JDBC(一):JDBC的基本使用和Statment的SQL注入问题

最新推荐文章于 2024-03-10 10:57:59 发布
最新推荐文章于 2024-03-10 10:57:59 发布
阅读量428 收藏 2
点赞数
分类专栏: 数据库 MySQL
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zmysn_a/article/details/84645042
版权

JDBC

文章目录

1. JDBC概述

1.1 什么是JDBC

使用Java这种语言去访问各种关系型数据库,如:MySQL,Oracle。Java DataBase Connectivity Java的数据库连接技术。

1. 2 好处

  1. 使用接口编程,不用考虑实现类,实现类由厂商实现。
  2. 代码不需要修改或者少量修改就能访问另一种数据库。
  3. 代码工作量少,学习一组接口就可以访问所有数据库。

1542941216981

2. JDBC使用

2.1 所用的包
会使用到的包说明
java.sql访问数据库的核心包,今天要学习的所有的接口都在这个包中
javax.sql访问数据库的扩展名,使用数据库的高级特性。如:连接池
数据库的驱动只需要导入即可,不需要对它进行任何的操作。
2.2 核心api
接口或类作用
DriverManager类1) 加载和注册驱动2) 创建连接对象
**Connection接口 **代表一个Java程序与数据库之间创建的一个连接对象
Statement接口代表一条要发送给服务器的SQL语句
ResultSet接口代表从服务器上返回的结果集

导包

在这里插入图片描述

在这里插入图片描述

2.3 使用步骤(以Mysql为例)
  1. 加载和注册驱动(可选)
Class.forName(数据库驱动实现类) 将驱动加载到内存

com.mysql.jdbc.Driver加载驱动的源代码

public class Driver extends NonRegisteringDriver implements java.sql.Driver {
    static { //类加载的时候执行
        try {
            DriverManager.registerDriver(new Driver());  //DriveManager类注册了驱动
        } catch (SQLException var1) {
            throw new RuntimeException("Can't register driver!");  //注册失败,不能注册驱动
        }
    }
}

从JDK1.5以后这个注册驱动就可以省略了

  1. 由DriverManager创建一个连接对象Connection
Connection conn = DriverManager.createConnection();
  1. 由Connection对象创建一个执行的语句对象Statement
Statement conn.createStatement();
  1. 由Statement语句对象发送SQL语句给服务器,由服务器执行SQL语句。
//执行查询语句,返回结果集
ResultSet executeQuery(sql); 
//执行DDL(数据库定义语言),返回布尔值
Boolean execute();
//执行增删改语句,返回影响的函数
int executeUpdate();
  1. 由服务器返回数据库的查询结果,封装成ResultSet结果集对象,返回给Java客户端。ResultSet方法如下
//移动到下一行,如果下一行为null则返回false:
Boolean next(); 
//XXX指的是数据类型
XXX rs.getXXX(int column); // 根据行号获取数据
XXX rs.getXXX(String name); // 根据名字获取数据
  1. 关闭资源
//关闭Result
Result的变量名.close();
//关闭Statement
Statement的变量名.close();
//关闭Connection
Connection的变量名.close();

案例:用JDBC操作数据库

package com.zmysna.test;

import com.zmysna.utils.JDBCUtils;

import java.sql.Connection;
import java.sql.SQLException;
import java.sql.Statement;

public class Test01 {
    private final static String DRIVER_NAME= "com.mysql.jdbc.Driver";
	private final static String URL = "jdbc:mysql://localhost:3306/day18";
    private final static String USER = "root";
    private final static String PASSWORD = "root";

    public static void main(String[] args){
        Connection connection = null;
        Statement statement = null;
        ResultSet rs = null;
        try {
            //注册驱动,JDK1.5之后可以省略
            //Class.forName(DRIVER_NAME);
            //连接数据库
            connection = DriverManager.getConnection(URL, USER, PASSWORD);
            statement = connection.createStatement();
            //执行DDL语句
           	String ddl = "create table student (id int primary key auto_increment, name varchar(20) not null unique, gender char(1))";
            statement.execute(ddl);
            //执行DML语句(增删改)
            String dml = "insert into student(name,gender) values('张三',‘男’)";
            statement.executeUpdate(dml)
       		//执行DQL查询语句
            String dql = "select * from student";
            rs = statement.executeQuery(dql);
            //遍历结果集
            while(rs.next()){
                String name = rs.getString("name");//获取名字
            }
        } catch (SQLException e) {
            e.printStackTrace();
        } finally {//关闭资源
            if(rs != null){
                try {
                    rs.close();
                } catch (SQLException e) {
                    e.printStackTrace();
                }
            }
            if(statement != null){
                try {
                    statement.close();
                } catch (SQLException e) {
                    e.printStackTrace();
                }
            }
            if(connection != null) {
                try {
                    connection.close();
                } catch (SQLException e) {
                    e.printStackTrace();
                }
            }
        }
    }
}

