JDBC开发基本步骤和简单封装&PreparedStatement和Statement的区别&sql注入

最新推荐文章于 2023-07-11 19:15:00 发布
最新推荐文章于 2023-07-11 19:15:00 发布
阅读量292 收藏 1
点赞数
文章标签: mysql 数据库 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47942417/article/details/125990087
版权

JDBC就是SUN公司开发的一套通用java语言操作不同数据库的接口。
 

在JDBC里面Java这个公司只是提供了一套接口Connection、Statement、ResultSet,每个数据库厂商实现了这套接口。

例如MySql公司实现了:MySql驱动程序里面实现了这套接口,Java程序员只要调用实现了这些方法就可以实现对 MySql数据库的增删改查。

这里我们以MySql为例描述一下JDBC开发的基本步骤.

准备工作:

        1.准备好数据库以及数据库中的数据

        2.添加mysql的jar包

        3.

JDBC开发步骤:

1、加载驱动Class.forName("");  

2、获得连接对象Connection

3、写sql语句

4、创建Statement(一艘船)

5、执行sql语句

     (1) 更新类(更改了表里面数据):delete/update/insert     executeUpdate()

           返回值:int,表示你影响的行数

      (2)查询(没有改变表里面数据):  select                              executeQuery()

           返回值:结果集ResultSet

6、关闭连接

以下演示对student的查找,用最原始的JDBC完成

public void selectAll() {
        Connection connection = null;
        Statement statement = null;
        ResultSet resultSet = null;
        try {
            //1、加载驱动Class.forName("");
            Class.forName("com.mysql.jdbc.Driver");
            //2、获得连接对象Connection
            connection = DriverManager.getConnection("jdbc:mysql://localhost:3306/java2207?useUnicode=true&characterEncoding=UTF-8", "root", "1234");
            //3、写sql语句
            String sql = "select id,name,age,gender from student";
            //4、创建Statement(一艘船)
            statement = connection.createStatement();
            //5、执行sql语句
            //        (1) 更新类(更改了表里面数据):delete/update/insert     executeUpdate()
            //返回值:int,表示你影响的行数
            //        (2)查询(没有改变表里面数据):  select                  executeQuery()
            //返回值:结果集ResultSet
            resultSet = statement.executeQuery(sql);
            List<Student> list = new ArrayList<>();
            while (resultSet.next()) {// 如果有下一个返回true,而且指向下一个
                int id = resultSet.getInt("id");
                String name = resultSet.getString("name");
                int age = resultSet.getInt("age");
                String gender = resultSet.getString("gender");
                Student student = new Student(id, name, age, gender);
                list.add(student);
            }

            for (Student student : list) {
                System.out.println(student);
            }

        } catch (ClassNotFoundException e) {
            e.printStackTrace();
        } catch (SQLException throwables) {
            throwables.printStackTrace();
        } finally {
            //6、关闭连接 先打开的后关闭
            if (resultSet != null) {
                try {
                    resultSet.close();
                } catch (SQLException throwables) {
                    throwables.printStackTrace();
                }
            }
            if (statement != null) {
                try {
                    statement.close();
                } catch (SQLException throwables) {
                    throwables.printStackTrace();
                }
            }
            if (connection != null) {
                try {
                    connection.close();
                } catch (SQLException throwables) {
                    throwables.printStackTrace();
                }
            }

        }
    }

可以看到第一步,第二步,第六步

1、加载驱动Class.forName("");  

2、获得连接对象Connection

.

