JDBC(SQL注入问题、PreparedStatement对象、IDEA连接数据库、Java代码实现事务、数据库连接池)

最新推荐文章于 2022-09-25 19:31:23 发布
最新推荐文章于 2022-09-25 19:31:23 发布
阅读量838 收藏 5
点赞数 5
分类专栏: MySQL
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45677119/article/details/104282713
版权

JDBC

SQL注入

  1. 概述:是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息,导致数据泄露。
  2. SQL语句通过or被拼接:
import java.sql.Connection;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;

public class SQL注入 {
    // 模拟登录业务
    public static void login(String username,String password){
        Connection conn =null;
        Statement st = null;
        ResultSet rs = null;
        try {
            conn = jdbcUtils.getConnection();
            st = conn.createStatement();
            String sql = "select * from users where `NAME`='"+username+"' AND `password` ='"+password+"'";
            rs = st.executeQuery(sql); //查询完毕会返回一个结果集
            while (rs.next()){
                System.out.println(rs.getString("NAME"));
                System.out.println(rs.getString("password"));
            }
        } catch (SQLException e) {
            e.printStackTrace();
        } finally {
            jdbcUtils.release(conn,st,rs);
        }
    }
}

这两个sql语句:

-- 正常sql语句
SELECT * FROM users WHERE `Name` = 'zhangsan' AND `password` = '123456';
-- 将name和password设置为空或者1=1
SELECT * FROM users WHERE `Name` = '' or '1=1' AND `password` = '' or '1=1';

正常登录:

public static void main(String[] args) {
		login("zhangsan","123456");
    }

运行结果:
在这里插入图片描述
or拼接登录:

 public static void main(String[] args) {
        login(" 'or '1=1"," 'or'1=1"); 
    }

运行结果:将所有用户信息查询出来
在这里插入图片描述

PreparedStatement对象

可以防止SQL注入,效率更好!

  1. 防止SQL注入:
    原理:把传递进来的参数当做字符,假设其中存在转义字符,比如说 ’ 会被直接转义。
import java.sql.*;

public class 防止SQL注入 {
    public static void main(String[] args) {
        login(" 'or '1=1"," 'or'1=1");
    }
    // 登录业务
    public static void login(String username,String password){
        Connection conn =null;
        PreparedStatement st = null;
        ResultSet rs = null;
        try {
            conn = jdbcUtils.getConnection();
            String sql = "select * from users where `NAME`=? and `PASSWORD`=?"; // Mybatis
            st = conn.prepareStatement(sql);
            st.setString(1,username);
            st.setString(2,password);
            rs = st.executeQuery(); //查询完毕会返回一个结果集
            while (rs.next()){
                System.out.println(rs.getString("NAME"));
                System.out.println(rs.getString("password"));
            }
        } catch (SQLException e) {
            e.printStackTrace();
        } finally {
            jdbcUtils.release(conn,st,rs);
        }
    }
}

运行结果:查询不到结果。

  1. 使用PreparedStatement对象的插入数据操作:
import java.sql.Connection;
import java.util.Date;
import java.sql.PreparedStatement;
import java.sql.SQLException;

public class TestInsert {
    public static void main(String[] args) {
        Connection conn = null;
        PreparedStatement st = null;
        try {
            conn = jdbcUtils.getConnection();
            // 使用? 占位符代替参数
            String sql = "insert into users(id,`NAME`,`PASSWORD`,`email`,`birthday`) values(?,?,?,?,?)";
            st = conn.prepareStatement(sql); 
            // 手动给参数赋值
            st.setInt(1,4); //id
            st.setString(2,"qinjiang");
            st.setString(3,"1232112");
            st.setString(4,"24734673@qq.com");
            st.setDate(5,new java.sql.Date(new Date().getTime()));
            //执行
            int i = st.executeUpdate();
            if (i>0){
                System.out.println("插入成功!");
            }
        } catch (SQLException e) {
            e.printStackTrace();
        } finally {
            jdbcUtils.release(conn,st,null);
        }
    }
}
  • 和Statement对象的区别:
    使用PreparedStatement对象编写是要经过预编译SQL,即先写sql,然后不执行,再手动给参数赋值;
    使用Statement对象编写则是将编写好的SQL语句直接进行执行操作;故使用PreparedStatement对象可以防止SQL注入,效率更好!

