Day06 jdbc

最新推荐文章于 2022-07-22 14:10:12 发布
最新推荐文章于 2022-07-22 14:10:12 发布
阅读量106 收藏
点赞数
分类专栏: 前端、数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_56762709/article/details/116525572
版权

一,JDBC
–1,代码
package cn.tedu;

	import java.sql.*;
	import java.util.Scanner;

	//测试 JDBC
	//JDBC用来把java程序和数据库连接起来,目的是通过java代码操作数据库
	public class TestJdbc {
	    public static void main(String[] args) throws Exception {
	//        method();//普通方式
	//        method2();//暴露SQL注入问题
	        method3();//解决SQL注入问题
	    }
	    //需求:按照 用户名 和 密码 查询用户信息
	    private static void method3() throws Exception{
	        //注册驱动
	        Class.forName("com.mysql.jdbc.Driver");
	        //获取连接
	String url="jdbc:mysql://localhost:3306/jdbctest?characterEncoding=utf8";
	        String name="root";
	        String pwd="root";
	        Connection conn = DriverManager.getConnection(url,name,pwd);
	        //获取传输器Statement,执行SQL
	//        Statement st = conn.createStatement();//SQL注入攻击问题
	//        String sql = "select * from user where name='"+a+"' and pwd='"+b+"'";

	        //获取传输器PrepareStatement,执行SQL
	        //?叫做占位符,PreparedStatement只把SQL骨架发送给数据库
	        String sql = "select * from user where name=? and pwd=?";
	        PreparedStatement ps = conn.prepareStatement(sql);
	        //给SQL设置参数
	        ps.setString(1,"jack");//第一个?设置参数
	        ps.setString(2,"123");//第二个?设置参数
	        //执行SQL
	        ResultSet rs = ps.executeQuery();
	        //解析结果集
	        while(rs.next()){
	            for (int i = 1; i <= 3 ; i++) {
	                //按照索引查
	                System.out.println(rs.getString(i));
	            }
	        }
	        //释放资源
	        rs.close();
	        ps.close();
	        conn.close();
	    }
	    //暴露SQL注入问题--发生了SQL拼接
	    //需求:按照 用户名 和 密码 查询用户信息
	    private static void method2() throws Exception {
	        //中文查不出来数据:
	//String url="jdbc:mysql://localhost:3306/jdbctest?characterEncoding=utf8";
	        //注册驱动
	        Class.forName("com.mysql.jdbc.Driver");
	        //获取连接
	        String url="jdbc:mysql://localhost:3306/jdbctest";
	        String name="root";
	        String pwd="root";
	        Connection conn = DriverManager.getConnection(url,name,pwd);
	        //获取传输器Statement,执行SQL
	        Statement st = conn.createStatement();

	        //TODO 测试SQL注入攻击问题
	        //是指当用户只输入数据时,恶意包含了特殊的SQL语句,改变了SQL语义
	        //导致只需要名字不需要密码也可以查看所有数据(数据泄露)
	        //名字输入后面两种值,都会产生SQL攻击问题: jack'# 或者 jack' or '1=1
	        String a = new Scanner(System.in).nextLine();
	        String b = new Scanner(System.in).nextLine();
	String sql = "select * from user where name='"+a+"' and pwd='"+b+"'";
	        //执行SQL
	        ResultSet rs = st.executeQuery(sql);
	        //解析结果集
	        while(rs.next()){
	            for (int i = 1; i <= 3 ; i++) {
	                //按照索引查
	                System.out.println(rs.getString(i));
	            }
	        }
	        //释放资源
	        rs.close();
	        st.close();
	        conn.close();
	    }
	    //使用JDBC查询user表的数据
	    private static void method() throws Exception {
	        //1,注册驱动(jar包)
	        Class.forName("com.mysql.jdbc.Driver");
	        //2,连接数据库
	        //getConnection(1,2,3)-1是要连接哪个数据-2是用户名-3是密码
	        Connection con = DriverManager.getConnection(
	//                "协议//服务器的名字:数据库的端口号/数据库名",
	//                "jdbc:mysql://localhost:3306/jdbctest",
	                "jdbc:mysql:///jdbctest",
	                    //url简写(使用本机使用默认的端口号)
	                    "root","root");
	        //3,获取传输器Statement
	        Statement st = con.createStatement();
	        //4,执行SQL
	        String sql = "select * from user";
	        ResultSet rs = st.executeQuery(sql);
	        //5,解析结果集
	        while(rs.next()){ //next()判断有数据吗
	            //有数据就一个一个解析id/name/pwd
	            for (int i = 1; i <= 3; i++) {
	                System.out.println( rs.getString(i) );//按索引查;
	            }