6、关闭连接

这三步,无论增删改查每次都要执行,而且都一样,我们可以把他们封装在一个工具类中:

package com.situ.web.util;

import java.sql.*;

public class JDBCUtil {
    private final static String URL = "jdbc:mysql://localhost:3306/java2207?useUnicode=true&characterEncoding=UTF-8";
    private final static String USER = "root";
    private final static String PASSWORD = "123456";

    // DBUtils
    // 静态代码块,类加载时候只执行一次
    static {
        try {
            Class.forName("com.mysql.jdbc.Driver");
        } catch (ClassNotFoundException e) {
            e.printStackTrace();
        }
    }

    public static Connection getConnection() throws SQLException {
        Connection connection = DriverManager.getConnection(URL, USER, PASSWORD);
        return connection;
    }

    public static void close(Connection connection, Statement statement, ResultSet resultSet) {
        if (resultSet != null) {
            try {
                resultSet.close();
            } catch (SQLException throwables) {
                throwables.printStackTrace();
            }
        }
        if (statement != null) {
            try {
                statement.close();
            } catch (SQLException throwables) {
                throwables.printStackTrace();
            }
        }
        if (connection != null) {
            try {
                connection.close();
            } catch (SQLException throwables) {
                throwables.printStackTrace();
            }
        }
    }


}

这样原来的代码就变成了:

private void SelectAll(HttpServletRequest req, HttpServletResponse resp) throws IOException, ServletException {
        Connection connection = null;
        PreparedStatement statement = null;
        ResultSet resultSet = null;
        List<Student> list = new ArrayList<>();
        try {
            connection = JDBCUtil.getConnection();
            String sql = "select id,name,age,gender from student";
            statement = connection.prepareStatement(sql);
            System.out.println(statement);
            resultSet = statement.executeQuery();

            while (resultSet.next()) {// 如果有下一个返回true,而且指向下一个
                int id = resultSet.getInt("id");
                String name = resultSet.getString("name");
                int age = resultSet.getInt("age");
                String gender = resultSet.getString("gender");
                Student student = new Student(id, name, age, gender);
                list.add(student);
            }
            for (Student student : list) {
                System.out.println(student);
            }
        } catch (SQLException throwables) {
            throwables.printStackTrace();
        } finally {
            JDBCUtil.close(connection, statement, resultSet);
        }

    }

可以看到,这样代码就精简了很多,当我们再写增删改时也可以直接调用工具类中的方法.

细心一点就会发现,上边代码封装后,我没有用Statement,而是用的PreparedStatement

其实PreparedStatement是Statement的子类

我们来看看它们的区别:

1、语法不同:

        PreparedStatement可以使用预编译的sql,只需要发送一次sql语句,后面只要发送参数即可,公用一个sql语句。

        Statement只能使用静态的sql。 

        delete from student where id=1;

2、效率不同:

        PreparedStatement使用了sql缓冲区,效率要比Statement高。

3、安全性不同:

        PreparedStatement可以有效的防止sql注入,而Statement不能防止sql注入。

那么什么是SQL注入呢?

简单来说就是通过将恶意的 Sql 查询或添加语句插入到应用的输入参数中,再在后台 Sql 服务器上解析执行进行的攻击.

比如我们在登陆页面输入账号密码登陆的时候,我们会通过输入的内容,去数据库中查找是否有这个账户,以及密码是否正确,而输入的账号密码如果用Statement传输,上边说过, Statement只能使用静态的sql,如果有人恶意在再输入账号密码的地方输入SQL语句:

如本来的SQL语句应是:

SELECT * FROM users WHERE `name`='账号' AND `password`='密码';

而我们在账号中输入:zhangsan' OR 1=1 -- y 

这样sql语句就变成了:

SELECT * FROM users WHERE `name`='zhangsan' OR 1=1 -- y' AND `password`='343';

可以看到 --后的都被注释掉,这样可以直接查出所有的user表的信息,即为不安全.

而 PreparedStatement会对sql语句进行预编译,然后将变量传入进行查找,就不会有这种情况发生.