IDEA连接数据库

打开IDEA:
在这里插入图片描述
选择好MySQL后会出现下面的操作,填写User和Password后,点击Test Connection,显示Successful表示连接成功:
在这里插入图片描述
最后点击Apply再点击OK,完成连接;
点击设置标志,导入需要的数据库:
在这里插入图片描述
查看表内容:双击表名即可查看表信息,下面为sql语句;
在这里插入图片描述
修改表内容后必须点击下面的绿色箭头,完成保存:
在这里插入图片描述
在IDEA中编写SQL代码:
在这里插入图片描述

Java代码实现事务

事务描述见我的前面的博文:事务
1、关闭自动提交,开启事务 conn.setAutoCommit(false);
2、一组业务执行完毕,提交事务;
3、可以在catch 语句中显示的定义 回滚语句,但默认失败就会回滚。

模拟转账用户A给用户B转账100:我们加入int x = 1/0;这个错误,报错后,默认回滚

import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;

public class Test {
    public static void main(String[] args) {
        Connection conn = null;
        PreparedStatement st = null;
        ResultSet rs = null;
        try {
            conn = jdbcUtils.getConnection();
            conn.setAutoCommit(false); 
            String sql1 = "update account set money = money-100 where name = 'A'";
            st = conn.prepareStatement(sql1);
            st.executeUpdate();
            int x = 1/0; // 报错
            String sql2 = "update account set money = money+100 where name = 'B'";
            st = conn.prepareStatement(sql2);
            st.executeUpdate();
            //业务完毕,提交事务
            conn.commit();
            System.out.println("成功!");
        } catch (SQLException e) {
            // 如果失败,则默认回滚
            try {
                conn.rollback();  
            } catch (SQLException e1) {
               e1.printStackTrace();
           }
            e.printStackTrace();
        } finally {
            jdbcUtils.release(conn,st,rs);
        }
    }
}

数据库连接池

  1. 概述:数据库连接池负责分配、管理和释放数据库连接,它允许应用程序重复使用一个现有的数据库连接,而不是再重新建立一个;释放空闲时间超过最大空闲时间的数据库连接来避免因为没有释放数据库连接而引起的数据库连接遗漏。这项技术能明显提高对数据库操作的性能。
  2. 影响因素:
    1)最小连接数
    是连接池一直保持的数据库连接,所以如果应用程序对数据库连接的使用量不大,将会有大量的数据库连接资源被浪费。
    2)最大连接数
    是连接池能申请的最大连接数,如果数据库连接请求超过此数,后面的数据库连接请求将被加入到等待队列中,这会影响之后的数据库操作。
    3)最小连接数与最大连接数差距
    最小连接数与最大连接数相差太大,那么最先的连接请求将会获利,之后超过最小连接数量的连接请求等价于建立一个新的数据库连接。不过,这些大于最小连接数的数据库连接在使用完不会马上被释放,它将被放到连接池中等待重复使用或是空闲超时后被释放。
  3. 开源数据源实现:
  • DBCP
    需要的jar包:commons-dbcp-1.4 、 commons-pool-1.6
  • C3P0
    需要的jar包:c3p0-0.9.5.5、mchange-commons-jiava-0.2.19
    需要的jar包:百度网盘链接,提取码:s09s
  1. DBCP数据库连接池的测试:

工具类提取:

import org.apache.commons.dbcp.BasicDataSourceFactory;

import javax.sql.DataSource;
import java.io.InputStream;
import java.sql.*;
import java.util.Properties;

public class JdbcUtils_DBCP {
    private static DataSource dataSource = null;
    static {
        try{
            InputStream in =  JdbcUtils_DBCP.class.getClassLoader().getResourceAsStream("dbcpconfig.properties");
            Properties properties = new Properties();
            properties.load(in);
            //创建数据源 工厂模式 --> 创建
            dataSource = BasicDataSourceFactory.createDataSource(properties);
        } catch (Exception e) {
            e.printStackTrace();
        }
    }
    //获取连接
    public static Connection getConnection() throws SQLException {
        return dataSource.getConnection(); //从数据源中获取连接
    }
    //释放连接资源
    public static void release(Connection conn, Statement st, ResultSet rs){
        if (rs!=null){
            try {
                rs.close();
            } catch (SQLException e) {
                e.printStackTrace();
            }
        }
        if (st!=null){
            try {
                st.close();
            } catch (SQLException e) {
                e.printStackTrace();
            }
        }
        if (conn!=null){
            try {
                conn.close();
            } catch (SQLException e) {
                e.printStackTrace();
            }
        }
    }
}

