MySQL---JDBC基础操作、SQL注入

已于 2023-05-29 18:07:56 修改
阅读量932 收藏 2
点赞数 1
分类专栏: 初识mysql 文章标签: mysql 数据库 java
于 2023-05-29 16:45:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43961909/article/details/130930650
版权
文章介绍了JDBC作为Java访问数据库的标准规范,包括核心类如DriverManager、Connection、Statement和PreparedStatement的作用。同时,文章讨论了SQL注入的问题,解释了如何通过PreparedStatement防止SQL注入,确保参数作为数据而非指令处理,增强了安全性。
摘要由CSDN通过智能技术生成

1. JDBC

JDBC(Java DataBase Connectivity,java数据库连接)是一种用于执行SQL语句的Java API。

JDBC是Java访问数据库的标准规范,可以为不同的关系型数据库提供统一访问,它由一组用Java

语言编写的接口和类组成。

JDBC需要连接驱动,驱动是两个设备要进行通信,满足一定通信数据格式,数据格式由设备提供

商规定,设备提供商为设备提供驱动软件,通过软件可以与该设备进行通信。

JDBC核心类和接口:

DriverManager:用于注册驱动

Connection: 表示与数据库创建的连接

Statement/PrepareStatement: 操作数据库sql语句的对象

ResultSet: 结果集或一张虚拟表

执行流程:

drop database if exists mydb16_jdbc;
create database if not exists mydb16_jdbc;


use mydb16_jdbc;

create table if not exists student(
	sid int primary key auto_increment,
	sname varchar(20),
	age int
);

insert into student values(NULL,'宋江',30),(NULL,'武松',28),(NULL,'林冲',26);



select * from student;


create table if not exists user(
	uid int primary key auto_increment,
	username varchar(20),
	password varchar(20)
);

insert into user values(NULL,'zhangsan','123456'),(NULL,'lisi','888888');
public class JdbcDemo1 {
    public static void main(String[] args) throws Exception {
        // 注意:使用JDBC规范,采用都是 java.sql包下的内容
        //1 注册驱动
        Class.forName("com.mysql.jdbc.Driver");
        //2 获得连接
        String url = "jdbc:mysql://localhost:3306/mydb16_jdbc";
        Connection conn = DriverManager.getConnection(url, "root", "123456");
        //3获得执行sql语句的对象
        Statement stmt = conn.createStatement();
        //4执行SQL语句
        ResultSet rs = stmt.executeQuery("select * from student");
        //5处理结果集
        while(rs.next()){
            // 获得一行数据
            Integer cid = rs.getInt("sid");
            String cname = rs.getString("sname");
            Integer age = rs.getInt("age");
            System.out.println(cid + " , " + cname);
        }
        //6释放资源
        rs.close();
        stmt.close();
        conn.close();
 
 
    }

2. JDBC的SQL注入

简单的来讲,就是在写SQL语句时用字符串拼接,where查询条件拼接到了or,or后面的判别式为

真,即使SQL语句乱写,数据库也会链接成功。

将拼接的SQL语句打印出来:

由于编写的SQL语句,是在用户输入数据后,整合后再编译成SQL语句。所以为了避免SQL注入的

问题,使SQL语句在用户输入数据前,SQL语句已经完成编译,成为了完整的SQL语句,再进行填

充数据(需要在我们控制台录入后,提前把SQL语句编译成一行长长的字符串,防止注入) 。

PreparedStatement接口继承了Statement接口。执行SQL语句的方法没有区别!

PreparedStatement应用时,SQL字符串的参数都由?符号站位,被称为参数标记。在执行该SQL

语句前,要为每个?参数赋值。

当运行时动态地把参数传给PreprareStatement时,即使参数里有敏感字符如 or '1=1’数据库也会作

为一个参数或一个字段的属性值来处理而不会作为一个SQL指令,如此,就起到了防止SQL注入的

作用了!