	            String id2 = rs.getString("id");//按索引查
	            String name2 = rs.getString("name");//按索引查
	            String pwd2 = rs.getString("pwd");//按索引查
	            System.out.println(id2+name2+pwd2);
	        }
	        //6,释放资源
	        rs.close();
	        st.close();
	        con.close();
	    }
	}

--2,工具类
	package cn.tedu;

	import java.sql.Connection;
	import java.sql.DriverManager;
	import java.sql.PreparedStatement;
	import java.sql.ResultSet;

	public class JDBCUtils {
	    /**
	     * 获取 数据库的连接
	     * @return Connection
	     * @throws Exception
	     */
	    public static Connection getConnection() throws Exception{
	        //注册驱动
	        Class.forName("com.mysql.jdbc.Driver");
	        //获取连接
	        String url="jdbc:mysql://localhost:3306/jdbctest?characterEncoding=utf8";
	        String name="root";
	        String pwd="root";
	        Connection conn = DriverManager.getConnection(url,name,pwd);
	        return conn;
	    }

	    /**
	     * 关闭JDBC的资源
	     * @param rs 结果集
	     * @param ps 传输器
	     * @param conn 连接
	     */
	    public static void close(ResultSet rs, PreparedStatement ps,Connection conn){
	        if(rs != null){//为了防止空指针异常
	            try{
	                rs.close();
	            }catch (Exception e){
	                e.printStackTrace();
	            }finally { //为了close时又异常
	                rs = null;
	            }
	        }
	        if(ps != null){//为了防止空指针异常
	            try{
	                ps.close();
	            }catch (Exception e){
	                e.printStackTrace();
	            }finally { //为了close时又异常
	                ps = null;
	            }
	        }
	        if(conn != null){//为了防止空指针异常
	            try{
	                conn.close();
	            }catch (Exception e){
	                e.printStackTrace();
	            }finally { //为了close时又异常
	                conn = null;
	            }
	        }
	    }


	}

--3,改造代码
	package cn.tedu;

	import java.sql.*;
	import java.util.Scanner;

	//测试 JDBC
	//JDBC用来把java程序和数据库连接起来,目的是通过java代码操作数据库
	public class TestJdbc {
	    public static void main(String[] args) throws Exception {
	//        method();//普通方式
	//        method2();//暴露SQL注入问题
	        method3();//解决SQL注入问题
	    }
	    //需求:按照 用户名 和 密码 查询用户信息
	    private static void method3(){
	        Connection conn = null;
	        PreparedStatement ps = null;
	        ResultSet rs = null;
	        try {
	            //TODO  改造 调用工具类,获取和数据库的连接
	            conn = JDBCUtils.getConnection();
	            //获取传输器Statement,执行SQL
	//        Statement st = conn.createStatement();//SQL注入攻击问题
	//        String sql = "select * from user where name='"+a+"' and pwd='"+b+"'";

	            //获取传输器PrepareStatement,执行SQL
	            //?叫做占位符,PreparedStatement只把SQL骨架发送给数据库
	            String sql = "select * from user where name=? and pwd=?";
	            ps = conn.prepareStatement(sql);
	            //给SQL设置参数
	            ps.setString(1, "jack");//第一个?设置参数
	            ps.setString(2, "123");//第二个?设置参数
	            //执行SQL
	            rs = ps.executeQuery();
	            //解析结果集
	            while (rs.next()) {
	                for (int i = 1; i <= 3; i++) {
	                    //按照索引查
	                    System.out.println(rs.getString(i));
	                }
	            }
	        }catch (Exception e){
	            e.printStackTrace();
	        }finally{ //释放资源,一定要被执行 !!!
	           //调用工具,完成关闭资源
	            JDBCUtils.close(rs,ps,conn);
	        }
	    }
	    //暴露SQL注入问题--发生了SQL拼接
	    //需求:按照 用户名 和 密码 查询用户信息
	    private static void method2() throws Exception {
	        //中文查不出来数据:
	//String url="jdbc:mysql://localhost:3306/jdbctest?characterEncoding=utf8";
	        //注册驱动
	        Class.forName("com.mysql.jdbc.Driver");
	        //获取连接
	        String url="jdbc:mysql://localhost:3306/jdbctest";
	        String name="root";
	        String pwd="root";
	        Connection conn = DriverManager.getConnection(url,name,pwd);
	        //获取传输器Statement,执行SQL
	        Statement st = conn.createStatement();

