【JavaEE学习笔记】JDBC_01_Java链接数据库,封装数据,sql注入

最新推荐文章于 2021-11-07 16:51:10 发布
原创 最新推荐文章于 2021-11-07 16:51:10 发布 · 674 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#数据库 #jdbc #sql注入 #数据封装 #JavaBean

JDBC_01

A.Java链接数据库(快速入门)

1.概述

Java DateBase Connective——Java链接数据库

使用Java代码操作数据库

JDBC其实就是一套操作数据库的规范(接口)

数据库厂商写的一套实现类,叫做数据库驱动


2.快速入门

在此主要将如何链接到数据库,后面再讲细节问题

a.导入驱动jar包

在工程目录下创建一个lib文件夹,将数据库驱动复制到文件夹下

右键该目录,选择Build Path——Add Builder Path

出现下图


b.注册驱动

使用反射机制 Class.forname("Driver的全路径名称");

加载该类时,就会自动完成注册,会执行静态代码块

	static {
		try {
			java.sql.DriverManager.registerDriver(new Driver());
		} catch (SQLException E) {
			throw new RuntimeException("Can't register driver!");
		}
	}

如果jar包是5.1以上的 加载驱动也可以省略不写(有配置文件可以自动加载)




c.创建连接对象 Connection

url连接地址:主协议:子协议://ip:端口号//数据库名

当连接本机数据库,ip可以写localhost或127.0.0.1,jar包版本高于5.1.1,ip,端口可省略

DriverManager 获取连接对象

d.定义sql

e.获取执行sql的对象 Statement

f.执行sql

excuteQuery(sql):执行DQL语句

excuteUpdate(sql):执行DML语句

g.处理结果

h.释放资源

代码如下:

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.Statement;

public class JDBCDemo01 {
	public static void main(String[] args) throws Exception {
		// 1.导入驱动jar包
		// 2.注册加载驱动
		// 如果jar包是5.1以上的 加载驱动也可以省略不写
		Class.forName("com.mysql.jdbc.Driver");
		
		// 3.获取连接对象
		// DriverManager.getConnection(url,user,password)
		Connection conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/mydb_01", "root", "root");
		
		// 4.定义sql语句
		String sql = "insert into user values(106,'helloJDBC')";
		
		// 5.获取操作对象
		// Statement 用于执行静态sql语句,并返回它所生成结果的对象
		Statement statement = conn.createStatement();
		
		// 6.执行sql语句
		int i = statement.executeUpdate(sql);// 返回的是影响数据库的行数
		
		if (i != 0) {
			System.out.println("添加成功!");
		} else {
			System.out.println("添加失败!");
		}
		
		// 7.释放资源
		statement.close();
		conn.close();
	}
}



B.封装数据

1.查询数据

executeQuery(sql):执行DQL语句

executeUpdate(sql):执行DML语句

execute(sql):执行任意sql语句

ResultSet:结果集对象,用来封装查询出来的结果

ResultSet.getInt(); ResultSet.getString(); 根据列的数据类型选择

可传递表的列名或编号(从1开始),一般传递列名

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.ResultSet;
import java.sql.Statement;

public class JDBCDemo02 {
	public static void main(String[] args) throws Exception {
		// 加载驱动
		Class.forName("com.mysql.jdbc.Driver");
		
		// 获取连接对象
		Connection conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/mydb_01", "root", "root");
		
		// 获取操作对象
		Statement statement = conn.createStatement();
		
		// 定义sql语句
		String sql = "select * from user";
		
		// 执行语句
		ResultSet resultSet = statement.executeQuery(sql);
		
		// 获取每一条数据
		while (resultSet.next()) {	// 让指针下移
			// 1)通过编号取数据,编号为列,从1开始
			// int id = resultSet.getInt(1);
			// String username = resultSet.getString(2);
			
			// 2)通过列名拿数据 常用
			int id = resultSet.getInt("id");
			String username = resultSet.getString("username");
			System.out.println(id + "---" + username);
		}
		
		// 释放资源
		resultSet.close();
		statement.close();
		conn.close();
	}

2.封装数据

我们从数据库中取数据,是想使用这些数据,而不是单纯的查看

所以,先封装到对象,再将对象放入集合中去

建立bean包存放JavaBean


创建对象存储数据(规则在代码中注释)

import java.io.Serializable;

public class User implements Serializable {

	/**
	 * JavaBean是一种规范要求
	 * 	1.所有成员变量必须私有
	 * 	2.必须提供无参构造
	 * 	3.必须提供get/set方法
	 * 	4.最好事先Serializable接口
	 * JavaBean作用:封装数据
	 */
	
