JDBC
1 JDBC概述
JDBC:Java DataBase Connectivity,Java语言连接数据库。JDBC是SUN公司制定的一套接口,在java.sql.*包下。
驱动:数据库驱动以jar包的形式存在,jar包中的.class文件是对JDBC接口的实现。驱动由数据库厂家提供。
2 配置环境
下载对应驱动jar包,配置到环境变量classpath中。
3 JDBC编程步骤
- 注册驱动
- 获取连接:表示打开JVM的进程和数据库进程之间的通道,使用完后要关闭通道
- 获取数据库操作对象:专门执行SQL语句的对象
- 执行SQL语句
- 处理查询结果集
- 释放资源
练习:用户登陆业务
1.需求:
模拟用户登陆功能的实现
2.业务描述:
程序运行时,提供一个输入入口,让用户输入用户名和密码;输入用户名和密码后,提交信息,java程序收集到用户信息;java程序连接数据库验证用户名和密码是否合法;合法:显式登陆成功!不合法:显式登陆失败!
3.数据准备
使用PowerDesigner建模工具进行数据库表的设计。
4.当前程序存在的问题:
用户名:safgh
密码:safgh’ or ‘1’='1
SQL注入,存在安全隐患
5.SQL注入的根本原因:
用户输入的信息含有sql语句关键字,并且这些关键字参与sql语句的编译,
导致sql语句的原意被扭曲,进而出现SQL注入。
package test;
import java.sql.*;
import java.util.HashMap;
import java.util.Map;
import java.util.Scanner;
public class loginTest01 {
public static void main(String[] args) {
// 初始化一个界面
Map<String, String> userLoginInfo = initUI();
// 验证用户名和密码
boolean loginSuccess = login(userLoginInfo);
// 输出结果
System.out.println(loginSuccess ? "登陆成功!" : "登陆失败!");
}
/**
* 验证用户登录名和密码
* @param userLoginInfo 用户登陆信息
* @return false表示失败,true表示成功
*/
private static boolean login(Map<String, String> userLoginInfo) {
// 打标记
boolean loginSuccess = false;
Connection conn = null;
Statement stmt = null;
ResultSet rs = null;
try {
// 1.注册驱动
Class.forName("com.mysql.jdbc.Driver");
// 2.获取连接
conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/liuyupeng", "root", "1234");
// 3.获取数据库操作对象
stmt = conn.createStatement();
// 4.执行sql
String loginName = userLoginInfo.get("loginName");
String loginPwd = userLoginInfo.get("loginPwd");
String sql = "select * from t_user where loginName = '" + loginName + "' and loginPwd = '" + loginPwd + "'";
// 以上代码完成了sql语句的拼接
// 以下代码将sql语句发送给DBMS,进行sql编译,将“非法信息”编译进去了
rs = stmt.executeQuery(sql);
// 5.处理结果集
if (rs.next()) {
loginSuccess = true;
}
} catch (ClassNotFoundException e) {
e.printStackTrace();
} catch (SQLException e) {
e.printStackTrace();
} finally {
// 6.释放资源
if (rs != null) {
try {
rs.close();
} catch (SQLException e) {
e.printStackTrace();
}
}
if (stmt != null) {
try {
stmt.close();
} catch (SQLException e) {
e.printStackTrace();
}
}
if (conn != null) {
try {
conn.close();
} catch (SQLException e) {
e.printStackTrace();
}
}
}
return loginSuccess;
}
/**
* 初始化用户界面
* @return 用户的登陆信息
*/
private static Map<String, String> initUI() {
Scanner s = new Scanner(System.in);
System.out.print("请输入用户名:");
String loginName = s.nextLine();
System.out.print("请输入密码:");
String loginPwd = s.nextLine();
Map<String, String> userLoginInfo = new HashMap<>();
userLoginInfo.put("loginName", loginName);
userLoginInfo.put("loginPwd", loginPwd);
return userLoginInfo;
}
}
1.解决SQL注入问题:
-
用户提供的信息不参与SQL语句的编译过程(即使SQL语句含有关键字,这些关键字不参与编译,不起作用)。
-
使用java.sql.PreparedStatement,此接口继承了jav.sql.Statement接口,是预编译的数据库操作对象。
-
PreparedStatement的原理是预先对SQL语句的框架进行编译,然后再给SQL语句传”值“。
2.测试结果:
用户名:safgh
密码:safgh’ or ‘1’='1
登陆失败!
