JDBC(SQL注入问题、PreparedStatement对象、IDEA连接数据库、Java代码实现事务、数据库连接池)

最新推荐文章于 2024-03-14 04:30:00 发布
最新推荐文章于 2024-03-14 04:30:00 发布
阅读量913 收藏 5
点赞数 5
分类专栏: MySQL
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45677119/article/details/104282713
版权

JDBC

SQL注入

  1. 概述:是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息,导致数据泄露。
  2. SQL语句通过or被拼接:
import java.sql.Connection;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;

public class SQL注入 {
    // 模拟登录业务
    public static void login(String username,String password){
        Connection conn =null;
        Statement st = null;
        ResultSet rs = null;
        try {
            conn = jdbcUtils.getConnection();
            st = conn.createStatement();
            String sql = "select * from users where `NAME`='"+username+"' AND `password` ='"+password+"'";
            rs = st.executeQuery(sql); //查询完毕会返回一个结果集
            while (rs.next()){
                System.out.println(rs.getString("NAME"));
                System.out.println(rs.getString("password"));
            }
        } catch (SQLException e) {
            e.printStackTrace();
        } finally {
            jdbcUtils.release(conn,st,rs);
        }
    }
}

这两个sql语句:

-- 正常sql语句
SELECT * FROM users WHERE `Name` = 'zhangsan' AND `password` = '123456';
-- 将name和password设置为空或者1=1
SELECT * FROM users WHERE `Name` = '' or '1=1' AND `password` = '' or '1=1';

正常登录:

public static void main(String[] args) {
		login("zhangsan","123456");
    }

运行结果:
在这里插入图片描述
or拼接登录:

 public static void main(String[] args) {
        login(" 'or '1=1"," 'or'1=1"); 
    }

运行结果:将所有用户信息查询出来
在这里插入图片描述

PreparedStatement对象

可以防止SQL注入,效率更好!

  1. 防止SQL注入:
    原理:把传递进来的参数当做字符,假设其中存在转义字符,比如说 ’ 会被直接转义。
import java.sql.*;

public class 防止SQL注入 {
    public static void main(String[] args) {
        login(" 'or '1=1"," 'or'1=1");
    }
    // 登录业务
    public static void login(String username,String password){
        Connection conn =null;
        PreparedStatement st = null;
        ResultSet rs = null;
        try {
            conn = jdbcUtils.getConnection();
            String sql = "select * from users where `NAME`=? and `PASSWORD`=?"; // Mybatis
            st = conn.prepareStatement(sql);
            st.setString(1,username);
            st.setString(2,password);
            rs = st.executeQuery(); //查询完毕会返回一个结果集
            while (rs.next()){
                System.out.println(rs.getString("NAME"));
                System.out.println(rs.getString("password"));
            }
        } catch (SQLException e) {
            e.printStackTrace();
        } finally {
            jdbcUtils.release(conn,st,rs);
        }
    }
}

运行结果:查询不到结果。

  1. 使用PreparedStatement对象的插入数据操作:
import java.sql.Connection;
import java.util.Date;
import java.sql.PreparedStatement;
import java.sql.SQLException;

public class TestInsert {
    public static void main(String[] args) {
        Connection conn = null;
        PreparedStatement st = null;
        try {
            conn = jdbcUtils.getConnection();
            // 使用? 占位符代替参数
            String sql = "insert into users(id,`NAME`,`PASSWORD`,`email`,`birthday`) values(?,?,?,?,?)";
            st = conn.prepareStatement(sql); 
            // 手动给参数赋值
            st.setInt(1,4); //id
            st.setString(2,"qinjiang");
            st.setString(3,"1232112");
            st.setString(4,"24734673@qq.com");
            st.setDate(5,new java.sql.Date(new Date().getTime()));
            //执行
            int i = st.executeUpdate();
            if (i>0){
                System.out.println("插入成功!");
            }
        } catch (SQLException e) {
            e.printStackTrace();
        } finally {
            jdbcUtils.release(conn,st,null);
        }
    }
}
  • 和Statement对象的区别:
    使用PreparedStatement对象编写是要经过预编译SQL,即先写sql,然后不执行,再手动给参数赋值;
    使用Statement对象编写则是将编写好的SQL语句直接进行执行操作;故使用PreparedStatement对象可以防止SQL注入,效率更好!

