数据库 = JDBC,连接池对象

最新推荐文章于 2023-10-04 22:08:18 发布
VIP文章 最新推荐文章于 2023-10-04 22:08:18 发布
阅读量724 收藏
点赞数
分类专栏: 数据库 文章标签: 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/appandroid/article/details/106002839
版权

PreparedStatement:解决sql语句注入问题,数据库连接池

一.PreparedStatement

(1)问题

SQL注入问题

在用户输入的信息和SQL语句进行字符串拼接。用户输入的内容作为了SQL语句语法的一部分,改变了原有SQL真正的意义,以上问题称为SQL注入。

-- 这条sql语句原有的含义是根据用户名和密码查询
-- 现在用户输入了一些特殊字符,改变了sql原有的含义,这种行为称为sql注入

//比如:

//请输入用户名: 
haha
//请输入密码: 
a' or '2'='2

//问题分析:

// 代码中的SQL语句 
"SELECT * FROM user WHERE name='" + name + "' AND password='" + password + "';"; 
// 将用户输入的账号密码拼接后 
"SELECT * FROM user WHERE name='haha' AND password='a' or '1'='1';"

要解决SQL注入就不能让用户输入的密码和我们的SQL语句进行简单的字符串拼接,需要使用PreparedStatement类解决SQL注入。

(2)PreparedStatement

解决SQL注入问题:

我们就不能让用户输入的信息和SQL语句进行字符串拼接,需要使用PreparedStatement对象解决SQL注入。

-- 在java语言中修复sql注入问题,通过占位符代替实际参数
SELECT * FROM USER WHERE username = ? AND password = ?

PreparedStatement基础语法:

// 1.获取连接

// 2.编写sql【占位符代替实际参数】
String sql = "SELECT * FROM USER WHERE name = ? AND password = ?";

// 3.获取sql预编译执行对象,先发送给数据库进行预编译
//PreparedStatement() 会先将SQL语句发送给数据库预编译。 PreparedStatement 会引用着预编译后的结
//果。可以多次传入不同的参数给 PreparedStatement 对象并执行。相当于调用方法多次传入不同的参数。
PreparedStatement pstmt = connection.prepareStatement(sql);

// 4.设置占位符实际参数
pstmt.setString(1,"admin'#");
pstmt.setString(2,"");

// 5.执行sql语句,并返回结果【注意,不需要传递sql参数】
ResultSet resultSet = pstmt.executeQuery();

// 6.处理结果

// 7.释放资源

(3)优点

1. PreparedStatement() 会先将 SQL 语句发送给数据库预编译。 PreparedStatement 会引用着预编译后的结
果。可以多次传入不同的参数给 PreparedStatement 对象并执行。减少 SQL 编译次数,提高效率,提高性能。
2. 安全性更高,没有 SQL 注入的隐患。
3. 参数与sql分离,提高了程序的可读性

 

(4)PreparedStatement的Api介绍

===获取PreparedStatementAPI介绍

java.sql.Connection 有获取 PreparedStatement 对象的方法

PreparedStatement PreparedStatement(String sql)
会先将 SQL 语句发送给数据库预编译。 PreparedStatement 对象会引用着预编译后的结果。
 
