JDBC-02:操作访问数据库时使用Statement操作数据表的弊端

已于 2022-11-05 23:05:25 修改
阅读量381 收藏 1
点赞数 2
分类专栏: JDBC 文章标签: 数据库 java sql
于 2022-11-05 01:41:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45869823/article/details/127699156
版权

文章目录

对数据库的基本操作

(1)操作和访问数据库
  • 数据库连接被用于向数据库服务器发送命令和 SQL 语句,并接受数据库服务器返回的结果。其实一个数据库连接就是一个Socket连接。
  • 在 java.sql 包中有 3 个接口分别定义了对数据库的调用的不同方式:
    • Statement:用于执行静态 SQL 语句并返回它所生成结果的对象。(不用)
    • PrepatedStatement:SQL 语句被预编译并存储在此对象中,可以使用此对象多次高效地执行该语句。
    • CallableStatement:用于执行 SQL 存储过程
      在这里插入图片描述
(2)使用Statement操作数据表的弊端

  • 通过调用 Connection 对象的 createStatement() 方法创建该对象。该对象用于执行静态的 SQL 语句,并且返回执行结果。

  • Statement 接口中定义了下列方法用于执行 SQL 语句:

    int excuteUpdate(String sql):执行更新操作INSERTUPDATEDELETE
ResultSet executeQuery(String sql):执行查询操作SELECT

  • 但是使用Statement操作数据表存在弊端:

    • 问题一:存在拼串操作,繁琐
    • 问题二:存在SQL注入问题

  • SQL 注入是利用某些系统没有对用户输入的数据进行充分的检查,而在用户输入数据中注入非法的 SQL 语句段或命令(如:SELECT user, password FROM user_table WHERE user=‘a’ OR 1 = ’ AND password = ’ OR ‘1’ = ‘1’) ,从而利用系统的 SQL 引擎完成恶意行为的做法。

  • 对于 Java 而言,要防范 SQL 注入,只要用 PreparedStatement(从Statement扩展而来) 取代 Statement 就可以了。

运行结果为:

在这里插入图片描述

代码(解释在代码后面):

package com.jsm.java1;

import java.io.InputStream;
import java.lang.reflect.Field;
import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.ResultSet;
import java.sql.ResultSetMetaData;
import java.sql.SQLException;
import java.sql.Statement;
import java.util.Properties;
import java.util.Scanner;

import org.junit.Test;

public class StatementTest {
   public static void main(String[] args) {
      Scanner scanner = new Scanner(System.in);
      System.out.print("请输入用户名:");
      String user = scanner.nextLine();
      System.out.print("请输入密码:");
      String password = scanner.nextLine();
          // 使用Statement的弊端:需要拼写sql语句,并且存在SQL注入的问题
//   SQL注入的问题:
      /*
      SELECT user,password FROM user_table WHERE user='1' or ' AND password= '=1 or '1' = '1'

       */

      //需要拼写sql语句
      String sql="SELECT user,password FROM user_table WHERE user='"+user+"' AND password='"+password+"'";

      User user1 = get(sql, User.class);
      if (user1!=null){
         System.out.println("登录成功!!");
      }else {
         System.out.println("登录失败!");
      }
   }

 
   // 使用Statement实现对数据表的查询操作
   public static  <T> T  get(String sql, Class<T> clazz) {
      T t = null;

      Connection conn = null;
      Statement st = null;
      ResultSet rs = null;
      try {
         // 1.加载配置文件
         InputStream is = StatementTest.class.getClassLoader().getResourceAsStream("jdbc.properties");
         Properties pros = new Properties();
         pros.load(is);

         // 2.读取配置信息
         String user = pros.getProperty("user");
         String password = pros.getProperty("password");
         String url = pros.getProperty("url");
         String driverClass = pros.getProperty("driverClass");

         // 3.加载驱动
         Class.forName(driverClass);

         // 4.获取连接
         conn = DriverManager.getConnection(url, user, password);

         st = conn.createStatement();

         rs = st.executeQuery(sql);

         // 获取结果集的元数据
         ResultSetMetaData rsmd = rs.getMetaData();

         // 获取结果集的列数
         int columnCount = rsmd.getColumnCount();

         if (rs.next()) {

            t = clazz.newInstance();

            for (int i = 0; i < columnCount; i++) {
               // //1. 获取列的名称
               // String columnName = rsmd.getColumnName(i+1);

               // 1. 获取列的别名
               String columnName = rsmd.getColumnLabel(i + 1);

               // 2. 根据列名获取对应数据表中的数据
               Object columnVal = rs.getObject(columnName);