3. JDBC工具类

为了减少写代码的工作量,创建一个工具类用于创建数据库连接和关闭资源。

  1. 方法:

Connection getConntection(); //获得一个数据库连接

void close(Connection conn,Statement st, Result rs)//关闭资源

void close(Connection conn,Statement st) //关闭资源

  1. 代码如下
package com.zmysna.utils;

import java.sql.*;

public class JDBCUtils {
    private final static String DRIVER_NAME= "com.mysql.jdbc.Driver";
    private final static String URL = "jdbc:mysql://localhost:3306/day18";
    private final static String USER = "root";
    private final static String PASSWORD = "awsed2zx";

    static {
        try {
            Class.forName(DRIVER_NAME);
        } catch (ClassNotFoundException e) {
            e.printStackTrace();
        }
    }

    /**
     * 获得连接
     * @return
     * @throws SQLException
     */
    public static Connection getConnection() throws SQLException {
        return DriverManager.getConnection(URL, USER, PASSWORD);
    }

    /**
     * 关闭Connection和Statement
     * @param connection
     * @param statement
     */
    public static void close(Connection connection, Statement statement) {
        close(connection, statement, null);
    }

    /**
     * 关闭Connection、Statement以及ResultSet
     * @param connection
     * @param statement
     * @param rs
     */
    public static void close(Connection connection, Statement statement, ResultSet rs){
        if(connection != null) {
            try {
                connection.close();
            } catch (SQLException e) {
                e.printStackTrace();
            }
        }
        if(statement != null){
            try {
                statement.close();
            } catch (SQLException e) {
                e.printStackTrace();
            }
        }
        if(rs != null){
            try {
                rs.close();
            } catch (SQLException e) {
                e.printStackTrace();
            }
        }
    }
}

4. SQL注入问题以及解决办法

4.1 登录案例
package com.zmysna.test;

import com.zmysna.utils.JDBCUtils;

import java.sql.Connection;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;
import java.util.Scanner;

public class Test02 {
    private static Connection connection = null;
    private static Statement statement = null;
    private static ResultSet rs = null;

    public static void main(String[] args) {
        Scanner scanner = new Scanner(System.in);
        String name = scanner.nextLine();
        String pwd = scanner.nextLine();
        try {
            connection = JDBCUtils.getConnection();
            statement = connection.createStatement();
            prepareData(); //准备数据
            login(name,pwd); //登录
        } catch (SQLException e) {
            e.printStackTrace();
        } finally {
            JDBCUtils.close(connection, statement, rs);

        }
        scanner.close();
    }

    /**
     * 用户登录功能(不能防止SQL注入)
     * @param name
     * @param pwd
     * @throws SQLException
     */
    private static void login(String name, String pwd) throws SQLException {
        String sql = "SELECT * FROM user WHERE `name` = '" + name + "' AND password = '" + pwd + "'";
        rs = statement.executeQuery(sql);
        if (rs.next()) {
            System.out.println("登录成功,"+name);
        }else{
            System.out.println("登录失败");
        }
    }

    /**
     * 准备数据
     * @throws SQLException
     */
    private static void prepareData() throws SQLException {
//       statement.execute("create table user(id int auto_increment primary key, name varchar(50), password varchar(50))");
//       System.out.println("成功创建用户表");
        int i = statement.executeUpdate("insert into user values(1,'admin',123)");
        System.out.println("成功插入" + i + "条记录");
    }
}

