JDBC学习——简单学习以及sql注入现象!

最新推荐文章于 2024-08-21 21:54:58 发布
最新推荐文章于 2024-08-21 21:54:58 发布
阅读量160 收藏
点赞数 2
分类专栏: Java 文章标签: sql 数据库 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52000204/article/details/115042111
版权

  JDBC (java语言连接数据库)是sun公司制定的一套接口

  JDBC 代码编写的六步
 1、注册驱动
 2、获取连接
 3、获取数据库操作对象
 4、执行sql语句
 5、处理查询结果集
 6、释放资源

1、注册驱动
  有两种方式:

 //第一种
Driver driver=new com.mysql.jdbc.Driver();
DriverManager.registerDriver(driver);
//第二种注册方式(常用)
 Class.forName("com.mysql.jdbc.Driver");

  在编写JDBC的时候可以通过使用资源绑定器(xxx.properties) 绑定属性配置文件和工具类的创建去让代码看起来更简介方便。
  将连接数据库的所有信息配置到文件当中xxx.properties,因为实际开发中不建议把连接数据库的信息 写死到java程序中
  

案例:模拟用户登录

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.ResultSet;
import java.sql.Statement;
import java.util.*;

/**
 *  实现功能
 *      1. 需求:模拟用户登录功能的实现
 *      2. 业务描述:
 *          程序运行的 时候提供一个输入的入口  让用户可以输入用户名和密码
 *          用户输入后提交信息 java程序收集到用户信息
 *          java程序验证用户名和密码是否合法
 *          合法:显示登录成功
 *          不合法:显示登录失败
 *      3. 数据的准备
 *          实际开发中表的设计会使用专业的建模工具
 *          +----+----------+-----------+----------+
 *          | id | loginPwd | loginName | realName |
 *          +----+----------+-----------+----------+
 *          |  1 | 111      | 1         | 1        |
 *          |  2 | 222      | 2         | 2        |
 *          +----+----------+-----------+----------+
 *      4.当前程序存在的问题
 *          用户名:fdsa
 *          密码:fdsa' or '1'='1
 *          登录成功!
 *          这种现象叫做SQL注入(安全隐患)(黑客经常使用)
 *       5.导致SQL注入的主要原因
 *          where loginPwd = 'fdsa' or '1'='1'
 *          这样会导致sql 的代码变成上面那样  因为1=1 恒成立  所以会查询到所有字段
 *          用户输入的信息含有sql语句的关键字,
 *          而最重要的是这些关键字参与了sql语句 的编译过程
 *          导致sql语句原意扭曲 进而达到sql注入
 */
public class JDBC_Test06 {
    public static void main(String[] args) {
        //初始化一个界面
        /* 该方法要返回一个容器 既可以存用户名 又可以存密码*/
        Map<String,String> userLoginInfo = initUI();
        //验证用户名loginName和密码loginPwd
        boolean loginResult = login(userLoginInfo);
        System.out.println(loginResult ? "登录成功!":"登录失败!");
    }

    /**
     * 初始化用户界面
     * @return loginName loginPwd 等登录信息
     */
    private static Map<String,String> initUI(){
        Scanner scanner=new Scanner(System.in);
        System.out.print("用户名:");
        String loginName = scanner.nextLine();
        System.out.print("密码:");
        String loginPwd = scanner.nextLine();
        Map<String,String> userLoginInfo = new HashMap<>();
        userLoginInfo.put("loginName",loginName);
        userLoginInfo.put("loginPwd",loginPwd);
        return userLoginInfo;
    }