	        //TODO 测试SQL注入攻击问题
	        //是指当用户只输入数据时,恶意包含了特殊的SQL语句,改变了SQL语义
	        //导致只需要名字不需要密码也可以查看所有数据(数据泄露)
	        //名字输入后面两种值,都会产生SQL攻击问题: jack'# 或者 jack' or '1=1
	        String a = new Scanner(System.in).nextLine();
	        String b = new Scanner(System.in).nextLine();
	String sql = "select * from user where name='"+a+"' and pwd='"+b+"'";
	        //执行SQL
	        ResultSet rs = st.executeQuery(sql);
	        //解析结果集
	        while(rs.next()){
	            for (int i = 1; i <= 3 ; i++) {
	                //按照索引查
	                System.out.println(rs.getString(i));
	            }
	        }
	        //释放资源
	        rs.close();
	        st.close();
	        conn.close();
	    }
	    //使用JDBC查询user表的数据
	    private static void method() throws Exception {
	        //1,注册驱动(jar包)
	        Class.forName("com.mysql.jdbc.Driver");
	        //2,连接数据库
	        //getConnection(1,2,3)-1是要连接哪个数据-2是用户名-3是密码
	        Connection con = DriverManager.getConnection(
	//                "协议//服务器的名字:数据库的端口号/数据库名",
	//                "jdbc:mysql://localhost:3306/jdbctest",
	                "jdbc:mysql:///jdbctest",
	                    //url简写(使用本机使用默认的端口号)
	                    "root","root");
	        //3,获取传输器Statement
	        Statement st = con.createStatement();
	        //4,执行SQL
	        String sql = "select * from user";
	        ResultSet rs = st.executeQuery(sql);
	        //5,解析结果集
	        while(rs.next()){ //next()判断有数据吗
	            //有数据就一个一个解析id/name/pwd
	            for (int i = 1; i <= 3; i++) {
	                System.out.println( rs.getString(i) );//按索引查;
	            }

	            String id2 = rs.getString("id");//按索引查
	            String name2 = rs.getString("name");//按索引查
	            String pwd2 = rs.getString("pwd");//按索引查
	            System.out.println(id2+name2+pwd2);
	        }
	        //6,释放资源
	        rs.close();
	        st.close();
	        con.close();
	    }
	}

