JDBC---java 数据库连接 通过Java代码来操作数据库表中的记录(增删改查) sql注入安全问题

已于 2022-05-05 21:29:55 修改
阅读量1.4k 收藏 4
点赞数
分类专栏: MySQL 文章标签: java 开发语言 mysql
于 2022-05-01 19:35:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_68509156/article/details/124531183
版权

JDBC下载(百度MySQL驱动)

Java属于什么语言? ---- OOP面向对象的语言

数据库属于什么语言? ----SQL语言:结构化查询语言

上面会因为语言不同,带来沟通问题?

如果是你如何解决java和数据库之间的沟通? -- 找个翻译官

1.Java连接MySQL数据库 

步骤:

1.创建一个Java工程

2.在工程下创建一个目录lib ---->放jar的 

3.把该jar进行解压---->一定要在程序中完成

 4.写程序

(1)加载驱动
   Class.forName("com.mysql.cj.jdbc.Driver"); 
   
(2)获取连接对象
    String url="jdbc:mysql://ip:port/数据库名?serverTimezone=Asia/Shanghai";
    String user="root"
    String password="密码"
    Connection connection=DriverManager.getConnection(url,user,password);
(3)获取执行sql语句的对象
    Statement st=connection.createStatement();
 
 (4)执行sql语句 增删改
    st.executeUpdate(sql);

 1.1.增删改功能

package com.demo;

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.Statement;


public class Test01 {
    public static void main(String[] args)throws Exception {
        //1.加载驱动---理解为引用翻译
        Class.forName("com.mysql.cj.jdbc.Driver");
        //2.获取连接对象
        //       String url, 数据库的路径  mysql5.7以后
        //       协议:数据的种类://ip:端口号/数据库名?serverTimezone=Asia/Shanghai
        //       jdbc:mysql://
        //        String user,账号
        //        String password 密码
        String url="jdbc:mysql://localhost:3306/mydb?serverTimezone=Asia/Shanghai";
        String user="root";
        String password="root";
        Connection connection= DriverManager.getConnection(url,user,password);

        //3.获取执行sql语句的对象。
        Statement statement=connection.createStatement();

        //4.执行sql语句。增删改
        String sql="delete from t_student where id=1";
        statement.executeUpdate(sql);
    }
}

总结:

1. 加载驱动 Class.forName("com.mysql.cj.jdbc.Driver");
2. 获取连接对象 Connection connection=DriverManager.getConnection(url,u,pass);
3. 获取执行sql语句的对象. Statement statement=connection.createStatement();
4. 执行sql语句: statement.executeUpdate(sql);

public class TestJdbc {

    //测试添加功能---往数据库中添加
    @Test
    public void testInsert() throws Exception{
        Class.forName("com.mysql.cj.jdbc.Driver");

        String url="jdbc:mysql://localhost:3306/mydb?serverTimezone=Asia/Shanghai";
        String user="root";
        String password="root"; //这里的密码要和你自己的对照
        Connection connection = DriverManager.getConnection(url,user,password);

        Statement statement = connection.createStatement();

        String sql="insert into t_student values(null,'王五',16,'北京')";
        statement.executeUpdate(sql);

    }

    @Test
    public void testUpdate() throws Exception{
        Class.forName("com.mysql.cj.jdbc.Driver");

        String url="jdbc:mysql://localhost:3306/mydb?serverTimezone=Asia/Shanghai";
        String user="root";
        String password="root"; //这里的密码要和你自己的对照
        Connection connection = DriverManager.getConnection(url,user,password);

        Statement statement = connection.createStatement();

        String sql="update t_student set name='闫克起',age=18,address='香港' where id=2";
        statement.executeUpdate(sql);

    }
}

出现的错误有哪些?

1.Class---->别写为class

2.驱动类找不到

原因: (1)类写错了 (2)没有把驱动jar包放入工程中并解压。

 3.没有写时区或者写错了。?serverTimezones=Asia/Shanghai

4.数据库的账号或密码错误。

 5.sql语句有错。 应该把sql放到数据库中执行一下

1.2.查询功能---查询数据库表中记录

@Test  //理解为main函数。可以独立运行。
    public void testQuery() throws Exception { //抛出异常只是为了操作方便。真正在开发时应该try--catch
        Class.forName("com.mysql.cj.jdbc.Driver");
        Connection conn = DriverManager.getConnection
                ("jdbc:mysql://localhost:3306/mydb?serverTimezone=Asia/Shanghai", "root", "root");

        Statement statement = conn.createStatement();

        String sql = "select id,name,age,address from t_student";
        //执行查询sql语句 并把数据库表中记录返回到ResultSet对象中进行保存。
        ResultSet rs = statement.executeQuery(sql);