    /**
     *
     * @param userLoginInfo
     * @return boolean
     */
    private static boolean login(Map<String,String> userLoginInfo){
        //打标记
        boolean loginResult = false;
        /*
        P_JDBC_Test01.properties中的代码
        driver = com.mysql.jdbc.Driver
        url = jdbc:mysql://localhost:3306/bjpowernode
        user = root
        password = 020826
        */
        //JDBC代码
        Connection connection = null;
        Statement statement=null;
        ResultSet resultSet=null;
        ResourceBundle resourceBundle = ResourceBundle.getBundle("P_JDBC_Test01");
        String driver = resourceBundle.getString("driver");
        String url = resourceBundle.getString("url");
        String user = resourceBundle.getString("user");
        String password = resourceBundle.getString("password");
        try {
            //1. 注册驱动
            Class.forName(driver);
            //2. 获取连接
            connection = DriverManager.getConnection(url,user,password);
            //3. 获取数据操作对象
            statement = connection.createStatement();
            //4. 执行sql
           /* String sql = "select * from t_user where loginName = 'xxx' and loginPwd = ''";*/
            /*
            变量拼到一个字符串   重点
            loginName = '"+userLoginInfo.get("loginName")+"'
            */
            String sql = "select * from t_user where loginName = '"+userLoginInfo.get("loginName")+"' and loginPwd = '"+userLoginInfo.get("loginPwd")+"'";
            //上面这行进行了sql语句的拼接  下面这行发送sql语句到DBMS DBMS 进行sql 编译
            //正好将用户提供的非法信息编译进去 导致了原sql语句含义改变
            resultSet = statement.executeQuery(sql);
            //5. 处理查询结果集
            /* 这个例子中 用户不匹配查不到记录  用户匹配了也只能查到1条记录 所以不需要用while 用if就可与*/
            if (resultSet.next()){
                //如果为true 说明结果集中又数据 这个例子中 有数据代表用户匹配
                loginResult = true;
            }
        }catch (Exception e){
            e.printStackTrace();
        }finally {
            //6. 释放资源
            try {
                if (resultSet!=null){
                    resultSet.close();
                }
            }catch (Exception e){
                e.printStackTrace();
            }
            try {
                if (statement != null) {
                    statement.close();
                }
            }catch (Exception e){
                e.printStackTrace();
            }
            try {
                if (connection != null) {
                    connection.close();
                }
            }catch (Exception e){
                e.printStackTrace();
            }
        }


        return loginResult;
    }
}

上述案例存在sql注入现象
解决方法
使用java.sql.preparedStatement(预编译的数据库操作对象)
原理:
preparedStatement预先对sql语句进行了编译 然后再给SQL语句传"值"
用preparedStatement后第三步获取数据库操作对象和第四步执行sql会发生变化

//3. 获取预编译的数据操作对象
                //  ? 占位符 1个?将来会接收1个值
                //  SQL语句的框架
            String sql = "select * from t_user where loginName = ? and loginPwd = ? ";
                //程序执行到此会发送sql语句到DBMS 然后DBMS会进行sql语句的预编译
            /*prepareStatement 这个没有 d */
            preparedStatement = connection.prepareStatement(sql);
                //给 占位符 ? 传值 第一个 ? 下标是1 第二个是2  JDBC中下标从1开始
            preparedStatement.setString(1,userLoginInfo.get("loginName"));
            preparedStatement.setString(2,userLoginInfo.get("loginPwd"));

            //4. 执行sql
            resultSet = preparedStatement.executeQuery();

对比 Statement 和 preparedStatement
Statement 存在SQL注入问题
Statement 编译一次 执行一次
preparedStatement 编译一次 执行n次
preparedStatement大多情况使用 ,只有极少数情况使用Statement,当业务必须需要sql语句拼接 或sql注入的时候。

