JDBC介绍及编程流程&Statement与PreparedStatement对比&SQL注入攻击

最新推荐文章于 2021-03-28 00:19:50 发布
最新推荐文章于 2021-03-28 00:19:50 发布
阅读量268 收藏
点赞数
分类专栏: MYSQL
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44480874/article/details/99762798
版权
本文介绍了JDBC的基本概念和组件,包括DriverManager、Driver、Connection、Statement和ResultSet等。详细阐述了JDBC编程的步骤,并对比了Statement和PreparedStatement的区别,强调了PreparedStatement的安全性和效率优势。最后,通过实例解释了SQL注入攻击的危害,并展示了PreparedStatement如何防止SQL注入,提升应用程序的安全性。
摘要由CSDN通过智能技术生成

JDBC编程

JDBC简介:
JDBC(Java Data Base Connection):Java数据库连接。是一种标准Java应用编程接口(Java API),将数据库和Java程序连接起来,是开发人员可以通过Java程序访问数据库。

常见的JDBC组件(JDBC开发中主要用到的类):

  • DriverManager :这个类管理一系列数据库驱动程序。
    匹配连接使用通信子协议从 JAVA 应用程序中请求合适的数据库驱动程序。
    识别 JDBC 下某个子协议的第一驱动程序将被用于建立数据库连接。
  • Driver : 这个接口处理与数据库服务器的通信。你将很少直接与驱动程序互动。
    相反,你使用 DriverManager 中的对象,它管理此类型的对象。
    它也抽象与驱动程序对象工作相关的详细信息。
  • Connection : 此接口具有接触数据库的所有方法。该连接对象表示通信上下文,
    即:所有与数据库的通信仅通过这个连接对象进行。
  • Statement : 使用创建于这个接口的对象将 SQL 语句提交到数据库。
    除了执行存储过程以外,一些派生的接口也接受参数。
  • ResultSet : 在你使用语句对象执行 SQL 查询后,这些对象保存从数据库获得的数据。
    是一个迭代器,方便遍历得到的结果集。
  • SQLException : 这个类处理发生在数据库应用程序的任何错误。

JDBC编程步骤:

  1. 加载数据库驱动,通过反射Class.forName(String driverName);加载。
  2. 通过Connection connection=DriverManager.getConnection(url,user,password);来获得数据库连接。
  • url:数据库地址,MySQL中为jdbc:mysql://localhost:3306/数据库名 localhost是本地主机,也就是说这个位置放的是要连接的数据库所在的主机信息;3306是数据库的端口号;后再跟上要访问的数据库名。
  • user:安装数据库时设置的用户名。
  • password:用户对应的密码。
  1. 可能需要设置隔离级别
    connection.setTransactionIsolation(Connection.TRANSACTION_NONE);
  2. 创建Statemebt对象(常用的有两种)
  • Statement statement = connection.createStatement();
  • PreparedStatement prepareStatement = connection.prepareStatement();
  1. 通过statement/prepareStatement对象来执行SQL语句,并拿到结果集ResultSet(如果是查询多条语句).
    5.如果有结果集则迭代遍历结果集。
  2. 关闭连接资源。结果集、statement对象、connection都要关闭。
import java.io.FileInputStream;
import java.io.IOException;
import java.sql.*;
import java.util.Properties;