        //取出ResultSet中表的记录。rs.next() 判断指针是否可以移动。如果可以移动则返回true,否则返回false
        while (rs.next()) {
            int id = rs.getInt("id"); //指针移动并获取指定列的值。
            String name = rs.getString("name");
            String address=rs.getString("address");
            int age=rs.getInt("age");
            System.out.println("id:"+id+";name:"+name+";age:"+age+";address:"+address);
        }

    }

分析查询:

 容易出现的错误:

 查询时没有查找names该列。

1.3.根据条件查询

//根据条件查询数据库
    @Test
    public void testQueryByCondition() throws Exception{
        Class.forName("com.mysql.cj.jdbc.Driver");
        Connection conn = DriverManager.getConnection
                ("jdbc:mysql://localhost:3306/mydb?serverTimezone=Asia/Shanghai", "root", "root");

        Statement statement = conn.createStatement();
        String sql="select * from t_student where id=3";
        ResultSet rs = statement.executeQuery(sql);
        while (rs.next()){
            int id = rs.getInt("id"); //指针移动并获取指定列的值。
            String name = rs.getString("name");
            String address=rs.getString("address");
            int age=rs.getInt("age");
            System.out.println("id:"+id+";name:"+name+";age:"+age+";address:"+address);
        }

    }

1.4.sql注入安全问题

sql注入: sql中存在特殊字符时 则sql会按照特殊字符来解析。

演示sql注入的安全问题:

//演示sql注入的安全问题
    public static void main(String [] args) throws Exception{
        Scanner scanner=new Scanner(System.in); //Scanner类有没有讲过。
        System.out.print("请输入账号:");
        String username = scanner.nextLine();
        System.out.print("请输入密码:");
        String password = scanner.nextLine(); //你输入的账号和密码 nextLine() 可以输入空格 回车任认为结束  next()输入空格后认为输入结束。
        boolean b = sqlSafe(username, password);
    }

    //根据name查询数据 abc  演示的根据账号和密码查询数据库表记录 如果能查询表示登录成功 否则登录失败
    private static boolean sqlSafe(String name,String password) throws Exception{
        Class.forName("com.mysql.cj.jdbc.Driver");
        Connection conn = DriverManager.getConnection
                ("jdbc:mysql://localhost:3306/mydb?serverTimezone=Asia/Shanghai", "root", "root");

        Statement statement = conn.createStatement();
        //这里的admin 是不是一个死数据  123456 也是一个死数据
        String sql="select * from t_user where username='"+name+"' and password='"+password+"'";
        System.out.println(sql);
        ResultSet rs = statement.executeQuery(sql);

        while (rs.next()){
            System.out.println("登录成功");
            return true;
        }

        System.out.println("登录失败");
        return false;

    }

可以发现: 你的账号可以随便输入 你的密码也可以随便输入 但是 在输入密码时 or '4'='4 只要这个条件成立,那么你就能登录成功。 这个就是sql注入的安全问题。只要根据条件做sql。那么就会出现sql注入安全问题。

如何解决sql安全注入问题:

1. 前端做校验: --只防君子 防不了小人。
2. 后端也做校验:--难道以后每次写功能都进行校验吗? 代码变得复杂了。
3. 执行sql的类Statement出现了问题,后期PreparedStatement该类来解决sql注入安全问题。

Statement和PreparedStatement区别?
  Statement会出现sql注入安全问题。Preparedstatement不会出现sql注入安全问题。
  Preparedstatement是Statement的子类。就是因为早期使用Statement发现该类出现问题,后期维护人员创建Statement的子类来解决这个问题。注意:维护人员不会再原类上做维护

1.5.使用PreparedStatement来解决sql注入的问题

因为Statement类导致了sql注入的危险!

如何解决:-----演变出一个Statement的子类----->PreparedStatement[重写相应的方法]

 //演示sql注入的安全问题
    public static void main(String [] args) throws Exception{
        Scanner scanner=new Scanner(System.in); //Scanner类有没有讲过。
        System.out.print("请输入账号:");
        String username = scanner.nextLine();
        System.out.print("请输入密码:");
        String password = scanner.nextLine(); //你输入的账号和密码 nextLine() 可以输入空格 回车任认为结束  next()输入空格后认为输入结束。
        boolean b = sqlSafe02(username, password);
    }

    private static boolean sqlSafe02(String name,String password) throws Exception{
        Class.forName("com.mysql.cj.jdbc.Driver");
        Connection conn = DriverManager.getConnection
                ("jdbc:mysql://localhost:3306/mydb?serverTimezone=Asia/Shanghai", "root", "root");

        //使用PrepareStatement 这里的? 是占位符。
        String sql="select * from t_user where username=? and password=?";
        PreparedStatement ps = conn.prepareStatement(sql);//预编译sql
        //为占位符赋值。根据占位符的类型使用不同的方法来赋值
        ps.setString(1,name); //1表示第一个占位符  name:表示第一个占位符的值
        ps.setString(2,password);

        //执行sql语句
        ResultSet rs = ps.executeQuery();
        while (rs.next()){
            System.out.println("登录成功");
            return true;
        }
        System.out.println("登录失败");
        return false;
    }

PreparedStatement和Statement这两个类在代码上的区别?

