JDBC预处理对象&连接池&DBUtils

最新推荐文章于 2023-06-25 01:11:43 发布

an_zzzzz

最新推荐文章于 2023-06-25 01:11:43 发布

阅读量291

点赞数 1

CC 4.0 BY-SA版权

本文链接：https://blog.youkuaiyun.com/an_zzzzz/article/details/98672382

本文深入探讨SQL注入的危害及预防措施，介绍PreparedStatement如何有效避免SQL注入，提升数据库操作安全性。同时，详细讲解C3P0连接池的配置与使用，以及DBUtils工具包简化JDBC操作的技巧。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

PreparedStatement

1.1 SQL注入问题
SQL注入：用户输入的内容作为了SQL语句语法的一部分，改变了原有SQL真正的意义。假设有登录案例SQL语句如下:
此时，当用户输入正确的账号与密码后，查询到了信息则让用户登录。但是当用户输入的账号为XXX 密码为： XXX’ OR ‘a’=’a 时，
则真正执行的代码变为：
SELECT * FROM 用户表 WHERE NAME = ‘XXX’ AND PASSWORD =’ XXX’ OR ’a’=’a’;

此时，上述查询语句时永远可以查询出结果的。那么用户就直接登录成功了，显然我们不希望看到这样的结果，这便是SQL注入问题。为此，我们使用PreparedStatement来解决对应的问题。

1.2 API详解：预处理对象
preparedStatement：预编译对象，是Statement对象的子类。
特点：
1.性能高
2.会把sql语句先编译能过滤掉用户输入的关键字。
3.PreparedStatement预处理对象，处理的每条sql语句中所有的实际参数，都必须使用占位符?替换。
PreparedStatement使用，需要通过以下3步骤完成：
SELECT * FROM 用户表 WHERE NAME = 用户输入的用户名 AND PASSWORD = 用户输的密码;
SELECT * FROM 用户表 WHERE NAME = ‘XXX’ AND PASSWORD =’ XXX’ OR ’a’=’a’;
String sql = “select * from user where username = ? and password = ?”;

PreparedStatement预处理对象代码：
PreparedStatement psmt = conn.prepareStatement(sql)
设置实际参数
void setXxx(int index, Xxx xx) 将指定参数设置指定类型的值
参数1：index 实际参数序列号，从1开始。
参数2：xxx 实际参数值，xxx表示具体的类型。
例如： setString(2, “1234”) 把SQL语句中第2个位置的占位符?替换成实际参数 “1234”
执行SQL语句:
int executeUpdate(); --执行insert update delete语句.
ResultSet executeQuery(); --执行select语句.
boolean execute(); --执行select返回true 执行其他的语句返回false.

使用连接池

Java为数据库连接池提供了公共的接口：javax.sql.DataSource，各个厂商需要让自己的连接池实现这个接口。这样应用程序可以方便的切换不同厂商的连接池！
常见的连接池：C3P0、DRUID。

C3P0连接池
2.1 C3P0连接池工具类编写
C3P0开源免费的连接池！目前使用它的开源项目有：Spring、Hibernate等。使用C3P0连接池需要导入jar包， c3p0使用时还需要添加配置文件“c3p0-conﬁg.xml”
使用步骤

添加jar包
编写配置文件 c3p0-conﬁg.xml，放在src中（注：文件名一定不要写错）
编写工具类

编写配置文件 c3p0-conﬁg.xml

 <c3p0-config>   
 <!-- 使用默认的配置读取连接池对象 -->   
 <default-config>    
  <!--  连接参数 -->    
   	<property name="driverClass">com.mysql.jdbc.Driver</property>    
    <property name="jdbcUrl">jdbc:mysql://localhost:3306/day05</property>     
    <property name="user">root</property>    
    <property name="password">root</property>
 
     <!-- 连接池参数 -->     
     <property name="initialPoolSize">5</property>    
     <property name="maxPoolSize">10</property>     
     <property name="checkoutTimeout">2000</property>     
     <property name="maxIdleTime">1000</property>   
</default-config> 
</c3p0-config>

参数说明
initialPoolSize 初始连接数
maxPoolSize 最大连接数
checkoutTimeout 最大等待时间
maxIdleTime 最大空闲回收时间

初始连接数：刚创建好连接池的时候准备的连接数量
最大连接数：连接池中多可以放多少个连接
最大等待时间：连接池中没有连接时长等待时间
最大空闲回收时间：连接池中的空闲连接多久没有使用就会回收

C3P0UtilsXML.java

import com.mchange.v2.c3p0.ComboPooledDataSource;

import javax.sql.DataSource;
import java.beans.PropertyVetoException;
import java.sql.Connection;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;

/*
    C3P0连接池的工具类XML版本:使用C3P0连接池获取数据库连接对象Connection并返回

    连接池有一个规范接口
        javax.sql.DataSource接口
        定义了一个从连接池中获取连接的方法
        Connection getConnection() 尝试建立与此 DataSource 对象所表示的数据源的连接。
     C3P0实现了连接池的规范接口DataSource
        com.mchange.v2.c3p0.ComboPooledDataSource类 implements DataSource接口
        重写了getConnection方法
     使用步骤:
        1.在成员位置创建一个静态的ComboPooledDataSource对象
        2.把c3p0-config.xml复制到当前模块的src下;
            C3P0就会自动的解析xml,获取数据库连接信息给ComboPooledDataSource对象赋值
        3.定义一个静态方法,从ComboPooledDataSource对象中获取数据库连接对象Connection并返回
        4.定义一个释放资源的方法
 */
public class C3P0UtilsXML {
    //1.在成员位置创建一个静态的ComboPooledDataSource对象
    private static ComboPooledDataSource dataSource = new ComboPooledDataSource();