undertale flower
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
MLDn学习笔记 —— JDBC
03-16
- 使用PreparedStatement,防止SQL注入,提高执行效率。 - 使用批处理(Batch Processing),一次性提交多条SQL,减少网络往返次数。 - 数据库连接池(如C3P0、HikariCP),管理数据库连接,提高系统性能。 - 使用...
JDBC实现注册登录
热门推荐
仲夏的博客
01-16 1万+
工具和准备: MYSQL 8.0jar包: 链接:https://pan.baidu.com/s/1O3xuB0o1DxmprLPLEQpZxQ  提取码:grni  使用eclipse开发首先把jar包导入内库中 首先将jar包复制到项目src下,右击src点击build path然后会在Refrenced中看到jar包 本篇博客主要讲述jdbc的操作过程,每一步需要干什么,最后用代码...
JDBC实现注册
qq_36760873的博客
08-24 1046
JDBC实现注册 步骤1:先建一个mysql表,此处建表为login 第二步:写代码为: package com.sram.util; import com.sun.xml.internal.bind.v2.model.core.ID; import java.sql.*; import java.util.Scanner; public class Register { public stat...
JDBC 实战教程-尚硅谷学习笔记 2023年
05-17
**JDBC实战教程——尚硅谷学习笔记 2023年** Java Database Connectivity(JDBC)是Java平台中用于与数据库交互的一种标准接口。它由Java API组成,允许Java应用程序连接到各种数据库,执行SQL语句,处理结果集,...
java——jdbc学习总结
01-28
- 使用PreparedStatement能有效防止SQL注入攻击,提高代码安全性。 JDBCJava开发中不可或缺的一部分,熟练掌握JDBC可以帮助开发者有效地进行数据库操作,同时,随着JDBC的不断升级,现代的JDBC驱动如JDBC 4.2及...
sqljdbc (连接sql server数据库的驱动)
08-16
2. SQLJDBC驱动类型:SQLJDBC驱动主要有两种类型——SQLJDBC42和SQLJDBC4.0。SQLJDBC42适用于Java 8及更高版本,支持TLSv1.2协议;SQLJDBC4.0适用于Java 6和7,不支持TLSv1.2。 3. 功能特性:SQLJDBC驱动支持包括...
JAVA EE NZ2001 ——Day39——java EE学习 通宵达旦,终于弄好了数据库连接的相关总结、作业以及笔记
12-14
注意,使用`PreparedStatement`可以防止SQL注入攻击,同时提升性能,因为它可以缓存预编译的SQL语句。 2. 使用配置文件封装DBUtils工具类: 为了提高代码的可维护性和可重用性,通常会将数据库连接信息放在配置文件...
SQL 时间盲注 (injection 第十六关)
baishiqi12的博客
08-20 377
SQL 注入,仅供参考
SQL - 基础大汇总
心如冰清,天塌不惊
08-16 497
【代码】数据库 - 基础。
掌握SQL的威力:批量更新与删除的艺术
2401_85341950的博客
08-17 786
批量更新和删除是数据库管理中的重要操作,正确使用SQL可以大大提高数据处理的效率。通过本文的学习,读者应该能够理解并掌握如何安全、有效地执行这些操作。希望本文能够帮助您在数据库管理的道路上更进一步。以上就是关于如何使用SQL进行数据的批量更新或删除的详细介绍和代码示例,希望能够对您有所帮助。如果您有任何疑问或需要进一步的讨论,请随时联系我们。
SQL - 多表查询
心如冰清,天塌不惊
08-18 451
【代码】SQL - 多表查询。
SQL的连接查询与pandas的对应关系
C'mon的博客
08-16 750
SQL和Pandas中,连接查询(join)是处理数据集之间关系的重要工具。
如何合理设置PostgreSQL的`max_connections`参数
分享关于Java编程、数据库管理和信息安全方面的最佳实践
08-21 468
合理设置需要综合考虑系统的硬件资源、应用程序的需求以及数据库的实际负载。通过精确的计算和参数调整,可以确保数据库在高并发情况下依然稳定、高效地运行。此外,持续监控和优化是确保设置合理的关键步骤。在实际操作中,应结合具体业务需求和负载测试结果,灵活调整,以更好地管理数据库资源,优化整体性能。
Python编码系列—Python SQL与NoSQL数据库交互:深入探索与实战应用
u013889591的专栏
08-17 894
在数据驱动的现代应用开发中,数据库扮演着核心角色。Python作为一种灵活的编程语言,提供了与SQL和NoSQL数据库交互的强大工具。本文将深入探讨Python如何与SQL和NoSQL数据库进行交互,并展示在实际项目中的应用案例。SQL(Structured Query Language)数据库以其结构化查询和事务性操作而广受欢迎。而NoSQL(Not Only SQL数据库则以其灵活的数据模型、水平扩展能力和高性能等特点,应对了大数据和高并发的挑战。
[mysql][sql]mysql查询表大小
最新发布
一名不太专业的程序员
08-21 201
表中选择特定数据库(在这个例子中是名为 'crawleroocllisten' 的数据库)的表信息。查询结果包括数据库名、表名、表中的记录数以及数据和索引所占用的空间容量(单位为MB)。这个查询通常用于数据库管理,帮助管理员了解数据库中各个表的大小和记录数,以便进行优化和维护。函数来将数据和索引长度除以1024两次(将字节转换为MB),并且保留两位小数。SQL 查询语句,用于从。
sql】加密所有的存储程式
sinat_28782331的博客
08-20 243
一个可以加密SQL所有程式的存储程式
SQL Server数据库查询常用语句汇总
强者征服今天,懦夫哀叹昨天,懒汉坐等明天。
08-21 200
这里,汇总了在使用SQL Server数据库的过程中经常会写的查询语句。
RazorSQL for Mac/Win:强大的跨平台多功能SQL数据库编辑器RazorSQL for Mac/Win:功能强大的跨平台 SQL 数据库编辑器
2401_82627223的博客
08-17 457
RazorSQL 是一款功能全面、性能卓越的 SQL 数据库编辑器,无论是专业的数据库开发人员,还是数据库管理的初学者,都能从中受益,是您处理数据库相关工作的得力助手。
工作 sql 数据库创建 表的修改 插入数据
weixin_46659095的博客
08-17 316
字段名 字段属性(int varchar)not null(非空) comment " 解释"tinyint 因为有符号位 所以 是 2^7 -128 ~ 127。CREATE TABLE IF NOT EXISTS `表名`(一个字节 有 8个比特。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值