我们可以看到输出的SQL是把整个参数用引号包起来,并把参数中的引号作为转义字符,从而避

免了参数也作为条件的一部分。

三月七꧁ ꧂
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
MySql + JDBC 数据库基础操作(防止sql注入的方法)
weixin_45127932的博客
02-26 1221
1.数据库的基本组成 cmd操作数据库时出现系统错误193时 找到安装目录bin目录mysqld空文件删除即可 D:\mysql\mysql-5.7.19-win32\bin 有个mysqld的空文件,删除他即可 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-OdtnoICM-1582730576577)(C:\Users\Administrator\AppData...
jdbcsql注入
林高禄
06-24 9006
什么是sql注入呢 百度百科:SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息 下面我们就通过一个例子来演示一下,例子是通过jdbc连接查account表中的数据,然后用实体类Account封装起来,返回这个类的集合 jdbc工具类代码 package com.lingaol.
引入MySQL驱动包进行JDBC编程
冯同学的博客
11-13 4245
如何在java项目中引入MySQL驱动
jdbc——sql注入
m0_72960906的博客
10-31 961
在用户输入的数据中有SQL关键字或语法,并且关键字或语法参与了SQL语句的编译。导致SQL语句编译后的条件为true,一直得到正确的结果。这种现象就是SQL注入。上面案例代码中,当你的用户名为 abc' or 1=1;# 密码为123,拼接到SQL语句中,变成如下效果:此SQL语句or 后面1=1永远正确,#后面的成了注释,所以这条语句会将表中所有的数据查询出来,然后再做数据判断的时候,就会得到正确结果,从而说用户名和密码正确,登录成功。
5、JDBC解决sql注入问题
qq_45361382的博客
03-28 186
【代码】JDBC解决sql注入问题。
JDBCSQL注入
每日一记,每周一结。
10-07 702
PreparedStatement 是 Statement 接口的子接口,继承于父接口中所有的方法。它是一个预编译的 SQL 语句对象.预编译: 是指SQL 语句被预编译,并存储在 PreparedStatement 对象中。然后可以使用此对象多次高效地执行该语句。
JDBC简单入门以及SQL注入
小林子的博客
04-17 190
import java.sql.Connection; import java.sql.DriverManager; import java.sql.ResultSet; import java.sql.Statement; import org.junit.Test; public class JdbcDemo_01 { @Test public void demo01() thr...
mysql-connector-java-8.0.23.jar
12-18
6. **预编译语句**:提高执行效率,通过预编译SQL语句来防止SQL注入攻击。 7. **游标支持**:允许双向滚动和处理大数据集。 8. **连接池支持**:可以配合像C3P0、HikariCP或Apache DBCP等连接池组件,有效管理数据库...
mysql-connector-java-8.0.24.jar
12-18
`PreparedStatement`更安全,可以防止SQL注入。 5. **事务处理**:支持ACID(原子性、一致性、隔离性和持久性)事务,通过`Connection`对象的`setAutoCommit()`和`commit()`/`rollback()`方法控制。 6. **结果集...
mysql-connector-java-8.0.30连接器
10-30
`PreparedStatement`允许预编译SQL语句,提高效率并防止SQL注入攻击。 4. **处理结果集**:如果执行的是查询操作,可以通过`ResultSet`对象获取返回的结果。迭代`ResultSet`,可以读取每一行数据。 5. **关闭资源*...
mysql-jdbc.jar:mysqljdbc驱动
03-29
3. **创建Statement或PreparedStatement对象**:根据需求选择,Statement适合执行静态SQL,PreparedStatement适用于预编译的SQL,可以防止SQL注入攻击。 4. **执行SQL**:调用Statement或PreparedStatement的方法...
mysql-connector-java-8.0.16 jar包
02-24
- 使用预编译的`PreparedStatement`来防止SQL注入攻击。 - 使用连接池(如HikariCP、Apache DBCP)管理数据库连接,提高性能并减少资源浪费。 - 遵循最小权限原则,为应用程序分配只具备所需操作权限的数据库用户。 ...
JDBC防止SQL注入原理
tinaselling的博客
11-22 1486
一、基本解釋 1.JDBCJava DataBase Connection):它是Java用来执行Sql的Java Api;可以为多种关系型数据库提供统一的访问接口,他是一组Java编写的类和接口。 2.statement:它 是 Java 执行数据库操作的一个重要接口,用于在已经建立数据库连接的基础上,向数据库发送要执行的SQL语句。Statement对象,用于执行不带参数的简单SQL语句...
JDBC 入门小结之sql注入及防止
sinat_36700834的博客
11-20 2870
JDBCJava数据库进行操作的一个桥梁. 借助数据库提供的数据驱动, 加上要操作数据库语言, 执行数据库语句之后就可以对数据库里面的记录进行增 删 改 查(crud)操作了.
JDBCSQL注入漏洞
兮动人
09-20 462
1.1 JDBCSQL注入漏洞 1.1.1 什么是SQL注入漏洞 在早期互联网上SQL注入漏洞普遍存在。有一个网站,用户需要进行注册,用户注册以后根据用户名和密码完成登录。假设现在用户名已经被其他人知道了,但是其他人不知道你的密码,也可以登录到网站上进行相应的操作。 1.1.2 演示SQL注入漏洞 1.1.2.1 基本登录功能实现 ...
MySQL 相关知识笔记
最新发布
weixin_68929783的博客
08-23 1075
以上是根据 B 站黑马课程学习后的 MySQL 笔记,为了日后复习和给别人参考而整理,希望对大家有所帮助。同时,在实际应用中,还需要根据具体情况合理使用索引、约束等功能,以提高数据库的性能和数据的完整性。
mysql创建quartz定时任务相关表sql
xiexf20230814的博客
08-20 528
-存储Cron触发器的cron表达式和其他信息。--接下来,创建索引以提高性能;--存储简单触发器的额外属性。--存储复杂触发器的简单属性。--存储触发器的blob数据。--存储已触发的触发器信息。--存储调度器的状态信息。--存储暂停的触发器组。--存储触发器信息。
MySQL对JSON数据类型的处理
cesske的博客
08-21 319
MySQL从5.7版本开始提供了对JSON数据类型的支持,‌使得MySQL能够直接存储和管理JSON格式的数据。‌这使得在数据库中处理JSON数据变得更为方便和高效。‌以下是一些常用的处理JSON数据的函数和操作:‌。通过这些操作和函数,‌MySQL允许你灵活地处理JSON数据,‌使得在数据库层面进行复杂的数据操作成为可能。4.‌使用JSON_EXTRACT提取JSON字段。9.‌删除JSON中的键值对。8.‌替换JSON中的值。10.‌搜索JSON数据。2.‌插入JSON数据。6.‌更新JSON数据。
MySQL创建与删除表
weixin_69053029的博客
08-21 250
表名(列名 类型,列名 类型......);
MySQL-JDBC反序列化漏洞详解与实战
同时,应当及时更新数据库驱动到安全版本,并遵循最佳实践,如使用预编译语句(PreparedStatement)来隔离用户输入,减少SQL注入和反序列化攻击的风险。审计和监控系统的日志活动也是防止这类漏洞的重要手段。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

三月七꧁ ꧂

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值