菠菜不会写代码
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
封装好的PreparedStatement DB连接
12-26
找到的比较全面的封装好的DBUtil,新手可以参考使用,防止SQL注入
jdbc中通用的增删查改操作
weixin_45929885的博客
04-09 118
jdbc中通用的增删查改操作 链接数据库,关闭 /** * * @Description 操作数据库的工具类 * @author shkstart Email:shkstart@126.com * @version * @date 上午9:10:02 * */ public class JDBCUtils { /** * * @Description 获取数据库的连接 * @author shkstart * @date 上午9:11:23 * @retu
JDBC封装实现及 PreparedStatement防止sql注入问题的应用
weixin_46013570的博客
08-21 248
PreperedStatementStatement的子类,它的实例对象可以通过调用Connection.preparedStatement()方法获得。PreperedStatement对于sql中的参数,允许使用占位符的形式进行替换,简化sql语句的编写。:执行的时候参数会用引号包起来,并把参数中的引号作为转义字符,从而避免了参数也作为条件的一部分。PreparedStatement可对SQL进行预编译,从而提高数据库的执行效率。通过巧妙的技巧来拼接字符串,造成SQL短路,从而获取数据库数据。
javajdbc封装笔记_JDBC封装学习笔记(三)---面向对象的JDBC,使用preparedStatement...
weixin_39717152的博客
02-25 120
使用PreparedStatement对象:为什么要使用PreparedStatement原因:(1)使用Statement需要拼接SQL,太费劲,也容易出错。String sql = "insert into userinfo" + " values (" + player.getId() + ",'" + player.getPlayerID() + "','"+ player.getName...
封装JDBC简单快捷的使用PreparedStatement对象
shaokun305的专栏
08-01 2712
在使用jdbc操作数据库中,最常用的操作便是对数据库实现增,删,改,查四种基本的操作,在一般的java操作模式下,常用的是使用一个数据对象(就是和数据库中表列对应的数据结构,只用set和get方法),但是,在写的过程中,使用PreparedStatement时,就会出现,对象的参数之间的对应耦合太强还要写太多的set参数方法,很繁琐。,所以我就为此写了一个封装类,其实很简单,就是使用一个对象数组保
JDBC-PreparedStatement以及对代码的封装
qq_52998673的博客
09-12 653
JDBC-PreparedStatement以及对代码的封装
JDBC简单封装
mizihigh的博客
08-06 639
JDBC:java 数据库连接,一般分为六个步骤: 1、加载数据库提供商提供的驱动 2、获取数据库连接对象 3、获取处理命令 4、执行sql语句 5、处理执行结果 6、回收资源 import java.sql.Connection; import java.sql.DriverManager; import java.sql.SQLException; import java.sql
JDBC的相关概念及使用的步骤SQL注入的问题
赤兔胭脂小吕布的博客
01-19 150
一、相关概念 1.什么是JDBC   JDBC(Java Database Connectivity,java数据库连接)是一种用于执行SQL语句的Java API,可以为多种关系数据库提供统一访问,它由一组用Java语言编写的类和接口组成。JDBC提供了一种基准,据此可以构建更高级的工具和接口,使数据库开发人员能够编写数据库应用程序。 2.数据库驱动   我们安装好数据库之后,我们的应用程序也...
PreparedStatement封装与查询封装简介及案例呈现
zh_tnis的博客
08-24 1233
1.PreparedStatement封装。 使用PreparedStatement主要就是为了防止SQL注入问题,PreparedStatementstatement多了一个SQL语句预处理的功能,下边我将PreparedStatement进行了封装处理。前边的JDBC简易封装那篇博客有将加载驱动、获取连接对象的方法进行过封装。 public PreparedStatement getPreparedStatement(String sql,Object...args) throws SQLE
JDBC技术【封装JDBC工具类、Statement的使用、PreparedStatement的使用(重点)、ResultSet的使用】(二)-全面详解(学习总结---从入门到深化)
最新发布
