JDBC 大数据存储及其异常 批处理 SQL注入攻击

JDBC连接示例

package com.itheima.jdbc;

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;

public class JDBCDemo1 {
	public static void main(String[] args)  {
		Connection conn = null;
		Statement stat = null;
		ResultSet rs = null;
		try{
			//1.注册数据库驱动
			//--导致了数据库驱动在驱动管理器中被注册了两次，
			//--这行代码和具体的mysql Driver死死的绑定在了一起，当切换数据库时，不可避免的要来修改这行代码
			//DriverManager.registerDriver(new Driver());
			Class.forName("com.mysql.jdbc.Driver");
			//2.获取数据库连接
			//--此方法回去分析数据库的URL，分析出连接哪个数据库的URL后，找出之前注册对应的数据库驱动，连接数据库后返回一个连接对象
			//--jdbc:mysql://主机名:3306/数据库名
			//--jdbc:mysql:///day10
			conn =  DriverManager.getConnection("jdbc:mysql:///Day10?user=root&password=root");
			//3.获取传输器
			stat = conn.createStatement();
			//4.利用传输器发送sql到数据库执行，获取结果集对象
			rs = stat.executeQuery("select * from user");
			//5.遍历结果集
			while(rs.next()){
				String name = rs.getString("name");
				System.out.println(name);
			}
		}catch (Exception e) {
			e.printStackTrace();
		}finally{
			//6.释放资源
			if(rs != null){
				try {
					rs.close();
				} catch (SQLException e) {
					e.printStackTrace();
				} finally{
					rs = null;
				}
			}
			if(stat!=null){
				try {
					stat.close();
				} catch (SQLException e) {
					// TODO Auto-generated catch block
					e.printStackTrace();
				}finally{
					stat = null;
				}
			}
			if(conn != null){
				try {
					conn.close();
				} catch (SQLException e) {
					// TODO Auto-generated catch block
					e.printStackTrace();
				} finally{
					conn = null;
				}
			}
		}
	}
}

SQL注入攻击

注入攻击是利用原SQL语句是拼接式的语句，注入特定的代码，破坏源代码的规则，破坏原语句，使其验证失效

常用的方式

在用户名后面 '#   select * from userinfo where username='wxq' '# and password='wxq' 

'or' 1=1

防御方式

利用PrepareStatement 对语句进行预编译，再次传输数据过去。黑客无法得到源SQL语句或只能获取参数，无法对其进行攻击

大数据存储

存储大字符类型

			~插入大文本：
			ps = conn.prepareStatement("insert into Demo2Text values(null,?,?)");
			ps.setString(1, "钢铁是怎样练成");
			File file = new File("1.txt");
			ps.setCharacterStream(2, new FileReader(file), (int) file.length());
				
			~查询大文本：
				Reader rd = rs.getCharacterStream("content");

存储大二进制类型

~插入：
			ps = conn.prepareStatement("insert into Demo3Blob values(null,?,?)");
			ps.setString(1, "梦想的力量");
			File file = new File("1.mp3");
			ps.setBinaryStream(2, new FileInputStream(file), (int) file.length());
			
		~查询
			InputStream in = rs.getBinaryStream("content");

存储大数据容易发生的问题

//1.Exception in thread "main" java.lang.AbstractMethodError: com.mysql.jdbc.PreparedStatement.setCharacterStream(ILjava/io/Reader;J)V
//ps.setCharacterStream(2, new FileReader(file), file.length());第三个参数是long型的是从1.6才开始支持的，驱动里还没有开始支持。
//解决方案：ps.setCharacterStream(2, new FileReader(file), (int)file.length());

//2.Exception in thread "main" java.lang.OutOfMemoryError: Java heap space
//文件大小过大，导致PreparedStatement中数据多大占用内存，内存溢出
//-Xms256M-Xmx256M
//3.com.mysql.jdbc.PacketTooBigException: Packet for query is too large (10886466 > 1048576). You can change this value on the server by setting the max_allowed_packet' variable.
//数据库连接传输用的包不够大，传输大文本时报此错误
//在my.ini中配置max_allowed_packet=64M指定包的大小

批处理

Statement 执行无规律的SQL批处理语句

		String sql = "insert into userinfo values(null,'wwww','wwww','wwww','wwww')";
			Connection conn = JDBCDaoUtils.getConn();
			Statement state = conn.createStatement();
			state.addBatch(sql);
			state.executeBatch();

PerpareStatement 执行有规律的 SQL批处理语句

			PreparedStatement ps = conn.prepareStatement(sql);
			for (int i = 0; i < 10; i++) {
				ps.addBatch(sql);
			}
			ps.executeBatch();