IDEA连接数据库

打开IDEA:
在这里插入图片描述
选择好MySQL后会出现下面的操作,填写User和Password后,点击Test Connection,显示Successful表示连接成功:
在这里插入图片描述
最后点击Apply再点击OK,完成连接;
点击设置标志,导入需要的数据库:
在这里插入图片描述
查看表内容:双击表名即可查看表信息,下面为sql语句;
在这里插入图片描述
修改表内容后必须点击下面的绿色箭头,完成保存:
在这里插入图片描述
在IDEA中编写SQL代码:
在这里插入图片描述

Java代码实现事务

事务描述见我的前面的博文:事务
1、关闭自动提交,开启事务 conn.setAutoCommit(false);
2、一组业务执行完毕,提交事务;
3、可以在catch 语句中显示的定义 回滚语句,但默认失败就会回滚。

模拟转账用户A给用户B转账100:我们加入int x = 1/0;这个错误,报错后,默认回滚

import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;

public class Test {
    public static void main(String[] args) {
        Connection conn = null;
        PreparedStatement st = null;
        ResultSet rs = null;
        try {
            conn = jdbcUtils.getConnection();
            conn.setAutoCommit(false); 
            String sql1 = "update account set money = money-100 where name = 'A'";
            st = conn.prepareStatement(sql1);
            st.executeUpdate();
            int x = 1/0; // 报错
            String sql2 = "update account set money = money+100 where name = 'B'";
            st = conn.prepareStatement(sql2);
            st.executeUpdate();
            //业务完毕,提交事务
            conn.commit();
            System.out.println("成功!");
        } catch (SQLException e) {
            // 如果失败,则默认回滚
            try {
                conn.rollback();  
            } catch (SQLException e1) {
               e1.printStackTrace();
           }
            e.printStackTrace();
        } finally {
            jdbcUtils.release(conn,st,rs);
        }
    }
}

数据库连接池

  1. 概述:数据库连接池负责分配、管理和释放数据库连接,它允许应用程序重复使用一个现有的数据库连接,而不是再重新建立一个;释放空闲时间超过最大空闲时间的数据库连接来避免因为没有释放数据库连接而引起的数据库连接遗漏。这项技术能明显提高对数据库操作的性能。
  2. 影响因素:
    1)最小连接数
    是连接池一直保持的数据库连接,所以如果应用程序对数据库连接的使用量不大,将会有大量的数据库连接资源被浪费。
    2)最大连接数
    是连接池能申请的最大连接数,如果数据库连接请求超过此数,后面的数据库连接请求将被加入到等待队列中,这会影响之后的数据库操作。
    3)最小连接数与最大连接数差距
    最小连接数与最大连接数相差太大,那么最先的连接请求将会获利,之后超过最小连接数量的连接请求等价于建立一个新的数据库连接。不过,这些大于最小连接数的数据库连接在使用完不会马上被释放,它将被放到连接池中等待重复使用或是空闲超时后被释放。
  3. 开源数据源实现:
  • DBCP
    需要的jar包:commons-dbcp-1.4 、 commons-pool-1.6
  • C3P0
    需要的jar包:c3p0-0.9.5.5、mchange-commons-jiava-0.2.19
    需要的jar包:百度网盘链接,提取码:s09s
  1. DBCP数据库连接池的测试:

工具类提取:

import org.apache.commons.dbcp.BasicDataSourceFactory;

import javax.sql.DataSource;
import java.io.InputStream;
import java.sql.*;
import java.util.Properties;

public class JdbcUtils_DBCP {
    private static DataSource dataSource = null;
    static {
        try{
            InputStream in =  JdbcUtils_DBCP.class.getClassLoader().getResourceAsStream("dbcpconfig.properties");
            Properties properties = new Properties();
            properties.load(in);
            //创建数据源 工厂模式 --> 创建
            dataSource = BasicDataSourceFactory.createDataSource(properties);
        } catch (Exception e) {
            e.printStackTrace();
        }
    }
    //获取连接
    public static Connection getConnection() throws SQLException {
        return dataSource.getConnection(); //从数据源中获取连接
    }
    //释放连接资源
    public static void release(Connection conn, Statement st, ResultSet rs){
        if (rs!=null){
            try {
                rs.close();
            } catch (SQLException e) {
                e.printStackTrace();
            }
        }
        if (st!=null){
            try {
                st.close();
            } catch (SQLException e) {
                e.printStackTrace();
            }
        }
        if (conn!=null){
            try {
                conn.close();
            } catch (SQLException e) {
                e.printStackTrace();
            }
        }
    }
}