               // 3. 将数据表中得到的数据,封装进对象
               Field field = clazz.getDeclaredField(columnName);
               field.setAccessible(true);
               field.set(t, columnVal);
            }
            return t;
         }
      } catch (Exception e) {
         e.printStackTrace();
      } finally {
         // 关闭资源
         if (rs != null) {
            try {
               rs.close();
            } catch (SQLException e) {
               e.printStackTrace();
            }
         }
         if (st != null) {
            try {
               st.close();
            } catch (SQLException e) {
               e.printStackTrace();
            }
         }

         if (conn != null) {
            try {
               conn.close();
            } catch (SQLException e) {
               e.printStackTrace();
            }
         }
      }

      return null;
   }

}

解释:如下

(3)sql注入问题

  • SQL注入攻击是比较常见的网络攻击方式之一

    它不是利用操作系统的BUG来实现攻击,而是发生于应用程序之数据库层的安全漏洞。针对程序员编写时的疏忽通过SQL语句,实现无账号登录,甚至篡改数据库,是在输入的字符串之中注入SQL的指令,那么这些注入进去的指令就会被数据库服务器误认为是正常的SQL指令而运行,因此遭到破坏或是入侵,如下代码

在上述操作的时候输入

账号为:1’ or

密码为:=1 or ‘1’ = '1

拼凑成了正确的sql指令

SELECT USER,PASSWORD 
FROM user_table 
WHERE USER = '1' OR ' AND password= '=1 OR '1' = '1'

对于 Java 而言,要防范 SQL 注入,只要用 PreparedStatement(从Statement扩展而来) 取代 Statement 就可以了。
PreparedStatement看文章JDBC-03
以及:JDBC-05:PrepardeStatement解决SQL注入问题