测试代码:

import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.SQLException;
import java.util.Date;

public class TestDBCP {
    public static void main(String[] args) {
        Connection conn = null;
        PreparedStatement st = null;
        try {
            conn = JdbcUtils_DBCP.getConnection();
            String sql = "insert into users(id,`NAME`,`PASSWORD`,`email`,`birthday`) values(?,?,?,?,?)";
            st = conn.prepareStatement(sql); 
            st.setInt(1,4); //id
            st.setString(2,"qinjiang");
            st.setString(3,"1232112");
            st.setString(4,"24734673@qq.com");
            st.setDate(5,new java.sql.Date(new Date().getTime()));
            //执行
            int i = st.executeUpdate();
            if (i>0){
                System.out.println("插入成功!");
            }
        } catch (SQLException e) {
            e.printStackTrace();
        } finally {
            JdbcUtils_DBCP.release(conn,st,null);
        }
    }
}

//下篇再见…谢谢

Tigirs
关注
  • 5
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
(待解决)IDEA配置JDBC查询数据库PreparedStatement pstmt = dbconn.prepareStatement(sql)出现空指针错误...
weixin_30852367的博客
06-23 1635
package com.demo; import java.io.*; import java.sql.*; import java.util.*; import javax.servlet.*; import javax.servlet.http.*; import javax.servlet.annotation.WebServlet; @WebServlet("/que...
Java数据库连接PreparedStatement的使用详解
08-29
主要介绍了Java数据库连接PreparedStatement的使用详解,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
idea连接数据库02-preparedStatement解决SQL注入
weixin_46074430的博客
12-21 672
public void test01() throws Exception {//DQL Properties properties = new Properties(); properties.load(new FileInputStream("src\\mysql.properties")); String url = properties.getProperty("url"); //加载driver Class....
java学习之PreparedStatement
weixin_34406086的博客
01-02 138
Prepared看到这个单词,准备的意思,PreparedStatement实则是预编译。那么与Statement又有什么区别呢? PreparedStatemen有这样的好处: 1.防止重复编写多个结构类似的sql语句   2.没有拼接字符串的烦恼   3.防止sql注入(拼接字符串 会带来sql注入问题)   4.sql语句预编译在Pre...
数据库连接池,DBUtils,PreparedStatement介绍
Allen
07-15 2756
一。为什么要使用连接池:
java.sql.preparedstatement的应用
weixin_30679823的博客
04-11 112
jdbc(java database connectivity,java数据库连接)的api中的主要的四个类之一的java.sql.statement要求开发者付出大量的时间和精力。 在使用statement获取jdbc访问时所具有的一个共通的问题是输入适当格式的日期和时间戳:2002-02-05 20:56 或者 02/05/02 8:56 pm。 通过使用java.sql.prepareds...
使用JDBC连接数据库执行sql语句,创建数据库连接池
qq_48475590的博客
09-25 1306
JDBC的三步操作:1、加载驱动 2、连接数据库 3、获取执行对象
JDBC连接MySQL数据库实现增删改查(Dao层实现 解决硬编码 配置连接池获得连接对象 )
09-27
工具类 JDBCUtil.java(抽取公共部分,解决硬编码问题 DBCP方式实现连接池、配置连接池 ==> 获得连接对象连接数据库) 用户账号实体类 User.java(私有化数据库t_user表中的id,username,password) 接口类 ...
JavaJDBC连接MySQL数据库实现增删改查(2018 使用Dao层实现 完美封装解决硬编码问题 使用预编译对象PreparedStatement)
09-26
JavaJDBC连接数据库实现增删改查(2018 使用Dao层实现 完美封装解决硬编码问题 使用预编译对象PreparedStatement) 配置文件 db.properties(保存数据库账号和密码等) 工具类 JDBCUtil.java(抽取公共部分,解决硬...
java-利用GUI实现窗口学生管理系统(jdbc连接数据库-MySQL)
01-09
1、进入Eclipse环境,新建一个Java Project; 2、编写程序实现显示功能选项,创建GUI界面,显示所有学生信息,实现学生添加界面 3、编写程序,实现数据查询功能,加载数据功能,读取数组内容,生成对象,GUI界面显示 4...