public class JdbcDemo {
    private String jdbcDriver;//数据库驱动名
    private String jdbcUrl;//访问的数据库所在主机url
    private String user;//数据据的用户名
    private String password;//数据库的密码
    //以上信息我可以放在.properties文件中,该文件是Java中的配置文件,支持key-value的存储方式,这里定义一个流来访问该文件,在java.util包路径下
    //这样做以后要改上面的信息就不用改代码,而是改文件
    private Properties properties;
    private String dbpro;//db.properties的路径
    private Connection connection;//先定义一个connection对象,注意在java.sql包路径下
    private Statement statement;//定义一个Statement接口的对象statement
    private PreparedStatement ps;//定义一个PreparedStatement接口的对象ps
    //构造方法初始化成员变量
    public JdbcDemo(){
        properties=new Properties();//实例化流
        try {
            properties.load(new FileInputStream("D:\\Java\\servlet_demo\\src\\main\\resources\\db.properties"));//加载db.properties文件
            jdbcDriver=properties.getProperty("jdbcDriver");//从文件中读取key=jdbcDriver对应的value值
            jdbcUrl=properties.getProperty("jdbcUrl");
            user=properties.getProperty("user");
            password=properties.getProperty("password");
        } catch (IOException e) {
            e.printStackTrace();
        }
    }
    //获取数据库连接,封装在这个方法中
    public void getConnection(){
        try {
            Class.forName(jdbcDriver);//1.加载数据库驱动
            connection=DriverManager.getConnection(jdbcUrl,user,password);//2.获取数据库连接
        } catch (ClassNotFoundException e) {
            e.printStackTrace();
        } catch (SQLException e) {
            e.printStackTrace();
        }
    }
    //下面我把对数据库的
最低0.47元/天 解锁文章
小丑键盘侠
关注
专栏目录
JDBC——预编译(PreparedStatemen与Statement)性能比较 及防止sql注入攻击
yooppa的博客
12-06 2166
写在之前: PreparedStatementStatement一样,PreparedStatement也是用来执行sql语句的 与创建Statement不同的是,需要根据sql语句创建PreparedStatement 除此之外,还能够通过设置参数,指定相应的值,而不是Statement那样使用字符串拼接——这样使得使用起来不是很方便 需要进行分别归类 比如查询 和 插入等等这些操作 因为它是根据sql语句内容来的不是直接拼接进去 以下示例代码具体感受以下: import java.sql.Conne
利用JDBC的PrepareStatement打印真实SQL的方法详解
08-29
在Java的JDBC编程中,`PreparedStatement`是一个非常重要的接口,它提供了预编译的SQL语句功能,能够显著提高执行效率,尤其是在批量处理大量数据时。`PreparedStatement`也被称为JDBC存储过程,因为它允许开发者...
JDBCStatement和PreparedStatement区别
kobejayandy的专栏
11-02 1089
1.每一种数据库都会尽最大努力对预编译语句提供最大的性能优化.因为预编译语句有可能被重复调用.所以语句在被DB的编译器编译后的执行代码被缓存下来,那么下次调用时只要是相同的预编译语句就不需要编译,只要将参数直接传入编译过的语句执行代码中(相当于一个涵数)就会得到执行.这并不是说只有一个Connection中多次执行的预编译语句被缓存,而是对于整个DB中,只要预编译的语句语法和缓存中匹配.那么在任何
JDBC Statements, PreparedStatement详解
qq_44550513的博客
02-11 263
学习Javaweb的同学都知道在与数据库进行交互的时候,首先都要连接数据库,而大多我们都使用JDBC连接数据库。 JDBC连接数据库大致分四步 第一步,导入JDBC包:使用Java语言的import语句在Java代码开头位置导入所需的类。 第二步,注册JDBC驱动程序:使JVM将所需的驱动程序实现加载到内存中,从而可以满足JDBC请求。 第三步,数据库URL配置:创建一个正确格式化的地址,指向要连...
JDBC-Statement&PreparedStatement
qq_43408367的博客
11-14 1784
1. 当需要成批插入或者更新记录时。可以采用Java的批量更新机制,这 一机制允许多条语句一次性提交给数据库批量处理。通常情况下比单 独提交处理更有效率 2. JDBC的批量处理语句包括下面两个方法: 1. addBatch(String):添加需要批量处理的SQL语句或是参数; 2. executeBatch():执行批量处理语句; 3. clearBatch():清空缓存的数据 3. 通常我们会遇到两种批量执行SQL语句的情况: 1. 多条SQL语句的批量处理; 2. 一个SQL语句的批量传参
JDBCStatement & PreparedStatement
薄荷糖
06-05 245