由于字符串的拼接问题,输入a'or'1'='1也能登录成功

4.2 Prep在这里插入图片描述aredStatement解决SQL注入

PreparedStatement是一个语句对象,它是Statement接口的子接口。功能比Statement语句对象功能更加强大。

a. PreparedStatement原理

在这里插入图片描述

b. 好处

  1. 有预编译的功能,在创建这个对象的时候就提供了SQL语句,预先编译好了。执行效率更高一些。

  2. 使用Statement有SQL注入的安全隐患,而使用子接口没有这个问题。安全性更高。

  3. 代码的可读性更好。

c. 主要方法
PreparedStatement中的方法方法说明
PreparedStatement prepareStatement(String sql)通过指定SQL语句创建预编译的语句对象,SQL语句中可能有占位符?
int executeUpdate()执行DML语句,返回影响的行数
ResultSet executeQuery()执行查询语句,返回一个结果集
void set 数据类型(int 参数1,参数2)用真实值替换占位符?
参数1:占位符的索引,从1开始
参数2:用于替换占位符的真实值

练习

package com.zmysna.jdbc;

import org.junit.Test;

import java.sql.*;

/**
 * 使用PreparedStatement
 */
public class Demo1Prepared {

    @Test
    public void testInsert() throws SQLException {
        //得到连接对象
        Connection connection = DriverManager.getConnection("jdbc:mysql:///day19", "root", "root");
        //编写SQL语句,未知内容使用占位符
        String sql = "insert into student values(null,?,?,?)";
        //获得PreparedStatement对象
        PreparedStatement ps = connection.prepareStatement(sql);
        //设置实际参数,替换占位符
        ps.setString(1,"孙悟空");
        ps.setBoolean(2,true);
        ps.setDate(3, Date.valueOf("2000-11-11"));  //将字符串转成日期类型
        //执行参数化SQL语句
        int i = ps.executeUpdate();
        System.out.println(i);
        //关闭资源
        ps.close();
        connection.close();
    }


    //将id为2的用户,姓名更新为"嫦娥",性别换成女
    @Test
    public void testUpdate() throws SQLException {
        //得到连接对象
        Connection connection = DriverManager.getConnection("jdbc:mysql:///day19", "root", "root");
        //编写SQL语句,未知内容使用占位符
        String sql = "update student set name=?, gender=? where id=?";
        //获得PreparedStatement对象
        PreparedStatement ps = connection.prepareStatement(sql);
        //设置实际参数,替换占位符
        ps.setString(1,"嫦娥");
        ps.setBoolean(2,false);
        ps.setInt(3,2);
        //执行参数化SQL语句
        int i = ps.executeUpdate();
        System.out.println(i);
        //关闭资源
        ps.close();
        connection.close();
    }

    //将id为4的学员删除
    @Test
    public void testDelete() throws SQLException {
        //得到连接对象
        Connection connection = DriverManager.getConnection("jdbc:mysql:///day19", "root", "root");
        //编写SQL语句,未知内容使用占位符
        String sql = "delete from student where id=?";
        //获得PreparedStatement对象
        PreparedStatement ps = connection.prepareStatement(sql);
        //设置实际参数,替换占位符
        ps.setInt(1,4);
        //执行参数化SQL语句
        int i = ps.executeUpdate();
        System.out.println(i);
        //关闭资源
        ps.close();
        connection.close();
    }
}
d. 改写登录案例
package com.zmysna.jdbc;

import com.itheima.utils.JdbcUtils;

import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.util.Scanner;

/**
 * 改写登录程序
 */
public class Demo2Login {

    public static void main(String[] args) throws SQLException {
        //得到用户名和密码
        Scanner scanner = new Scanner(System.in);
        System.out.println("请输入用户名:");
        String name = scanner.nextLine();
        System.out.println("请输入密码:");
        String pwd = scanner.nextLine();
        //创建连接对象
        Connection conn = JdbcUtils.getConnection();

        //创建预编译语句对象,用户名和密码使用占位符
        PreparedStatement ps = conn.prepareStatement("select * from user where name=? and password=?");

        //替换占位符
        ps.setString(1,name);
        ps.setString(2,pwd);

        //执行查询操作
        ResultSet rs = ps.executeQuery();

        //如果结果集有记录表示登录成功
        if (rs.next()) {
            System.out.println("欢迎您,登录成功" + name);
        }
        else {
            //否则登录失败
            System.out.println("登录失败");
        }

