JDBC学习笔记-下篇

最新推荐文章于 2024-07-22 23:04:39 发布
最新推荐文章于 2024-07-22 23:04:39 发布
阅读量157 收藏
点赞数
分类专栏: Java Web学习笔记 文章标签: mysql jdbc java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Hatty1920/article/details/109162073
版权
本文介绍JDBC中公用功能的封装方法,包括获取数据库连接和关闭资源等操作。探讨了查询操作的具体实现,并讨论了SQL注入问题及其解决方案。通过使用PreparedStatement替代Statement,提高了代码的可读性和安全性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

JDBC学习二

前言

这一篇主要是基于上一篇的基础应用的一个扩展内容的学习。

一、对于JDBC公用功能的封装

说明:增删改查的操作中,获取连接和关闭资源都是重复的,基于封装的思想,可以将这些操作封装在一个静态方法中,需要的时候再去调用方法。


//创建DBUtils类,并创建获取连接和关闭资源的方法
public class DBUtils {
    private static String driverClass;
    private static String url;
    private static String user;
    private static String password;

    static {
    	//用ResourceBundle来读取properties文件中的配置信息;使用静态代码块,给类进行初始化
        ResourceBundle rsb = ResourceBundle.getBundle("dbinfo");     //dbinfo是配置文件的名字
        driverClass=rsb.getString("driverClass");
        url=rsb.getString("url");
        user=rsb.getString("user");
        password=rsb.getString("password");
        try {
            Class.forName(driverClass);
        } catch (ClassNotFoundException e) {
            e.printStackTrace();
        }
    }

	//获取数据库连接,并把Connection对象返回
    public static Connection getConnection() throws Exception {
        return DriverManager.getConnection(url, user, password);
    }

	//关闭资源
    public static void closeAll(ResultSet res, Statement stmt, Connection conn){
        if(res!=null){
            try{
                res.close();
            }catch (Exception e){
                e.printStackTrace();
            }
            res=null;
        }
        if(stmt!=null){
            try{
                stmt.close();
            }catch (Exception e){
                e.printStackTrace();
            }
            stmt=null;
        }
        if(conn!=null){
            try{
                conn.close();
            }catch (Exception e){
                e.printStackTrace();
            }
            conn=null;
        }

    }
}

二、查询操作的方法

说明:在用户表中查询一个用户,并返回该用户的User对象(User对象的创建与使用在上一篇有说明)


//根据传入的用户名和密码查询出用户是否存在(模拟用户登录功能)
public User findUser(String name, String pwd){
        Connection conn=null;
        Statement stmt = null;
        ResultSet resultSet = null;
        User u=null;
        try {
            conn = DBUtils.getConnection();
            String sql = "select * from users where name='"+name+"' and accountid='"+pwd+"'";
            stmt = conn.createStatement();
            resultSet = stmt.executeQuery(sql);

            if(resultSet.next()){
                u = new User();
                u.setId(resultSet.getInt("id"));
                u.setName(resultSet.getString("name"));
                u.setAge(resultSet.getShort("age"));
                u.setStatus(resultSet.getInt("status"));
                u.setScore(resultSet.getShort("score"));
                u.setAccountid(resultSet.getString("accountid"));
                return u;
            }
        } catch (Exception e) {
            e.printStackTrace();
        }finally {
            DBUtils.closeAll(resultSet,stmt,conn);
        }
        return u;     //如果查询的user不存在就返回null
    }

三、SQL注入问题及解决方法

根据上面查询的sql语句,设想出一种情况,当用户传入pwd的参数时,输入的参数如下:
aaa’ or ‘1’='1
那么整个的sql语句就变成:select * from users where name=‘xxx’ and ‘aaa’ or ‘1’=‘1’;
此时这个查询条件会永远成功,那么无论输入的用户名和密码是否是数据库存在的数据,最后都能查询成功,从而登录成功

解决办法:把Statement替换成PreparedStatement对象来使用,PreparedStatement接收一个预编译的sql语句。代码如下:

public User findUser(String name, String pwd){
        Connection conn=null;
        PreparedStatement stmt = null;             //用PreparedStatement替换Statement
        ResultSet resultSet = null;
        User u=null;
        try {
            conn = DBUtils.getConnection();
            String sql = "select * from users where name=? and accountid=?";       //需要传入值的地方用?作为占位符
            stmt = conn.prepareStatement(sql);             //传入sql语句
            stmt.setString(1,name);                 //给sql语句中的?替换对应的值
            stmt.setString(2,pwd);
            resultSet = stmt.executeQuery();        //执行语句,此时就不用再传入sql语句了

            if(resultSet.next()){
                u = new User();
                u.setId(resultSet.getInt("id"));
                u.setName(resultSet.getString("name"));
                u.setAge(resultSet.getShort("age"));
                u.setStatus(resultSet.getInt("status"));
                u.setScore(resultSet.getShort("score"));
                u.setAccountid(resultSet.getString("accountid"));
                return u;
            }
        } catch (Exception e) {
            e.printStackTrace();
        }finally {
            DBUtils.closeAll(resultSet,stmt,conn);
        }
        return u;
    }