测试代码:

import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.SQLException;
import java.util.Date;

public class TestDBCP {
    public static void main(String[] args) {
        Connection conn = null;
        PreparedStatement st = null;
        try {
            conn = JdbcUtils_DBCP.getConnection();
            String sql = "insert into users(id,`NAME`,`PASSWORD`,`email`,`birthday`) values(?,?,?,?,?)";
            st = conn.prepareStatement(sql); 
            st.setInt(1,4); //id
            st.setString(2,"qinjiang");
            st.setString(3,"1232112");
            st.setString(4,"24734673@qq.com");
            st.setDate(5,new java.sql.Date(new Date().getTime()));
            //执行
            int i = st.executeUpdate();
            if (i>0){
                System.out.println("插入成功!");
            }
        } catch (SQLException e) {
            e.printStackTrace();
        } finally {
            JdbcUtils_DBCP.release(conn,st,null);
        }
    }
}

//下篇再见…谢谢

Tigirs
关注
专栏目录
(待解决)IDEA配置JDBC查询数据库PreparedStatement pstmt = dbconn.prepareStatement(sql)出现空指针错误...
weixin_30852367的博客
06-23 1696
package com.demo; import java.io.*; import java.sql.*; import java.util.*; import javax.servlet.*; import javax.servlet.http.*; import javax.servlet.annotation.WebServlet; @WebServlet("/que...
JDBC(二)——使用IDEA连接数据库数据库连接池
吃饭了吗
01-31 5867
1. 使用IDEA连接数据库 (1)点击IDEA界面右侧的Database (2)点击 + ,再点击Data Source ,最后点击 MySQL (3)填写用户名和密码,测试连接 (4)连接成功后显示的界面 (5)选择要来连接的数据库,以连接 jdbcstudy为例 (6)数据库jdbcstudy连接成功后的界面 (7)双击表名users,打开表 (8)更新修改数据 (9)编写SQL代码 (10...
idea连接数据库02-preparedStatement解决SQL注入
weixin_46074430的博客
12-21 757
public void test01() throws Exception {//DQL Properties properties = new Properties(); properties.load(new FileInputStream("src\\mysql.properties")); String url = properties.getProperty("url"); //加载driver Class....
java学习之PreparedStatement
weixin_34406086的博客
01-02 161
Prepared看到这个单词,准备的意思,PreparedStatement实则是预编译。那么与Statement又有什么区别呢? PreparedStatemen有这样的好处: 1.防止重复编写多个结构类似的sql语句   2.没有拼接字符串的烦恼   3.防止sql注入(拼接字符串 会带来sql注入问题)   4.sql语句预编译在Pre...
数据库连接池,DBUtils,PreparedStatement介绍
Allen
07-15 2820
一。为什么要使用连接池:
java.sql.preparedstatement的应用
weixin_30679823的博客
04-11 127
jdbc(java database connectivity,java数据库连接)的api中的主要的四个类之一的java.sql.statement要求开发者付出大量的时间和精力。 在使用statement获取jdbc访问时所具有的一个共通的问题是输入适当格式的日期和时间戳:2002-02-05 20:56 或者 02/05/02 8:56 pm。 通过使用java.sql.prepareds...
Java连接数据库SQL server和jsp连接数据库SQL server的代码(最适合新手)
06-11
在IT领域,数据库连接是开发Web应用程序的基本技能之一。这里我们关注的是如何使用Java和JSP连接到...记得在实际项目中考虑安全性和性能优化,比如使用PreparedStatement防止SQL注入,以及使用连接池管理数据库连接。
连接postgresql数据库的java代码
05-17