Java学习日志(三十三): JDBC预处理对象,连接池C3P0
12-14
Java学习日志(三十三)JDBC预处理对象登陆注册案例模拟:用户注入攻击数据库解决用户注入式攻击PreparedStatement对象对数据库表进行增删改查连接池连接池的原理连接池的规范接口DataSource创建并测试C3P0连接池的...
PreparedStatement的使用
wangyanming123的博客
09-08 474
PreparedStatement的使用: 1.能用PreparedStatement的地方不用Statement。 2.可以避免SQL注入问题。 3.Statement会使数据库频繁编译SQL,可能造成数据库缓冲区溢出。PreparedStatement 可对SQL进行预编译,从而提高数据库的执行效率。 4.并且PreperedStatement对于sql中的参数,允许使用占位符的形式进
毕业设计MATLAB_执行一维相同大小矩阵的QR分解.zip
05-27
毕业设计matlab
ipython-7.9.0.tar.gz
最新发布
05-27
Python库是一组预先编写的代码模块,旨在帮助开发者实现特定的编程任务,无需从零开始编写代码。这些库可以包括各种功能,如数学运算、文件操作、数据分析和网络编程等。Python社区提供了大量的第三方库,如NumPy、Pandas和Requests,极大地丰富了Python的应用领域,从数据科学到Web开发。Python库的丰富性是Python成为最受欢迎的编程语言之一的关键原因之一。这些库不仅为初学者提供了快速入门的途径,而且为经验丰富的开发者提供了强大的工具,以高效率、高质量地完成复杂任务。例如,Matplotlib和Seaborn库在数据可视化领域内非常受欢迎,它们提供了广泛的工具和技术,可以创建高度定制化的图表和图形,帮助数据科学家和分析师在数据探索和结果展示中更有效地传达信息。
debugpy-1.0.0b3-cp37-cp37m-manylinux2010_x86_64.whl
05-27
Python库是一组预先编写的代码模块,旨在帮助开发者实现特定的编程任务,无需从零开始编写代码。这些库可以包括各种功能,如数学运算、文件操作、数据分析和网络编程等。Python社区提供了大量的第三方库,如NumPy、Pandas和Requests,极大地丰富了Python的应用领域,从数据科学到Web开发。Python库的丰富性是Python成为最受欢迎的编程语言之一的关键原因之一。这些库不仅为初学者提供了快速入门的途径,而且为经验丰富的开发者提供了强大的工具,以高效率、高质量地完成复杂任务。例如,Matplotlib和Seaborn库在数据可视化领域内非常受欢迎,它们提供了广泛的工具和技术,可以创建高度定制化的图表和图形,帮助数据科学家和分析师在数据探索和结果展示中更有效地传达信息。
libaacs-devel-0.10.0-1.mga8.i586.rpm
05-27
rpm -i xx.rpm 只要报错遇到aacs的可以看看架构是否一致
几个ACM算法pdf.zip
05-27
[ACM国际大学生程序设计竞赛题解].pdf ACM模板-清华大学.pdf ACM算法模板(吉林大学).pdf
MATLAB设计_计算局部曲率半径,累积弧长和曲率矢量.zip
05-27
毕业设计MATLAB
idea连接数据库java代码和Switch语句实现图书借阅部分
07-14
在 IntelliJ IDEA 中使用 Java 代码和 switch 语句连接数据库实现图书借阅部分,你需要遵循以下步骤: 1. 首先,确保你已经安装并配置了合适的数据库驱动程序。这里以 MySQL 为例,你可以在 Maven 或 Gradle 中添加相应的依赖项。 2. 创建一个 Java 类,命名为 BookBorrowing。 3. 导入必要的包,包括 java.sqljava.util.Scanner。 4. 在 main 方法中,建立与数据库的连接,这里以 MySQL 数据库为例: ```java import java.sql.*; import java.util.Scanner; public class BookBorrowing { public static void main(String[] args) { try { // 连接数据库 Connection connection = DriverManager.getConnection("jdbc:mysql://localhost:3306/library", "username", "password"); Scanner scanner = new Scanner(System.in); System.out.println("请输入您要进行的操作:"); System.out.println("1. 借阅图书"); System.out.println("2. 归还图书"); int choice = scanner.nextInt(); switch (choice) { case 1: borrowBook(connection); break; case 2: returnBook(connection); break; default: System.out.println("无效的操作!"); } // 关闭连接 connection.close(); } catch (SQLException e) { e.printStackTrace(); } } public static void borrowBook(Connection connection) { // 实现借阅图书的逻辑 System.out.println("借阅图书"); // 可以在这里执行 SQL 语句来处理借阅操作 } public static void returnBook(Connection connection) { // 实现归还图书的逻辑 System.out.println("归还图书"); // 可以在这里执行 SQL 语句来处理归还操作 } } ``` 在上面的代码中,你需要将 `localhost:3306/library` 替换为你的实际数据库连接信息,`username` 和 `password` 替换为你的数据库用户名和密码。 5. 在 borrowBook 和 returnBook 方法中,你可以执行适当的 SQL 语句来处理借阅和归还操作。例如,你可以使用 PreparedStatement 来预编译 SQL 语句并执行。 这样,你就可以使用 IntelliJ IDEA 中的 Java 代码和 switch 语句连接数据库,并实现图书借阅部分了。记得根据实际情况进行适当的错误处理和异常处理。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值