 以后都使用PreparedStatement这个类。

 表示没有为占位符赋值。

1.6.使用PreparedStatement完成增删改查

@Test   //增
    public void insert() throws Exception{
    //抛出异常只是为了操作方便。真正在开发时应该try--catch
        //加载驱动
        Class.forName("com.mysql.cj.jdbc.Driver");
        //获取连接对象
        Connection connection = DriverManager.getConnection
                ("jdbc:mysql://localhost:3306/myaa?serverTimezone=Asia/Shanghai","root","123456");
        //获取执行sql语句
        String sql = "insert into t_user values(null,'王','123456')";
        PreparedStatement ps = connection.prepareStatement(sql);//预编译
        int i = ps.executeUpdate();//返回受影响的行数
        System.out.println(i);
    }

@Test    //删
    public void testDelete() throws Exception {
        Class.forName("com.mysql.cj.jdbc.Driver");
        String url="jdbc:mysql://localhost:3306/mydb?serverTimezone=Asia/Shanghai";
        String user="root";
        String pwd="root";
        Connection connection = DriverManager.getConnection(url,user,pwd);
        String sql="delete from t_student where id=?";
        PreparedStatement ps = connection.prepareStatement(sql);
        //为占位符赋值.
        int id=5; //未来应该是传递过来的。
        ps.setObject(1,id); //数据库中如果是其他类型 也可以使用''
                                      //使用setObject
        //执行sql语句 executeUpdate方法
        ps.executeUpdate();

    }


 @Test   //改
    public void update() throws Exception{
        Class.forName("com.mysql.cj.jdbc.Driver");
        Connection connection = DriverManager.getConnection
                ("jdbc:mysql://localhost:3306/myaa?serverTimezone=Asia/Shanghai","root","123456");
        String sql = "update t_user set id=6,username='9568',password='147258' where id=?";
        PreparedStatement ps = connection.prepareStatement(sql);//预编译
        //为占位符赋值
        int id = 3;
        ps.setInt(1,id);
        //执行sql语句
        ps.executeUpdate();
    }


    @Test //查
    public void select() throws Exception{
        Class.forName("com.mysql.cj.jdbc.Driver");
        Connection connection = DriverManager.getConnection
                ("jdbc:mysql://localhost:3306/myaa?serverTimezone=Asia/Shanghai","root","123456");
        String sql = "select * from t_user where id=?";
        PreparedStatement ps = connection.prepareStatement(sql);//预编译
        //为占位符赋值
        int id = 2;
        ps.setInt(1,id);
        //执行sql语句 把数据库表中记录返回到ResultSet对象中
        ResultSet rs = ps.executeQuery();
        //取出ResultSet中的记录 rs.next()判断指针是否可以移动 如果可以返回true 否则返回false
        while(rs.next()){
            int id1 = rs.getInt("id");//移动指针并获取指定列的值
            String username = rs.getString("username");
            String password = rs.getString("password");
            System.out.println(id1+"\t"+username+"\t"+password);
        }
    }