为了提高代码的健壮性和可维护性,通常建议使用try-with-resources语句和连接池(如HikariCP或Apache DBCP)来管理数据库连接。这样可以确保连接在使用后被正确关闭,避免资源泄露,并且在并发环境中更高效。 在...
Java连接数据库所需驱动
01-25
总的来说,Java连接SQL Server数据库主要依赖于Microsoft SQL Server JDBC驱动,通过加载驱动、建立连接、执行SQL语句以及管理结果集,实现与数据库的交互。理解这些基础知识对于任何Java开发者来说都至关重要。在...
idea连接池连接mysql数据库失败_关于IDEA配置数据库连接池的方法
weixin_30737027的博客
02-16 1461
一位Java初学者,已经是三十出头的大龄人,出于对Java编程的爱好,出于对编程大神的敬仰,正在自己的学习路上奔走。前路漫漫,愿有一位导师能指引前行!一、连接数据库的说明在Java中,使用JDBC连接数据库的步骤有四步:1、加载数据库驱动:Class.forName("数据库驱动");2、获取数据库连接:Connection conn=DriverManager.getConnection(url...
SQL注入漏洞检测原型工具
11-06
一个SQL注入漏洞检测原型工具,由SQL注入动态检测工具,SQL漏洞静态代码检测工具,测试用的网站3部分组成。用Java语言实现。运行时需eclipse等IDE支持。可供学习参考。
PreparedStatement的使用
wangyanming123的博客
09-08 493
PreparedStatement的使用: 1.能用PreparedStatement的地方不用Statement。 2.可以避免SQL注入问题。 3.Statement会使数据库频繁编译SQL,可能造成数据库缓冲区溢出。PreparedStatement 可对SQL进行预编译,从而提高数据库的执行效率。 4.并且PreperedStatement对于sql中的参数,允许使用占位符的形式进
IDEA导入sql文件时报错
yuan_zhongchen的博客
05-02 1316
java.lang.RuntimeException: com.mysql.cj.exceptions.InvalidConnectionAttributeException: The server time zone value '�й���׼ʱ��' is unrecognized or represents more than one time zone. You must configure either the server or JDBC driver (via the 'serverTimez
java.sql.PreparedStatementjava.sql.Statement区别
blackwuxin的专栏
10-16 9381
jdbc(java databaseconnectivity,java数据库连接)的api中的主要的四个类之一的java.sql.statement要求开发者付出大量的时间和精力。在使用statement获取jdbc访问时所具有的一个共通的问题是输入适当格式的日期和时间戳:200
IDEA中使用preparestatement,使用setdate出错的问题
moga125的博客
04-02 585
自动提供的是util包里的Data类,但因为是JDBC操作所以需要sql包里的Date类经过这样操作后此时使用的就是sql包的Date类了 那么为什么要使用sql包而不是util包下的Date类呢? 因为java.util.Date表示特定的瞬间,精确到毫秒 java.sql.Date一个包装了毫秒值的瘦包装器 (thin wrapper),它允许 JDBC 将毫秒值标识为 SQL DATE 值。为了与 SQL DATE 的定义一致,由 java.sql.Date 实例包装的毫秒值必须通过将小时、分钟、秒和
什么是Java中的PreparedStatement?它有什么优点?如何使用Java实现数据库事务管理?
最新发布
weixin_53180424的博客
03-14 1899
SQL 注入是一种常见的网络攻击手段,攻击者通过在 SQL 语句中插入恶意代码,改变原有的 SQL 逻辑,从而获取非法数据或执行非法操作。这个接口是 Statement 的子接口,与 Statement 对象相比,PreparedStatement 对象具有更高的性能,并且可以防止 SQL 注入攻击。性能提升:PreparedStatement 是预编译的 SQL 语句,当多次执行相同的 SQL 语句时,预编译的 SQL 语句只需要编译一次,然后可以重复执行,这大大提高了执行效率。
IDEA】设置sql提示
qq_39921135的博客
10-30 3234
1.首先选择任意一条sql语句,右击,选择 ‘显示上下文操作’2.选择 ‘注入语言或引用’3. 往下翻,找到MySQL
JAVAJDBC】【使用PreparedStatement操作数据库】
芊樱烛渊的博客
08-07 4971
这里我们是先连接到了我们上述的数据表,然后将数据表中的user和password的内容独取出来,然后编成sql语句,交给我们的mysql,并且如果查询失败就返回用户名不存在或者密码错误,如果查询成功就返回登陆成功。针对于不同的表我们想要获取到的查询数据的结构一定是不同的,所以我们需要在查询的时候将我们查询的结构传入,然后利用反射机制构造出对应的对象,然后将对应的对象返回。原来我们想表达的是 xx and xx是一个并且的关系,也就是我们的use和password同时正确的时候才返回结果。...
IdeaJavaEE项目JDBC连MySQL:从环境配置到数据库操作
此外,安全性和最佳实践也是不容忽视的部分,例如使用预编译语句(PreparedStatement)防止SQL注入攻击,以及正确处理事务和错误处理。 通过以上步骤,开发者可以利用IntelliJ IDEAJDBC建立稳定的Java EE项目与...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值