四、PreparedStatement的好处

1.代码可读性更高

这里对比一下sql语句的两种写法:

//这里需要把参数都替换成形参,可读性比较差
String sql = "select * from users where name='"+name+"' and accountid='"+pwd+"'";
//把参数都用?来作为占位符,清晰明了
String sql = "select * from users where name=? and accountid=?";
2.性能可以得到提高

因为PreparedStatement接收的是一个预编译的sql语句,而预编译的语句可能会重复调用,所以语句在被DB的编译器编译后的执行代码被缓存下来,那么下次调用时只要是相同的预编译语句就不需要编译,只要将参数直接传入编译过的语句执行代码中(相当于一个涵数)就会得到执行。这并不是说只有一个Connection中多次执行的预编译语句被缓存,而是对于整个DB中,只要预编译的语句语法和缓存中匹配。那么在任何时候就可以不需要再次编译而可以直接执行。
而statement的语句中,即使是相同一操作,而由于每次操作的数据不同所以使整个语句相匹配的机会极小,几乎不太可能匹配。

3.安全性

则是上一节上所说的sql注入的问题,这里不再重复赘述。

总结

这一篇主要是介绍了如何封装JDBC中重复使用的那些功能,SQL注入的问题以及解决方式,同时介绍了PreparedStatement这个对象以及它的有点,并且,在日后JDBC的使用中,建议用这个对象永久的替换Statement对象。JDBC的基础学习就到这里啦~