07-11 520
JDBC技术【封装JDBC工具类、Statement的使用、PreparedStatement的使用(重点)、ResultSet的使用】(二)-全面详解(学习总结---从入门到深化)
Statement和PreparedStatement区别封装的好处
qq_44978607的博客
07-14 253
Statement 和 PreparedStatement之间的关系和区别. 关系:PreparedStatement继承自Statement,都是接口 区别: 1.PreparedStatement是预编译的,对于批量处理可以大大 提高效率. 也叫JDBC存储过程 2.使用 Statement 对象。在对数据库只执行一次性存取的时侯,用 Statement 对象进行处理。PreparedStatement 对象的开销比Statement大,对于一次性操作并不会带来额外的好处。 3.statem.
JDBC中的Statement和PreparedStatement区别
热门推荐
qpzkobe的博客
02-07 1万+
以Oracle为例吧Statement为一条Sql语句生成执行计划,如果要执行两条sql语句select colume from table where colume=1;select colume from table where colume=2;会生成两个执行计划一千个查询就生成一千个执行计划!PreparedStatement用于使用绑定变量重用执行计划select colume from...
理解dbutils对jdbc封装
icai888的博客
09-29 612
我们知道jdbc是一种使用java代码发送sql语句的技术,虽然近些年来,随着像hibernate,mybatis等优秀方便程序员开发的ORM框架的出现,jdbc技术逐渐淡出人们的视野,但是由于jdbc能给予最高能动性于程序员,能够发挥最高的性能等特点,一些需要定制优化性能的场景常常需要jdbc,毕竟ORM框架是面对对象的,性能,定制性不如jdbcjdbc虽好,但由于很底层,发送sql语句进行操
MyBatis 基础理论与执行理论总结
许诗宇的博客
02-26 1339
注意:本文参考 MyBatis 常见面试总结 | JavaGuide #{}和${}的区别是什么? ${}是 Properties 文件中的变量占位符,它可以用于标签属性值和 sql 内部,属于静态文本替换,比如${driver}会被静态替换为com.mysql.jdbc. Driver。 #{}是 sql 的参数占位符,MyBatis 会将 sql 中的#{}替换为? 号,在 sql 执行前会使用 PreparedStatement 的参数设置方法,按序给 sql 的? 号占位符设置参数值,....
JDBC PreparedStatement,工具类封装,悲观锁【JDBC实例 --- 模拟用户登录】
a23452的博客
11-27 3133
JDBC学习 内容导航注册驱动的第二种方式执行静态代码块的几种情况使用配置文件来存放信息模拟用户登录在sql语句中如何使用动态的变量SQL注入【随意的用户名,考究的密码登录成功】解决sql注入问题PreparedStatement的使用使用Statement场景使用PreparedStatement完成CUD和模糊查询jdbc事务关闭自动提交JDBC封装行级锁for update Java养成计划78,79天 jdbc连接数据库应用,功能查询 之前已经分享了jdbc编程6步: 注册驱动,告诉程序
jdbc 更新 preparedstatement传入参数封装和使用泛型进行查询结果的封装
tanghuan0827的博客
09-07 1823
  熟悉了使用PreparedStatement的优势,没有使用封装和使用封装的方法进行实现了;   以及JDBCTools新增update_sql(String sql,Object...args) 和query_sql(String sql,Object...args)两个功能模块,分别实现了SQL的update和select的功能.   了解了sql注入,以及实现了模拟注入和PreparedStatement阻止注入的样例.   PreparedStatement的使用步骤:   1.创...
JDBC介绍 使用步骤 导包 代码优化 PreparedStatement 封装工具类 SQL注入
weixin_46589981的博客
02-17 797
1.1介绍 JDBC : Java DataBase Connectivity (java数据库链接) 就是让java连接到数据库的API API : Application Programming Intergace (应用程序接口) 就是函数库 1.2JDBC 使用步骤 第0步:导包 第1步:注册驱动(仅仅只做一次) 第2步:建立连接(Connection) 第3步:创建运行SQL的语句对象(Statement) 第4步:运行语句 第5步:处理运行结果(ResultSet) 第6步:释放资源 其中
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值