爱驹一族
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Day 37 JDBC高级
01-21
JDBC高级 1. Statement操作SQL语句 1.1 Statement查询SQL数据操作 // 查询指定的一个数据行,转换成对应的User对象 @Test public void testSelectOne() { ResultSet resultSet = null; Statement statement = null...
【java】JDBC与防止sql注入
程金鹏(程利鹏)
12-19 3918
文章目录一、JDBC概述二 、JDBC 原理三、JDBC 开发步骤【myeclipse】2) 注册驱动 一、JDBC概述 JDBC:JavaDataBaseConnectivity,Java数据库连接,SUN公司推出的java访问数据库的标准规范(接口)。 JDBC是一种用于执行SQL语句的 java api。 JDBC可以为多种关系数据库提供统一访问入口。 JDBC由一组Java工具类和接口组成...
java使用querydsl(代替sql)查询数据库
yi420735296的专栏
05-23 5807
简单介绍Querydsl是一个Java开源框架用于构建类型安全的SQL查询语句。它采用API代替拼凑字符串来构造查询语句。可跟 Hibernate 和 JPA 等框架结合使用。 总之使查询方面的很,而且容易理解.相当给力. 具体的使用轻参考http://www.querydsl.com/static/q ... nce/html/ch02.html.   我只说我使用到的情况,简单容学.
spring boot(五):spring data jpa的使用
weixin_33781606的博客
09-21 1451
在上篇文章springboot(二):web综合开发中简单介绍了一下spring data jpa的基础性使用,这篇文章将更加全面的介绍spring data jpa 常见用法以及注意事项 使用spring data jpa 开发时,发现国内对spring boot jpa全面介绍的文章比较少案例也比较零碎,因此写文章总结一下。本人也正在翻译Spring Data JPA 参考指南,有兴趣的同学欢...
如何保护 JDBC 应用程序免受 SQL 注入
allway2的博客
07-22 396
用SQL编写的查询语句用于操作数据库的内容和结构。例如,攻击者可以使用看似无害的查询执行带有恶意负载的SQL语句,以控制Web应用程序的数据库服务器。例如,攻击者可以使用看似无害的查询执行带有恶意负载的SQL语句,以控制Web应用程序的数据库服务器。例如,攻击者可以使用看似无害的查询执行带有恶意负载的SQL语句,以控制Web应用程序的数据库服务器。这可以防止SQL注入攻击的根本原因,因为在SQL注入中,其想法是混合代码和数据,其中数据实际上是伪装成数据的代码的一部分。...
spring之jdbc使用总结
sunpy
11-29 1691
1.jdbc技术所存在的问题 当我们使用jdbc之前,都需要做通过数据库连接url和数据库身份验证凭证来获取一个数据库连接。如果需要,我们可能还来个事务管理(创建一个事务同时还需要创建一个语句对象来执行SQL)。如果SQL操作如果返回一个ResultSet对象,还得遍历出每一行数据。全过程走try-catch-finally代码块。如果搞失败了,那么可能会泄漏资源,影响程序的性能。 2.spr
Jdbc_Day01.zip_jdbc
最新发布
09-24
在"Jdbc_Day01.zip_jdbc"这个压缩包中,我们可以预期找到一些关于JDBC基础使用和数据库连接的教程资料。 JDBC的核心组件包括以下几个部分: 1. **Driver Manager**:这是JDBC的入口点,负责管理所有已注册的数据库...
day06_JDBC连接池&JDBCTemplate2
08-08
JDBC(Java Database Connectivity)是Java语言中用于与关系数据库交互的一种标准接口。由Sun Microsystems公司定义,它提供了一种标准化的方法,使得Java开发者能够使用相同的API来连接不同的数据库系统,如Oracle...
day01_jdbc基础.md
06-15
JDBC的定义,JDBCUtils,JDBC HelloWorld,什么情况会触发类加载,DriverManager,Connetion,Statement,ResultSet,三层结构,对象创建过程,配置Tomcat步骤
day02_jdbc高级.md
06-15
数据库连接池的概念,自定义数据库连接池,开源数据库连接池,自定义JDBC框架, DataSource 接口,归还数据库连接的方式,继承,装饰设计模式,适配器设计模式,动态代理
java jdbc连接数据库以及sql注入演示与防止
lmsnice的博客
09-15 431
jdbc连接数据库 一、无法防止sql注入 package com.jdbc; import java.sql.Connection; import java.sql.DriverManager; import java.sql.ResultSet; import java.sql.SQLException; import java.sql.Statement; import java.util.Scanner; import com.sun.java_cup.internal.runtime.Symb
1.1Java使用JDBC原生方式连接MySql数据库
热门推荐
崩坏的芝麻
04-18 5万+
     前言:今天有朋友问我原生的java连接数据库,因为框架的使用,如果基础不牢固的人,是很容易遗忘原生的连接方式。今天正好趁此做一下回顾:    这里只考虑原生方式,框架就不在这里细说。   一、先大体搞清楚连接时,常用元素都是什么作用:   在MySQL的官方文档中,这样解释说到:...
java连接数据库操作2--防止sql注入
l-jobs的专栏
12-01 341
sql注入 概念 所谓sql注入,即用户输入的字符串和我们的sql结合产生预判之外的结果,比如下面这段判断用户名密码是否正确的代码 String sql = "SELECT * FROM user WHERE " + "username='" + username + "' and password='" + password + "'";rs = stmt.executeQ
jdbc sql 参数防止sql注入_如何防止sql注入?介绍5种防止sql注入的方法
weixin_36038435的博客
02-03 985
一、SQL注入简介SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。二、SQL注入攻击的总体思路1.寻找到SQL注入的位置2.判断服务器类型和后台数据库类型3.针对不通的服务器和数据库特点进行SQL注入攻击三、SQL注入攻击实例比如在一个登录界面,要求输入用户名和密码:可以这样输入实现免帐号登录...
JDBC连接MySQL数据库,防止注册漏洞,进行用户登录判断。
lierenbiji21的博客
05-19 327
要求:用户用户名密码登录判断,这是每个项目必须要处理的问题,为了防止sql语句注入漏洞,我们采用sql语句预处理方法,给它固定格式,然后设置参数部分,下面我们直接看代码: import java.sql.*; public class loginDemotest { public static void main(String[] args) { //连接对象 Connection con = null; //sql语句预声明对象 P
JAVA通过JDBC连接数据库(MySQL)的五种方式(迭代关系)(笔记)
Etui۹(・༥・´)و的博客
03-01 813
连接方式案例及注解 package com.Etui.connection; import java.io.BufferedInputStream; import java.io.FileInputStream; import java.io.InputStream; import java.sql.Connection; import java.sql.Driver; import java.sql.DriverManager; import java.sql.SQLException; import
jdbc连接数据库的优化和防止注入
HongTao_Scau的博客
02-22 1009
package dao; import java.sql.Connection; import java.sql.DriverManager; import java.sql.PreparedStatement; import java.sql.SQLException; import java.sql.Statement; import org.junit.Test;
JDBC之SQL注入问题案例详解(简单易懂版)
奈何的人生
04-02 1316
什么是SQL注入? SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。 简单来说 当用户输入的数据中有SQL关键字或语法时,并且参与了SQL语句的编译,导致SQL语句编译后条件结果为tr...
高效实现JDBC连接池管理—day06_JDBC连接池
JDBC连接池是一种为了提高数据库访问性能而设计的技术。在开发过程中,频繁地打开和关闭数据库连接会给系统带来很大的开销,因此使用连接池可以显著地减少这种开销。JDBC连接池是一个管理数据库连接的容器,它会在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值