附加:Java与SQL对应数据类型转换表

Java类型SQL类型
booleanBIT
byteTINYINT
shortSMALLINT
intINTEGER
longBIGINT
StringCHAR,VARCHAR,LONGVARCHAR
byte arrayBINARY , VAR BINARY
java.sql.DateDATE
java.sql.TimeTIME
java.sql.TimestampTIMESTAMP
金士曼
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
数据库消除连接泄露问题
stryker的专栏
05-17 2341
考虑一个简单的语句序列: DataSource source=... Connection conn=source.getConnection(); Statement stat=conn.createStatement(); String command="INSERT INTO Credentials VALUES('troosevelt','jabberwock');
JDBC——DAO和Statement安全问题06
weixin_39337047的博客
03-30 182
DAO(Data Access Object) 所谓的DAO就是把连接数据库的前期工作都做好,提供几个方法来给用户调用而已。 为了未来能够方便修改,尽量定义接口,然后实现接口。 新建一个dao的接口,里面声明数据库访问规则 新建一个dao的实现类,具体实现早前定义的规则 直接使用实现 Statement安全问题主要是:账号密码的登录需要拼接成一条sql语句去操作数据库,但这可能有会使得...
Caused by: java.sql.SQLException: Statement.executeQuery() cannot issue statements that do not produ
kakadiablo的专栏
01-05 7429
spring data jpa接口在用delete和update,要加上@Modifying以避免结果映射导致异常。
Oracle用desc查表结构报错 invalid sql statement
qq_41725214的博客
03-03 5831
问题 今天用oracle使用‘desc tablename’查看表结构的候,居然报错说‘invalid sql statement’,很奇怪,还以为自己搞错了,后来查资料才知道,‘desc tablename’这种查看表结构的方式只能在命令行模式(比如sqlplus或者pl/sql的命令模式)下才能使用,其他候很少有命令模式,一般都是通过各种客户端连接的,这些客户端不是命令模式的,而是...
Statement操作数据库弊端 [Java][JDBC]
m0_57001006的博客
03-29 355
Statement操作数据库弊端 数据库连接被用于向数据库服务器发送命令和SQL语句,并接受数据库服务器返回的结果 其实一个数据库连接就是一个Socket连接 在java.sql有三个接口分别定义了对数据库的调用的不同方式: Statement: 用于执行静态SQL语句,并返回它所生成结果的对象 PreparedStatement: 预编译SQL语句并将SQL语句存储在此对象,可以使用此对象多次高效的执行该语句 CallableStatement: 用于执行SQL存储过程 这个接口
检测数据库连接泄漏的最佳方法
allway2的博客
05-04 2749
介绍 数据库连接不是免费的,这就是首先使用连接池解决方案的原因。但是,单独的连接池并不能解决与管理数据库连接相关的所有问题。应用程序开发人员必须确保Connection在不再需要关闭每一个。在幕后,连接池提供了一个逻辑事务,当它被关闭,它会返回到池,以便其他并发事务可以进一步重用它。 当连接被获取而从未被关闭,就会发生连接泄漏。 何应检测到连接泄漏? 每个关系数据库都提供了一种检查底层连接状态的方法,因此可以轻松打开一个新的 SQL 终端并检查是否有任何悬空连接。但是,这种简约的方法是
JSP-JDBC-example:使用本章数据库的student表,创建3个页面
05-12
在本项目"JSP-JDBC-example",我们将探讨如何利用Java Server Pages (JSP) 和 Java Database Connectivity (JDBC) 技术与数据库进行交互,以操作名为"student"的表格。这个示例可能包括了创建、读取、更新和删除...
JDBC--MySQL:MySql数据库JDBC实现增删改查(子查询)————GUI实现
04-29
本主题将深入探讨如何使用JDBC与MySQL数据库进行连接,实现数据的增删改查(CRUD)操作,并通过图形用户界面(GUI)进行可视化操作。MySQL是一款流行的开源关系型数据库管理系统,它为开发者提供了高效、可靠的存储...
JDBC-practising-:Java实现访问Oracle数据库
05-16
本实践项目"JDBC-practising-:Java实现访问Oracle数据库"将详细介绍如何使用JavaJDBC来连接并操作Oracle数据库。 首先,要使用JDBC,你需要在项目引入Oracle的JDBC驱动,即ojdbc.jar文件。Oracle提供了多种版本...
JDBC-Datenbank-Hibernation-Buecherei:通过Hibernate框架使用Java访问HSQL数据库
04-29
【标题】"JDBC-Datenbank-Hibernation-Buecherei:通过Hibernate框架使用Java访问HSQL数据库" 涉及的是Java编程数据库访问技术,主要关注Java Database Connectivity (JDBC) 和 Hibernate 框架的使用,以及如何与...
02-JDBC-数据库连接技术
08-05
MySQL使用SQL语言是用于访问数据库的最常用标准化语言。 1.2 Oracle Oracle是1983年推出的世界上第一个开放式商品化关系型数据库管理系统。它采用标准的SQL结构化查询语言,支持多种数据类型,提供面向对象...
Spring 事务管理高级应用难点剖析: 第 3 部分
Roka的专栏
04-21 740
陈 雄华, 系统架构师陈雄华,2002 年毕业于厦门大学计算机与信息工程学院,获硕士学位。拥有 10 多年的 Java 开发、设计、架构的经验。技术研发之余,常将经验所得行诸于文字,作者是国内多个著名技术网站的专栏作者,在各大技术网站、报刊杂志发表过数十篇技术文章,广受读者好评。于 2005 年出版《精通 JBuilder 2005》,于 2007 年出版《精通 Spring 2.
数据库系列- JDBC 的三种 Statement 是什么?它们有什么区别?
最新发布
Dakaring的专栏
05-09 1936
参数化的 SQL 语句可以让数据库区分哪些是数据,哪些是命令,从而避免被恶意篡改。上面的代码创建了一个 PreparedStatement 对象,然后调用了 setString 方法,为第一个参数赋值为 “Tom”,然后调用了 executeQuery 方法,执行预编译的 SQL 语句,返回了一个 ResultSet 对象。上面的代码创建了一个 Statement 对象,然后调用了 executeQuery 方法,传入了一个 SQL 查询语句,返回了一个 ResultSet 对象,表示查询结果集。
使用Statement操作数据表弊端
七一
07-27 506
使用Statement操作数据表弊端 通过调用 Connection 对象的 createStatement() 方法创建该对象。该对象用于执行静态的 SQL 语句,并且返回执行结果。 Statement 接口定义了下列方法用于执行 SQL 语句: int excuteUpdate(String sql):执行更新操作INSERT、UPDATE、DELETE ResultSet executeQuery(String sql):执行查询操作SELECT 但是使用Statement操作数据表
使用JDBC的预编译方法prepareStatement报错:sql语法错误
weixin_65920414的博客
02-14 2959
初学preparestatement预编译出现的报错
错误笔记:JDBCStatement和PreparedStatement对于Date类型写入数据库问题
yang505581644的博客
11-22 6388
今天写JDBC使用Statement执行sql语句向oracle数据库插入Date类型数据,遇到了一些问题:........
mysql jdbc常见错误_JDBC常见错误及解决方案
weixin_42554042的博客
02-01 1259
最近很多同学在数据库编程这一块遇到了很多的问题,各种问题都有,但却苦于不知道怎么解决这些问题,以至于编程效率非常低。今天我就来总结一下在数据库编程经常遇到的问题以及解决方案吧。首先我们先回顾一下用Java操作数据库的步骤:(1)需要装载一个MySQL驱动Class.forName("com.mysql.jdbc.Driver")(2)3+1:三个单词:Connection,Statement,R...
Statement安全问题
qq_40148447的博客
01-24 834
Statement安全问题 -&amp;gt;使用Statement开发步骤: Connection conn = DriverManager.getConnection(&quot;jdbc:mysql://localhost/day06&quot;, &quot;root&quot;, &quot;247436&quot;); //3.创建statement , 跟数据库打交道一定需要这个对象, 一种提供操作sql语句的接口; Sta
MySQL:JavaStatement使用详解
给时光以文明
07-11 1573
仅做为学习笔记用,部份内容摘自: https://blog.csdn.net/xingchenhy/article/details/83826149 https://blog.csdn.net/wudingan/article/details/99714780 文章目录一.Statement用法(一)创建 Statement 对象(二)使用 Statement 对象执行SQL语句1.执行方法介绍2.需要注意的几点二.PreparedStatementStatement的区别(一)创建方式的区别(二)SQL
Beehive JDBC控件实战:轻松访问数据库
本文主要介绍了如何使用Beehive1.0JDBC控件快速访问数据库资源,通过继承JDBC控件,简化了数据库访问的复杂性,仅需定义业务方法并添加相应注释即可。所有相关的注释定义在org.apache.beehive.controls.system....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

金士曼

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值