        //关闭连接
        JdbcUtils.close(conn,ps,rs);
    }

}
_zmynsa
关注
专栏目录
【JAVA高级】——吃透JDBC中的SQL注入问题和解决方案
不迁怒,不贰过。小知识,大智慧。
10-26 1万+
吃透JDBC中的SQL注入问题和解决方案
03. jdbc Statement sql注入风险
Java 程序源
08-27 478
1. Statement 用法 Statement 用法比较简单, 不需要设置参数. 创建了Statment对象之后, 直接执行sql即可. 执行步骤可总结如下: 获取数据库连接 创建Statment对象 执行sql 增删改: 执行executeUpdate(sql)方法, 返回sql影响的行数 查询: 执行executeQuery(sql)方法, 返回查询结果ResultSet, 然后解析结...
使用JDBC,以及执行SQL语句
SunStaday的博客
04-20 1838
文章目录一.通过Java代码如何操作Mysql二.使用JDBC的步骤:<1>导入jdbc的Mysql实现依赖<2>参数配置<3>加载驱动<4>建立连接<5>创建操作数据库对象<6>使用statement /PreparedStatement对象,执行sql语句(1)使用statement对象,执行sql语句(2)使用Prepa...
dljd_008_jdbc中调用Statement的execute()执行DQL,DDL,DML
dianmo9374的博客
12-05 384
一、statement.execute()方法既能执行DQL也能执行DDL和DML、如何判断执行的是那种类型的语句、然后做相应的处理呢?   判断的伪代码如下: if(statement.execute()){//如果为true、则执行的是DQL语句 //循环遍历结果 }else{ //否则执行的是DML和DDL //some code ...
JDBC连接数据库
qq_41258886的博客
07-11 142
一.原理 JDBC是一种用于执行SQL语句的Java API,可为多种关系数据库提供统一访问,是由一组用Java语言编写的类和接口组成。 二.连接步骤(以mysql8为例) 1.导入数据库驱动包,需与自己的数据库匹配 2.加载数据库驱动程序 Class.forName("com.mysql.cj.jdbc.Driver"); 3.创建连接对象,通过getConnection方法,写入数据库的u...
Druid连接池的监控stat造成内存泄漏
lypeng13的专栏
12-13 2582
1. 起因 线上某台机器报警(堆内存使用率高),登录服务器将堆dump下来,进行分析: 发现:JdbcDataSourceStat中的sqlStatMap比较消耗内存。 因为就是Druid开启stat监控,所以sql信息就会存储到该Map中,占用内存,造成内存泄漏。 stat监控sql信息页面:可以看到会持有sql信息。 当然也有人在github的Druid的Issues上提出了这个问题。每个sql语句都会长期持有引用,加快FullGC频率。 2. 实际分析 sql信息..
JDBC的详解
weixin_57763462的博客
12-04 1136
JDBC(Java Database Connectivity),即Java数据库连接,是一种用于执行SQL语句的Java API,可以为多种关系数据库提供同一访问,它由一组用Java语言编写的类和接口组成。JDBC提供了一种基准,根据这种基准可以构建更高级的工具和接口,使数据库开发人员能够编写数据库应用程序。总而言之,JDBC做了三件事: 1、与数据库建立连接2、发送操作数据库的语句3、处理结果 JDBC简单示例下面的代码演示了如何利用JDBC从数据库中查询若干条符合要求的数据出来,使用的数据库是MySq
回头探索JDBC及PreparedStatement防SQL注入原理
记录生活的点滴
12-02 280
概述 JDBC在我们学习J2EE的时候已经接触到了,但是仅是照搬步骤书写,其中的PreparedStatement防sql注入原理也是一知半解,然后就想回头查资料及敲测试代码探索一下。再有就是我们在项目中有一些配置项是有时候要变动的,比如数据库的数据源,为了在修改配置时不改动编译的代码,我们把要变动的属性提取到一个配置文件中,比如properties,因为properties里面都是键值对的形式...
修真院-学习-JDBC-使用java.sql连接数据库遇到的若干问题
qq_42009603的博客
08-08 3282
今天做的事 1 .学习了JDBC编程 DriverManger 是用于管理JDBC驱动的服务类 //该方法获得url对应的数据库连接 public static synchronized Connection getConnection(String url, String user, String pass) throws SQLException Connection 代表数据...
Java JDBC技术:(五)通过 Statement 对象查询数据与实现逻辑分页
地球村
05-15 635