PreparedStatement API 介绍
 
java.sql.PreparedStatement 中有设置 SQL 语句参数,和执行参数化的 SQL 语句的方法
 
void setDouble ( int parameterIndex , double x )
将指定参数设置为给定 Java double 值。
 
void setFloat ( int parameterIndex , float x )
将指定参数设置为给定 Java float 值。
 
void setInt ( int parameterIndex , int x )
将指定参数设置为给定 Java int 值。
 
void setLong(int parameterIndex, long x)
将指定参数设置为给定 Java long 值。
 
void setObject(int parameterIndex, Object x)
使用给定对象设置指定参数的值。
 
void setString(int parameterIndex,
最低0.47元/天 解锁文章
hnbyboy
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
数据库连接
qq_40344157的博客
03-23 1045
数据库连接 概念:相当于一个容器(集合),存放数据库连接的容器。当系统初始化好后,容器被创建,容器中会申请一些连接对象,当用户来访问数据库时,从容器获取连接对象,用户访问完后,会将连接对象归还给容器。 优点: 1.节约资源 2.用户访问高效 实现: 1.标准接口:DataSource javax.sql包下的 (1)方法: 获取链接 :getConnection() 归还链接:Connection.close()。如果连接对象Connection是从连接中获取的,那么调用Connectio
对象连接):连接参数、commons-pool2、 GenericObjectPool常用参数详解
老艮头的后知后觉
09-06 3317
为什么会有对象 在实际的应用工程当中,存在一些被频繁使用的、创建或者销毁比较耗时、持有的资源也比较昂贵的一些对象。比如:数据库连接对象、线程对象。所以如果能够通过一种方式,把这类对象统一管理,让这类对象可以被循环利用的话,就可以减少很多系统开销(内存、CPU、IO等),极大的提升应用性能。 Apache Commons Pool Apache Commons Pool就是一个对象的框架,他提供了一整套用于实现对象化的API,以及若干种各具特色的对象实现。Apache Commons Pool是
JDBC连接
hanhanhanfei的博客
05-17 502
1.为什么使用连接数据库连接是一种关键的有限的昂贵的资源,传统数据库连接每发出一个请求都要创建一个连接对象,使用完直接关闭不能重复利用; 关闭资源需要手动完成,一旦忘记会造成内存溢出; 请求过于频繁的时候,创建连接极其消耗内存; 而且一旦高并发访问数据库,有可能会造成系统崩溃。 为了解决这些问题,我们可以使用连接。 2.传统JDBC的缺点 用户每次请求都需要向数据库获得链接,而数据库创建连接通常需要消耗相对较大的资源,创建时间也较长。 假设网站一天10万访问...
JDBC-数据库连接
喃灬疯的博客
11-08 1521
在开始本节之前,我们讨论一个问题:为什么需要数据库连接❓🔰传统JDBC连接数据库的弊端传统的JDBC数据库连接使用来获取,每次向数据库建立连接的时候都要将Connection加载到内存中,再验证IP地址,用户名和密码(0.05s ~1s时间)。每次需要数据库连接的时候,就向数据库要求一个,频繁的进行数据库连接操作将占用很多的系统资源,容易造成服务器崩溃。每一次数据库连接,使用完后都得断开,如果程序出现异常而未能关闭,将导致数据库内存泄漏,最终将导致重启数据库。传统获取连接的方式,不能控制创建的。
JDBC数据库连接
m0_49158934的博客
01-29 544
JDBC代表JAVADATAbASEConnectivity(Java数据库连接),它是一个标准的 Java API,用于 Java 编程语言和大量数据库之间的独立于数据库连接JDBC库包括用于下面提到的每个任务的API,这些API通常与数据库使用相关联。与数据库建立连接。创建SQL或MySQL语句。在数据库中执行SQL或MySQL查询。查看和修改结果记录。
R2,jdbc数据库连接源码
11-27
R2通过代理connection对象和工厂模式实现了不改变原jdbc调用方式的前提下的jdbc数据库连接。结构简单,功能完善,高可配置,充分应用了jdk1.6的同步包特性,提高了并发效率,并能够完美应用于非web项目和web项目,...
数据库连接druid,c3p0,jdbctemplate,jar包.rar
08-13
数据库连接jar包,包含c3p0、druidjar包和依赖jar包,c3p0通过配置文件xml或者properties读取连接对象 druid通过properties读取连接,使用springJDBC JdbcTempalte简化sql操作