Statement: 创建数据库: 创建表: 插入数据: 查询数据: Statement 会引入 SQL 注入问题: PreparedStatement: 通常我们执行一条 SQL 语句,得经过下面三个过程。 1. 词法和语义解析 2. 优化 SQL 语句,制定执行计划 3. 执行并返回结果 编译: 执行: 删除: SQL代码: # 预编译语句 # 编译 prepare ps from 'select * from t_us
JDBCStatement和PreparedStatement的总结
weixin_43961117的博客
10-23 532
JDBCStatement和PreparedStatement Statement 和 PreparedStatement之间的关系和区别. 关系:PreparedStatement继承自Statement,都是接口 区别:PreparedStatement可以使用占位符,是预编译的,批处理比Statement效率高 Statement可以正常访问数据库,适用于运行静态 SQL 语句。 Statement 接口不接受参数。 PreparedStatement计划多次使用 SQL 语句, Prepared
详解Java的JDBCStatement与PreparedStatement对象
09-03
在Java的JDBC(Java Database Connectivity)中,与数据库交互的核心接口是Statement和PreparedStatement。这两个接口都是用于执行SQL语句的,但它们在特性和效率上有所不同。 Statement接口是最基本的SQL执行方式...
Java PreparedStatementStatement的区别与SQL注入防范
"Java编程语言中的PreparedStatementStatement是两种不同的SQL语句执行方式,它们在处理用户输入数据和防止SQL注入方面存在显著差异。本文将深入探讨这两种接口的特性和应用场景,以及为何PreparedStatement更适合...
JDBC如何有效防止SQL注入
12-14
在Java的JDBC编程中,防止SQL注入至关重要,以下是一些有效的策略: 1. **预编译SQL语句(PreparedStatement)**: 使用`PreparedStatement`代替`Statement`是防止SQL注入的基本方法。预编译的SQL语句将参数化查询...
jdbc连接各数据库及事务处理
11-07
jdbc连接各数据库及事务处理
JDBCstatement和preparedStatement
qq_44942083的博客
10-22 162
statement java.sql.Statement 接口,是专门用来执行sql语句的,该接口还有俩个子接口: java.sql.PreparedStatement java.sql.CallableStatement 它们的关系如下: CallableStatement 接口继承了 PreparedStatement 接口 PreparedStatement 接口又继承了 Statement 接口 PreparedStatement PreparedStatement 接口,简称PS,它除
JDBC中的Statement和preparedStatement
weixin_43729854的博客
04-15 302
preparedStatement是预编译的,先编译无参数的sql,再提交参数,然后再执行对于批量处理可以大大提高效率.,也叫JDBC存储过程。 使用 Statement 对象。在对数据库只执行一次性存取的时侯,用 Statement 对象进行处理。PreparedStatement 对象的开销比Statement大,对于一次性操作并不会带来额外的好处。 Statement每次执行sql语句,...
JDBCStatement与PreparedStatement的区别
种花家的兔子
08-01 344
JDBCStatement与PreparedStatement的区别 PreparedStatement继承自StatementJDBC提供了Statement、PreparedStatement来执行查询语句。 准备工作 数据库配置文件:config.properties driver=com.mysql.jdbc.Driver url=填上自己数据库的url username=root...
Statement、PreparedStatement和CallableStatement
zhengqikey的专栏
10-13 1402
JDBC: Statement(接口)      | PreparedStatement(接口)      | CallableStatement(接口) 以上三者为继承关系。 1).概念: Statement:(用于执行不带参数的简单 SQL 语句)
SQL注入攻击例子及Statement和PreparedStatement的比较
kang的专栏
10-17 91
SQL injection is a technique that exploits a security vulnerability occurring in the database layer of an application . The vulnerability is present when user input is either incorrectly filtered f...
JDBC中的Statement和PreparedStatement的区别
qq_42499188的博客
09-28 608
1、PreparedStatement是预编译的,对于批量处理可以大大提高效率.也叫JDBC存储过程 2、使用 Statement 对象。在对数据库只执行一次性存取的时侯,用 Statement 对象进行处理。PreparedStatement对象的开销比Statement大,对于一次性操作并不会带来额外的好处。 3、statement每次执行sql语句,相关数据库都要执行sql语句的编译,p...
jdbc 功能 执行流程 连接数据库的步骤 PreparedStatement statement
低调的骏马
03-28 376
JDBC 功能:与数据库建立连接、执行SQL 语句、处理结果 执行流程: 连接数据源 为数据库传递查询和更新指令 处理数据库响应并返回的结果 连接数据库的步骤: 1>加载驱动——-2>获取连接对象—–3>创建命令—–4>执行sql语句,并且返回结果——5>处理结果—–6>关闭连接 1.加载驱动 Class.forname(“com.mysql.jdbc.Driver”); 2.获取链接对象 DriverManager.getConnecti...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值