通过 Statement 对象查询数据与实现逻辑分页1.通过 Statement 对象查询数据2.ResultSet 讲解3.通过 ResultSet 实现逻辑分页 1.通过 Statement 对象查询数据 import java.sql.*; public class Text{ public static void main(String[] args) throws SQLException, ClassNotFoundException { Text t=new Text
数据库连接池剖析3-3(Druid原理分析)
最新发布
hefaji的博客
03-10 2268
1.Druid连接池是阿里巴巴开源的数据库连接池项目。Druid连接池为监控而生,内置强大的监控功能,监控特性不影响性能。功能强大,能防SQL注入,内置Loging能诊断Hack应用行为。2.Druid连接池是[阿里巴巴内部唯一使用的连接池],在内部数据库相关中间件TDDL/DRDS 都内置使用强依赖了Druid连接池,经过阿里内部数千上万的系统大规模验证,[经过历年双十一超大规模并发验证]。
线上FullGC频繁排查-druid
热门推荐
Rocky的博客
04-11 4万+
线上FullGC频繁的排查问题
druid监控流程源码分析
hgswsdn的博客
05-06 1227
druid号称为监控而生的数据库连接池。 详情请介绍参考官方链接:(https://github.com/alibaba/druid/wiki/Druid%E8%BF%9E%E6%8E%A5%E6%B1%A0%E4%BB%8B%E7%BB%8D) 本次文章只做监控流程的源码分析。初始化等流程一笔带过,不做详解。首先druid初始化会创建一个DruidDataSource数据源对象。以一次查询为例。当我们请求接口查询用户信息时,会执行DruidDataSource 的getConnection()方法。该方法
JdbcDataSourceStat、MybatisSQL拼接引起老年代内存不断增加
Resee_Z的博客
06-02 2293
原文地址:惨遭DruidDataSource和Mybatis暗算,导致OOM 先遭DruidDataSource袭击 事发 一个平凡的工作日,我像往常一样完成产品提出的需求的业务代码,突然收到了监控平台发出的告警信息。本以为又是一些业务上的bug导致的报错,一看报错发现日志写着java.lang.OutOfMemoryError: Java heap space。 接着我远程到那台服务器上,但是卡的不行。于是我就用top命令查了一下cpu信息,占用都快要到99%了。再看看GC的日志发现程序一直在Full G
线上FullGC问题排查
疯一样的女子
06-11 1702
问题 前段时间发现线上的一个dubbo服务Full GC比较频繁,大约每两天就会执行一次Full GC。 Full GC的原因 我们知道Full GC的触发条件大致情况有以下几种情况: 程序执行了System.gc() //建议jvm执行fullgc,并不一定会执行 执行了jmap -histo:live pid命令 //这个会立即触发fullgc 在执行minor gc的时候进行的一系列检查 执行Minor GC的时候,JVM会检查老年代中最大连续可用空间是否大于了当前新生代所有对象的总大小。 如果大
JDBC要点总结、SQL注入示例(Statement和PreparedStatement)
厚积而薄发,谋定而后动
03-23 8100
一、三个重要对象:    a.Connection   代表着Java程序与数据库建立的连接。    b.Statement   代表SQL发送器,用于发送和执行SQL语句。    c.ResultSet   代表封装的数据库返回的结果集,用于获取查询结果。 二、编程步骤:          1、加载驱动(需要事先将驱动程序对应的jar文件放到classpath对应的
用prepareStatement(String sql, String[] columnNames)获取自动生成的id
lyq18235187358的博客
01-22 3837
/**   * 先增加一个部门,再给此部门增加一个员工.   * 要点:增加部门后如何获得生成的部门ID.   */  @Test  public void test2(){   //假设页面传入的部门数据是   String dname="软件部";   String loc="北京";   //假设传入的员工数据是   String ename="八戒";   Strin
JDBC执行SQL语句(statement对象)
ZJLOVE的博客
09-11 1万+
※ 执行SQL语句(java中默认执行commit) 1.execute() 返回的结果boolean,boolean表示是否有结果集返回(除select外为false),有为true,其他情况都为false 2.executeUpdate() 返回的结果int,int表是对数据库影响的行计数 3.executeQuery() 返回的结果resultSet,一般情况存放的是s...
sql statment 打印sql
07-28
回答: 在JDBC中,可以通过调用PreparedStatement对象的toString()方法来打印SQL语句。例如,在执行executeQuery方法之前,可以使用ptmt.toString()来打印带有参数的SQL语句。另外,还可以使用(...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值