JDBC连接MySQL数据库实现增删改查(Dao层实现 解决硬编码 配置连接获得连接对象 )
09-27
工具类 JDBCUtil.java(抽取公共部分,解决硬编码问题 DBCP方式实现连接、配置连接 ==> 获得连接对象连接数据库) 用户账号实体类 User.java(私有化数据库t_user表中的id,username,password) 接口类 ...
mysql数据库连接配置教程
12-15
第一步:写javabean 代码如下: package withouttears.jdbc.db; import java.util.HashMap; import java.sql.*;... //数据库资源的连接工厂是javax.sql.DataSource对象, //它可以创建java.sql.Connec
连接提高Servlet访问数据库的效率(2)
01-08
三、类DBConnectionPool说明该类在209至345行实现,它表示指向某个数据库连接数据库JDBC URL标识。一个JDBC URL由三部分组成:协议标识(总是jdbc),驱动程序标识(如 odbc、idb、oracle等),数据库标识...
JDBC 连接 详解(通俗易懂)
Cyan_RA9的博客
06-11 5820
JDBC 第五节 详解连接 通俗易懂!
JDBC数据库连接
热门推荐
lonelymanontheway的博客
10-24 3万+
JDBC简介,driver类型,JDBC连接,使用技巧; 连接,短连接,长连接连接化思想; 配置,基本配置,关键配置,性能配置; 连接工具; druid; HikariCP; flexy-pool;
详解JDBC各个对象
qq_53721052的博客
10-23 388
详解JDBC各个对象
【Java 进阶篇】JDBC 数据库连接详解
繁依Fanyi的博客
10-04 1003
数据库连接是一种维护数据库连接的技术,它允许应用程序在需要时从中获取数据库连接,并在不需要连接时将其释放回中。这种技术的主要目的是减少每次访问数据库时都要创建和销毁连接的开销,从而提高性能和资源利用率。数据库连接是提高数据库访问性能和效率的重要工具,它可以有效地管理数据库连接,减少了连接的创建和销毁开销,提高了应用程序的性能。本文介绍了数据库连接的概念、原理和使用方法,以及一些常见的配置参数和注意事项。希望读者可以通过本文更好地理解和使用数据库连接,从而提升应用程序的数据库访问性能。作者信息。
JDBC连接原理及分析
weixin_43124134的博客
09-10 1万+
大家好,我是IT修真院西安分院第4期的JAVA学员,一枚正直纯洁善良的JAVA程序员。 今天给大家分享一下,修真院官网Java任务1,深度思考中的知识点JDBC连接原理 一、.背景介绍 什么是连接 1)连接,首先从字面意思理解,这是一个偏正短语,左偏右正,重点在这个字上。 (Pool)技术在一定程度上可以明显优化服务器应用程序的性能,提高程序执行效率和降低系统资源开销。这里所说的...
Java-连接(预编译对象连接
KeepStruggling的博客
08-28 920
1. 预编译对象PreparedStatement 1.1 SQL注入问题 输入的内容作为SQL语句语法的一部分,改变了原有SQL真正的意义 需要用预编译对象解决这个问题 1.2 PreparedStatement介绍 PreparedStatement是一个接口,其超级接口为Statement和Wrapper,子接口为CallableStatement; 1.3 P...
直接配置连接对象
weixin_44050355的博客
01-18 129
但是直接写死在这里不太好,所以就有了引入。。。 能写父类型,不能写子类型。。。 获取连接对象,声明异常。。。
jdbc连接数据库连接
最新发布
10-28
JDBC连接数据库连接是同一个概念,都是为了提高数据库连接的效率和性能而设计的。连接是一组已经建立好的数据库连接,应用程序可以从连接中获取连接,使用完毕后再将连接放回连接中,以便下次使用。这样可以避免频繁地建立和关闭数据库连接,从而提高数据库的访问效率和性能。JDBC连接的实现主要是对JDBC中几个核心对象Connection、Statement、PreparedStatement、CallableStatement以及ResultSet的封装与动态代理。常见的数据库连接有C3P0、BoneCP、DBCP、Tomcat Jdbc Pool、Druid和HikariCP等。其中,Druid和HikariCP是目前比较流行的高性能数据库连接。Druid是阿里巴巴开源的数据库连接,具有监控、防御SQL注入攻击、支持Oracle、MySql、SqlServer等多种数据库等特点。HikariCP是一个轻量级、高性能的数据库连接,被广泛应用于Spring Boot等框架中。它的特点是快速、高效、易用、可靠、稳定。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值