3.对比Statement和PreparedStatement:
- Statement存在SQL注入问题,PreparedStatement解决了SQL注入问题。
- 编译与执行:Statement编译一次,执行一次;PreparedStatement编译一次,可执行多次。后者的效率较高
- PreparedStatement会在编译阶段进行类型安全检查
4.经过对比,PreparedStatement的使用较多。但业务方面要求必须支持SQL注入(进行SQL语句拼接)的时候,必须使用Statement。
5.JDBC的单机事务:
- JDBC默认的事务行为是自动提交,只要执行任意一条DML语句,则自动提交一次。
- 手动提交事务的三行代码:
-
`conn.setAutoCommit(false); // 开启事务`
-
`conn.commit(); // 事务结束,手动提交`
-
`conn.rollback(); // 回滚事务`
-
package test;
import java.sql.*;
import java.util.HashMap;
import java.util.Map;
import java.util.Scanner;
public class loginTest02 {
public static void main(String[] args) {
// 初始化一个界面
Map<String, String> userLoginInfo = initUI();
// 验证用户名和密码
boolean loginSuccess = login(userLoginInfo);
// 输出结果
System.out.println(loginSuccess ? "登陆成功!" : "登陆失败!");
}
/**
* 验证用户登录名和密码
* @param userLoginInfo 用户登陆信息
* @return false表示失败,true表示成功
*/
private static boolean login(Map<String, String> userLoginInfo) {
// 打标记
boolean loginSuccess = false;
Connection conn = null;
PreparedStatement ps = null; // 预编译的数据库操作对象
ResultSet rs = null;
try {
// 1.注册驱动
Class.forName("com.mysql.jdbc.Driver");
// 2.获取连接
conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/liuyupeng", "root", "1234");
// 将自动提交修改为手动提交
conn.setAutoCommit(false); // 开启事务
// 3.获取数据库操作对象
// SQL语句的框架,问号代表占位符,增加过来接收一个“值”,占位符不能使用单引号括起来
String sql = "select * from t_user where loginName = ? and loginPwd = ?";
ps = conn.prepareStatement(sql); // 将sql语句框架发送给DBMS,DBMS进行sql语句的预编译
// 给占位符传值,第一个占位符下标是1,以次类推。JDBC中所有下标从1开始。
String loginName = userLoginInfo.get("loginName");
String loginPwd = userLoginInfo.get("loginPwd");
ps.setString(1, loginName);
ps.setString(2, loginPwd);
// 4.执行sql
rs = ps.executeQuery();
// 5.处理结果集
if (rs.next()) {
loginSuccess = true;
}
// 事务结束,手动提交
conn.commit();
} catch (Exception e) {
// 遇到异常,回滚事务
if (conn != null) {
try {
conn.rollback();
} catch (SQLException e1) {
e1.printStackTrace();
}
}
e.printStackTrace();
}
finally {
// 6.释放资源
if (rs != null) {
try {
rs.close();
} catch (SQLException e) {
e.printStackTrace();
}
}
if (ps != null) {
try {
ps.close();
} catch (SQLException e) {
e.printStackTrace();
}
}
if (conn != null) {
try {
conn.close();
} catch (SQLException e) {
e.printStackTrace();
}
}
}
return loginSuccess;
}
/**
* 初始化用户界面
* @return 用户的登陆信息
*/
private static Map<String, String> initUI() {
Scanner s = new Scanner(System.in);
System.out.print("请输入用户名:");
String loginName = s.nextLine();
System.out.print("请输入密码:");
String loginPwd = s.nextLine();
Map<String, String> userLoginInfo = new HashMap<>();
userLoginInfo.put("loginName", loginName);
userLoginInfo.put("loginPwd", loginPwd);
return userLoginInfo;
}
}