过程解析的知识点: 一、c3p0连接池的配置 c3p0连接池的配置可以通过三种方式实现:静态代码块、properties文件和xml文件配置。下面是三种方式的代码示例: 1. 静态代码块配置...
JDBC自定义连接池过程详解
08-25
JDBC自定义连接池过程详解是Java数据库连接池技术的核心内容之一。本文将详细介绍JDBC自定义连接池过程详解的原理、实现和应用。 一、概述 在Java数据库编程中,获得连接和释放资源是非常消耗系统资源的。为了解决...
JDBC连接数据库JDBC连接数据库.ppt
06-03
3. **连接池**:使用连接池(如C3P0、HikariCP等)管理数据库连接,提高性能,减少资源消耗。 4. **结果集处理优化**:如使用`ResultSet.TYPE_FORWARD_ONLY`和`ResultSet.CONCUR_READ_ONLY`模式,减少内存占用。 5. ...
JDBC建立数据库连接的代码
08-28
在实际开发中,为了更高效和安全,可能会使用连接池管理数据库连接,或者使用ORM(对象关系映射)框架如Hibernate或MyBatis来简化数据库操作。同时,对于大量数据的处理,可能还需要考虑批处理和事务管理等高级特性...
JDBC数据库连接池(Druid技术)
keepstrivingchy的博客
07-25 923
day14 JDBC基础03 以及一些杂的补充知识点
解决PostgreSql中一直有连接长时间处于idle in transaction的问题
热门推荐
一VII一 的博客
05-22 3万+
在解决问题前,先来了解一下数据库连接的几种状态。 pg_stat_activity 是一张postgresql的系统视图,它的每一行都表示一个系统进程,显示与当前会话的活动进程的一些信息,比如当前回话的状态和查询等。它的state表示当前进程的状态,一共有六种: Active(活动): 进程正在执行某个语句 Idle(空闲): 进程正在等待客户端的指令 idle in transaction(事务...
php 连接池 idletime,聊聊hikari连接池的idleTimeout及minimumIdle属性
weixin_39807954的博客
04-12 966
序本文主要研究一个hikari连接池的idleTimeout及minimumIdle属性idleTimeout默认是600000毫秒,即10分钟。如果idleTimeout+1秒>maxLifetime 且 maxLifetime>0,则会被重置为0;如果idleTimeout!=0且小于10秒,则会被重置为10秒。如果idleTimeout=0则表示空闲的连接在连接池中永远不被移除。...
1. JDBC详解~
一颗西柚的博客
08-04 545
在开发中我们使用的是java语言,那么势必要通过java语言操作数据库中的数据。这就是接下来要学习的JDBCStatement对象的作用就是用来执行SQL语句。而针对不同类型的SQL语句使用的方法也不一样。执行DDL、DML语句执行DQL语句该方法涉及到了ResultSet对象,而这个对象我们还没有学习,一会再重点讲解。封装了SQL查询语句的结果。ResultSet executeQuery(sql) :执行DQL 语句,返回 ResultSet 对象那么我们就需要从ResultSet。...
jdbc之Druid数据库连接池
weixin_45439287的博客
01-03 216
jdbc之Druid数据库连接池
封装JDBC获取连接以及释放连接的两种方式
CCQDDQ的博客
10-03 336
方式1:正常获取 package TTest; import java.io.IOException; import java.io.InputStream; import java.sql.*; import java.util.Properties; /** * @className: JDBCUtils * @description: 封装JDBC获取连接和释放连接操作 * @author: CCQ * @date: 2021/9/26 **/ public class JDBCUtil
DataUtils对Connection的获取、释放和关闭的操作学习
weixin_30664615的博客
07-14 389
DataSourceUitls介绍 DataSourceUitls类位于org.springframework.jdbc.datasource包下,提供了很多的静态方法去从一个javax.sql.DataSource下获取JDBC Connection,并且提供了对Spring 事务管理的支持。 在JdbcTemplate类的内部,DataSourceUtils被多次使用。其实,我们还可以在代码中...
Spring Transaction导致Datasource连接池耗尽问题分析
我要上天和太阳肩并肩的专栏
06-09 1941
spring 事务增强方法阻塞,导致datasource的connection资源被用光
按以下要求设计程序,完成对数据表users的查询操作,已知表记录如下。 mysql> select * from users; +----+--------+----------+-----------------+------------+ | id | name | password | email | birthday | +----+--------+----------+-----------------+------------+ | 1 | zhangs | 123456 | zs@sina.com | 1980-12-04 | | 2 | lisi | 123456 | lisi@sina.com | 1981-12-04 | | 3 | wangwu | 123456 | wangwu@sina.com | 1979-12-04 | +----+--------+----------+-----------------+------------+ (1)使用DBCP数据库连接池的BasicDataSource类直接创建数据源对象,类名为DBCPUtils。 (2)创建QueryState类,完成查询操作id=1,并返回对象。
06-12
首先,在Java中操作数据库需要使用JDBC技术,而DBCP是JDBC技术的一种实现方式,它是一个开源的数据库连接池使用DBCP连接池可以有效地管理数据库连接,避免频繁地创建和销毁连接,提高程序的性能和稳定性。 下面...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

陈毓辰

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值