HttpServletRequest的常用方法
Hatty1920的博客
10-29 2981
文章目录前言一、获取请求消息行的方法二、获取请求消息头的方法三、获取表单数据的方法1. 几个简单的方法介绍下用法:2. 关于getParameterMap()的用法以及数据的封装总结 前言 本文主要介绍了HttpServletRequest中获取消息行、消息头、获取表单数据所用的方法、请求的转发,以及一些注意事项。 一、获取请求消息行的方法 这部分内容很简单直接上代码: @Override protected void doGet(HttpServletRequest req, HttpServletR
Servlet中session的使用
Hatty1920的博客
11-07 2862
文章目录前言一、Session的概念二、Session常用API三、getSession的内部原理四、Session小案例总结 前言 这一篇主要介绍了servlet中的session以及一个session的小案例。 一、Session的概念 Session是服务器端技术,利用这个技术,服务器在运行时可以为每一个用户的浏览器创建一个其独享的HttpSession对象,由于session为用户浏览器独享,所以用户在访问服务器的web资源时,可以把各自的数据放在各自的session中,当用户再去访问服务器中的
Java开发 - 尚硅谷JDBC学习笔记
codeLearnerEternally的博客
03-15 2071
JDBCJava连接数据库技术的统称JDBC是由两部分组成的:Java提供的jdbc规范(接口)各个数据库厂商实现的驱动jar包JDBC技术是一种典型的面向接口编程JDBC是的缩写,直译为Java数据库连接JDBCJava程序连接数据库的技术统称JDBCJava语言的规范(接口)和各个数据库厂商的实现驱动(jar包)组成性能提升级。官方表示MySQL 8.0 的速度要比 MySQL 5.7 快 2 倍。
JDBC学习笔记---带你快速复习和入门
weixin_44729515的博客
07-22 904
一文带你快速入门和复习!
JDBC学习笔记第四篇
Sakura_syh的博客
12-21 533
使用preparedstatement进行t_user表的curd动作
JDBC学习笔记第一篇
Sakura_syh的博客
12-20 442
JDBC MYSQL JAVA
JDBC学习笔记第五篇
Sakura_syh的博客
12-22 471
练习prepareStatement的特殊使用情况
JDBC学习笔记第七篇
Sakura_syh的博客
12-22 379
druid连接池
JDBC 学习笔记(一)基础篇 - JDBC 搭建的六大步骤
qq_43470538的博客
06-03 821
JDBCJava Database Connectivity(Java 数据库连接)JDBCJava 提供的一组独立于任何数据库管理系统的 APIJava 提供接口规范,由各个数据库厂商提供接口的实现,厂商提供的实现类封装成 jar 文件(数据库驱动 jar 包面向接口编程,程序员只关心标准和规范,无需关注实现过程。
Docker学习笔记-高级篇
mole_exp的博客
10-20 1431
Docker网络原理 理解docker0 IDEA整合Docker Docker Compose Docker Swarm(相当于简化版k8s) CI/CD Jenkins
尚硅谷JDBC学习笔记
李英俊小朋友
04-08 2557
尚硅谷JDBC学习笔记 文章目录尚硅谷JDBC学习笔记写在前面1. 通过Driver接口获取数据库连接2. 通过DriverManager获取数据库连接3. 通过Statement执行更新操作4. 通过ResultSet执行查询操作5. PreparedStatement6. 利用反射及JDBC元数据编写通用的查询7. DAO设计模式8. JDBC的元数据9. JDBC获取插入记录的主键值10. ...
黑马24年微服务课程MybatisPlus篇学习笔记---无图详细版
最新发布
m0_46521733的博客
07-22 1810
在演示UpdateWrapper的案例中,我们在代码中编写了更新的SQL语句(“balance = balance - 200”) ,这种写法在某些企业也是不允许的,因为SQL语句最好都维护在持久层,而不是业务层。就当前案例来说,由于条件是in语句,只能将SQL写在Mapper.xml文件,利用foreach来生成动态SQL。这实在是太麻烦了。假如查询条件更复杂,动态SQL的编写也会更加复杂。
JDBC学习笔记(精华版)-1
04-19
本篇JDBC学习笔记将深入探讨JDBC的核心概念、操作步骤以及最佳实践。 **一、JDBC基本概念** 1. **驱动程序**:JDBC驱动程序是Java应用程序与数据库之间的桥梁,分为四种类型:JDBC-ODBC桥接驱动、本地API驱动、...
JDBC笔记_JDBC学习笔记_
10-03
在本篇JDBC学习笔记中,我们将深入探讨JDBC的基础知识、核心概念以及实际应用。 一、JDBC基础 1. JDBC驱动程序:JDBC驱动是连接Java应用程序和数据库之间的桥梁。根据实现方式,JDBC驱动分为四种类型:类型1(JDBC...
JDBC学习笔记(笔记+包含详细注释的代码)
09-03
**JDBC学习笔记** Java Database Connectivity (JDBC) 是Java平台中用于与各种数据库进行交互的一组接口和类。它是Java SE的一部分,允许Java应用程序连接到数据库,执行SQL语句,处理结果集,并进行事务管理。这篇...
Servlet中Cookie的使用
Hatty1920的博客
11-03 2145
文章目录前言一、Cookie和Session的概念1. 会话管理2. 保存会话的两种技术二、Cookie的使用1. 常用API2. Cookie的清除以及设置路径注意事项3. Cookie的小案例:记住用户名总结欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,
Servlet学习笔记-下篇
Hatty1920的博客
10-24 198
文章目录前言一、获取servlet配置信息1. 使用初始化方法得到ServletConfig对象(此对象由服务器创建)2. 通过getServletConfig()得到config3. 直接调用getInitParameter()二、ServletContext的作用1. 作为域对象2. 获取全局配置信息3. 获取资源路径4. 实现servlet转发总结 前言 本篇文章记录了获取servlet配置信息以及ServletContext的作用。 一、获取servlet配置信息 1. 使用初始化方法得到Se.
Servlet学习笔记-上篇
Hatty1920的博客
10-23 177
文章目录前言一、IDEA社区版和Tomcat的集成(借助maven)二、Servlet基础1.Servlet的定义2. servlet生命周期3.Servlet的三种创建方式4.web.xml的配置2总结 前言 这一篇文章主要介绍了IDEA社区版和Tomcat的集成(利用maven),Servlet的介绍以及三种创建方式。 一、IDEA社区版和Tomcat的集成(借助maven) 1. 创建maven项目,模板选择如下图所示: 2. 创建完成后,在pom.xml中添加Tomcat插件: (这里的to.
JDBC学习笔记-上篇
Hatty1920的博客
10-16 171
JDBC学习一:前言一、注册驱动与加载驱动1. 注册驱动的方式如下:2. 加载驱动的方式如下:二、获取连接Connection1. 方式一:2. 方式二:3. 方式三:注意事项:三、得到执行sql语句的对象Statement四、执行sql语句,并返回结果1. 查询语句使用executeQuery()2. 增删改操作,使用executeUpdate()3. 执行任意sql语句的方法,execute()五、处理结果集(查询得到的ResultSet)1. getObject(int columnIndex)2.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值