码农终将翻身
关注
专栏目录
java使用jdbc实现对数据库增删改查
weixin_66990569的博客
10-30 3984
新的驱动程序类是“com.mysql.cj.jdbc.driver”。Connection是与特定数据库连接回话的接口,使用的时候需要导包,而且必须在程序结束的时候将其关闭。各种不同类型的数据库都有相应的实现 sun公司将jdbc接口的规定写好之后,不同的数据库厂家将接口进行实现。Class.forName是把这个类加载到JVM中,加载的时候,就会执行其中的静态初始化块,完成驱动的初始化的相关工作。虽然代码在main方法中运行后会关闭,但是在运用到实际的开发中是不会自动关闭的,所以需要进行资源的关闭。
Java JDBC 实现增删改查
weixin_44215175的博客
12-08 659
文章参考:https://www.cnblogs.com/qianguyihao/p/4054235.html. Java JDBC实现数据库增删改查 首先要清楚SQL增删改查的语句 增: insert into student(id,name,gender)values(?,?,?) 其中student 为数据表名,第一个括号里面的是数据表的各个属性,第二个括号的问号的占位符 /* *...
JDBCjava连接数据库并进行增删查改操作
最新发布
qq_63843408的博客
07-13 763
如图,可知JDBC的用途,至于在数据库java之间还要有驱动程序连接驱动是由数据库厂商提供的。
java 中的 jdbc 实现 增删改查 操作
景山编程-顺道编程
04-05 817
package com.js; import java.sql.*;// 导入 java.sql 包 public class Java_6_JDBC_CURD {// 创建类 static Connection con;// 声明 Connection 对象 static PreparedStatement sql;//声明 PreparedStatement 对象 sta
JAVA入门】JDBC实现数据库增删改查
qq_49047454的博客
11-09 445
首先构造一个实体类 其次实现相关增删改查
Java JDBC连接数据库实现增删改查
热门推荐
泡泡的博客
06-29 1万+
Java JDBC实现数据库增删改查前言文件结构在util包下新建DBUtil类在bean包下新建User类在dao包下新建UserDao类新建Test类解释一下bean包、dao包 前言 接着上一篇文章,增删改查的整合版本 文件结构 在util包下新建DBUtil类 将JDBC的基本步骤的1、2、7步放入DBUtil类中,代码中使用了try…catch,也可以直接idea自动生成抛出异常 package com.XuYijie.util; import java.sql.*; public clas
jdbc_day01.rar_JDBC增删改查_MySQL数据库连接增删改查操作
09-21
JDBC中,增删改查(CRUD)操作是核心功能。以下是每种操作的简要说明: - **创建(Create)**:使用INSERT语句向数据库添加新记录。例如,插入一个用户: ```java String sql = "INSERT INTO users (username, ...
JavaJDBC连接数据库实现增删改查(2018 使用Dao层实现)
09-25
JavaJDBC连接数据库实现增删改查(2018 使用Dao层实现) 实体类:User.java 接口类:IUserDao.java 实现接口类:UserDaoImpl.java 使用Junit4测试增删改查类:UserDaoTest.java
JavaJDBC连接数据库实现增删改查(2018 使用Dao层实现 完美封装解决硬编码问题)
09-25
JavaJDBC连接数据库实现增删改查(2018 使用Dao层实现 完美封装解决硬编码问题) 配置文件 db.properties(保存数据库账号和密码等) 工具类 JDBCUtil.java(抽取公共部分,解决硬编码问题) 用户账号实体类 User.java(私有化数据库t_user表中的id,username,password) 接口类 IUserDao.java(制定增删改查业务) 实现接口类 UserDaoImpl.java(实现增删改查功能) 测试类 UserDaoTest.java(做测试增删改查功能使用)
JavaJDBC编程实现对数据库表的增删改查操作
m0_67388084的博客
11-15 5477
在eclipse中创建Java项目,然后导入MySQL驱动jar包创建lib目录,用于存放当前项目需要的所有jar包选择jar包,右键执行build path / Add to Build Path。:用于执行静态的SQL语句,并返回一个结果对象。:Driver接口是所有JDBC驱动程序必须实现的接口,该接口专门提供给数据库厂商使用。1.定义Student类,该类与前面创建的数据库表student的表结构相对应。Statement的子接口,用于执行预编译的SQL语句。:Java程序和数据库的连接对象。
javaJDBC增删改查
weixin_45137910的博客
06-17 2282
学习java的第十六天JDBC增删改查JDBC的步骤:Statement和PreparedStatement在使用上的区别以及SQL注入攻击将SQL操作进行一个简单的封装,细分下面的包: JDBC增删改查 //实体类 //实体类 public class Product { //创建产品表:包含:ID,名称,类型,价格,描述 private int id;//ID private Str...
java第二课 jdbc 实现数据库增删改查
dvjskb的博客
06-28 436
java第二课 jdbc 实现数据库增删改查 自定义方法类 DBUtil package com.zr.util; import java.sql.*; public class DBUtil { public static Connection getConnection() throws ClassNotFoundException, SQLException { //1.加载驱动 Class.forName("com.mysql.jdbc.Driver")
Java通过JDBC进行简单的增删改查(以MySQL为例)
冷猫的博客
03-02 2339
写在前面:在用JDBC操作数据库时,需要有以下两点知识储备1、mysql安装配置和基础的sql语句   2、java基础知识JDBC介绍:Java 数据库连接,(Java Database Connectivity,简称JDBC)是Java语言中用来规范客户端程序如何来访问数据库的应用程序接口,提供了诸如查询和更新数据库中数据的方法。JDBC也是Sun Microsystems的商标。它JDBC是...
Java代码通过JDBC实现数据库增删改查(CRUD)操作
weixin_46515047的博客
02-11 468
小技巧 使用"+变量+",可使变量变成字符串 使用alt+shift+insert,可复制去掉星号的代码 主程序 不允许SQL注入(绝大多数情况) package com.bjpowernode; import java.sql.*; import java.util.ResourceBundle; /* 1. 资源绑定器的使用 2. PreparedStatement解决SQL注入 3. 事务机制的引入,开启、关闭、回滚 */ public class JDBCTest2 { publi
javaJDBC数据库增删改查
新白的博客
03-26 873
JDBC数据库的一些操作
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值