    //3.定义一个静态方法,从ComboPooledDataSource对象中获取数据库连接对象Connection并返回
    public static Connection getConnection(){
        try {
            return dataSource.getConnection();
        } catch (SQLException e) {
            /*
                获取数据库连接对失败,让程序停止下来
                把编译异常,转换为运行时异常
             */
            throw new RuntimeException("获取数据库连接对象失败"+e);
        }
    }

    //定义一个方法,返回连接池对象,给QueryRunner使用
    public static DataSource getDataSource(){
        return dataSource;
    }

    //4.定义一个释放资源的方法
    public static void close(ResultSet rs, Statement stat, Connection conn){
        if(rs!=null){
            try {
                rs.close();
            } catch (SQLException e) {
                e.printStackTrace();
            }
        }
        if(stat!=null){
            try {
                stat.close();
            } catch (SQLException e) {
                e.printStackTrace();
            }
        }
        if(conn!=null){
            try {
                conn.close();//把连接在归还给连接池
            } catch (SQLException e) {
                e.printStackTrace();
            }
        }
    }
}

DBUtils

如果只使用JDBC进行开发，我们会发现冗余代码过多，为了简化JDBC开发，本案例我们讲采用apache commons 组件一个成员：DBUtils。 DBUtils就是JDBC的简化开发工具包。需要项目导入commons-dbutils-1.6.jar才能够正常使用DBUtils工具。

概述
DBUtils是java编程中的数据库操作实用工具，小巧简单实用。DBUtils封装了对JDBC的操作，简化了JDBC操作，可以少写代码。
Dbutils三个核心功能介绍

QueryRunner中提供对sql语句操作的API.
ResultSetHandler接口，用于定义select操作后，怎样封装结果集.
DbUtils类，它就是一个工具类,定义了关闭资源与事务处理的方法

QueryRunner类使用
QueryRunner的构造方法:
QueryRunner() 空参数构造方法
调用update/query方法执行sql语句的时候,必须传递Connection对象

QueryRunner(DataSource ds) 带连接池的构造方法
调用update/query方法执行sql语句的时候,无需传递Connection对象
QueryRunner执行sql语句的时候,会自动的在连接池中获取连接使用
使用完毕,会自动的把连接归还给连接池

QueryRunner的成员方法:
1.用于执行增删改的update方法
int update(Connection conn, String sql, Object… params) 空参数构造方法使用
int update(String sql, Object… params) 带连接池的构造方法使用
参数:
Connection conn:数据库连接对象,可以使用C3P0连接池获取
String sql:sql语句,可以使用?占位符
Object… params:?占位符的实际参数
返回值:
int:影响数据库的有效行数
2.用于执行查询的query方法
T query(Connection conn, String sql, ResultSetHandler rsh, Object… params) 空参数构造方法使用
T query(String sql, ResultSetHandler rsh, Object… params) 带连接池的构造方法使用
参数:
Connection conn:数据库连接对象,可以使用C3P0连接池获取
String sql:sql语句,可以使用?占位符
Object… params:?占位符的实际参数
ResultSetHandler rsh:用来接收查询结果的一个结果集,我们可以传递ResultSetHandler接口的实现类
返回值:
T:
传递ResultSetHandler接口的实现类不同,QueryRunner处理查询结果的方式也不同,会返回不同的结果
传递那种结果集,就返回对应的处理结果
使用步骤:
1.创建QueryRunner对象
2.调用QueryRunner对象中的方法update|query执行sql语句,接收结果
3.处理结果

使用DbUtils工具包对数据库表数据进行查询_结果集使用BeanHandler
使用方式:
把查询的多行结果的第一行取出来,存储到一个javabean对象中返回
构造方法:
BeanHandler(Class type):传递javabean的class文件对象,传递Product.class
内部使用反射技术,根据传递class文件对象创建javabean对象
Object obj = clazz.newInstance();
使用反射技术,为对象的每个成员赋值
Method setNameMethod = clazz.getMethod(“setXXX”, String.class);
Object v2 = setNameMethod.invoke(obj, “小龙女”);
T query(String sql, ResultSetHandler rsh, Object… params) 带连接池的构造方法使用
返回值:
T: 传递哪个javabean的class文件对象,就返回哪个javabean对象(含有第一行值)
传递Product.class就返回Product对象
使用前提:
类中必须有空参数构造方法

DBUtils 小结
DBUtils工具作用：简化JDBC的操作
DBUtils常用类与方法
QueryRunner 用来执行SQL语句对象
update(Connection conn, String sql, Object… params) 插入表记录、更新表记录、删除表记录
query(Connection conn, String sql, ResultSetHandler handler, Object… params) 查询表记录

ResultSetHandler 处理结果集的对象
BeanHandler：将结果集中第一条记录封装到一个指定的javaBean中。
BeanListHandler：将结果集中每一条记录封装到指定的javaBean中，将这些javaBean在封装到List集合中
ScalarHandler：它是用于单数据。例如select count(*) from 表操作。
ColumnListHandler：将结果集中指定的列的字段值，封装到一个List集合中

BeanHandler: 把查询的多行结果的第一行取出来,存储到一个javabean对象中返回
BeanListHandler:查询所有，将每一条记录封装到一个JavaBean，然后将JavaBean添加到List中，后返回List
ScalarHandler : 用于处理聚合函数执行结果(一行一列)
ColumnListHandler ：查询指定一列数据