	// 为了给对象打个标记,保证对象在传递的时候是同一个对象
	private static final long serialVersionUID = 1L;

	private int id;;
	private String username;

	public User() {
		super();
	}

	public User(int id, String username) {
		super();
		this.id = id;
		this.username = username;
	}

	public int getId() {
		return id;
	}

	public void setId(int id) {
		this.id = id;
	}

	public String getUsername() {
		return username;
	}

	public void setUsername(String username) {
		this.username = username;
	}

	@Override
	public String toString() {
		return "User [id=" + id + ", username=" + username + "]";
	}

}
改进后的查询数据代码 

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.ResultSet;
import java.sql.Statement;
import java.util.ArrayList;

import org.xxx.bean.User;

public class JDBCDemo02 {
	public static void main(String[] args) throws Exception {
		// 加载驱动
		Class.forName("com.mysql.jdbc.Driver");
		
		// 获取连接对象
		Connection conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/mydb_01", "root", "root");
		
		// 获取操作对象
		Statement statement = conn.createStatement();
		
		// 定义sql语句
		String sql = "select * from user";
		
		// 执行语句
		ResultSet resultSet = statement.executeQuery(sql);
		
		// 创建User对象
		User user = null;
		
		// 创建集合存储对象
		ArrayList<User> list = new ArrayList<>();
		
		// 获取每一条数据
		while (resultSet.next()) {	// 让指针下移
			// 通过列名拿数据 常用
			int id = resultSet.getInt("id");
			String username = resultSet.getString("username");
			
			// 把数据封装到对象里
			user = new User(id, username);
			
			// 把对象存储到集合里
			list.add(user);
		}
		
		// 遍历集合
		for (User u : list) {
			System.out.println(u);
		}
		
		// 释放资源
		resultSet.close();
		statement.close();
		conn.close();
	}
}

C.sql注入

1.模拟用户登录

先在数据库中创建一个用户名单

CREATE TABLE logic(
	username VARCHAR(50),
	PASSWORD VARCHAR(20)
);

INSERT INTO logic VALUES('张三','123456');
登陆程序 

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.ResultSet;
import java.sql.Statement;
import java.util.Scanner;

public class JDBCLogic {
	public static void main(String[] args) throws Exception {
		// 创建键盘录入对象
		Scanner sc = new Scanner(System.in);
		
		System.out.println("请输入用户名:");
		String username = sc.next();
		System.out.println("请输入密码:");
		String password = sc.next();
		
		// 使用JDBC
		Class.forName("com.mysql.jdbc.Driver");
		
		// 获取连接对象
		Connection conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/mydb_01", "root", "root");
		
		// 获取操作对象
		Statement statement = conn.createStatement();
		
		// 定义sql,拼接字符串
		String sql = "select * from logic where username='" + username + "' and password='" + password + "'";
		
		// 执行sql语句
		ResultSet resultSet = statement.executeQuery(sql);
		
		// 判断
		if (resultSet.next()) {
			System.out.println("登陆成功!");
		} else {
			System.out.println("登录失败!");
		}
		
		// 释放资源
		resultSet.close();
		statement.close();
		conn.close();
	}
}

2.sql注入

当在数据库查询或者在登陆程序里,输入用户名和密码都为1' or '1'='1,使拼接的sql成为下面语句时

SELECT * FROM logic WHERE username = '1' OR '1' = '1' AND PASSWORD = '1' OR '1' = '1';
发现也可以正常查询数据或者登陆成功,这种现象就叫做sql注入

一般黑客可以利用特殊字符串的拼接,绕过数据库的校验

怎么预防呢?

3.预防sql注入

引入预编译操作对象代替获取操作对象

预编译操作对象:Connection prepareStatment(sql)

该方法可以避免使用字符串的拼接,提高代码的安全性

a.定义sql使用通配符?避免字符串拼接

b.使用setString(通配符位置(从1开始), 值)给通配符赋值

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.util.Scanner;

public class JDBCLogic {
	public static void main(String[] args) throws Exception {
		// 创建键盘录入对象
		Scanner sc = new Scanner(System.in);
		
		System.out.println("请输入用户名:");
		String username = sc.next();
		System.out.println("请输入密码:");
		String password = sc.next();
		
		// 使用JDBC
		Class.forName("com.mysql.jdbc.Driver");
		
		// 获取连接对象
		Connection conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/mydb_01", "root", "root");
		
		// 定义sql 使用通配符?代替数据
		String sql = "select * from logic where username=? and password = ?";
		
		// 获取预编译操作对象
		PreparedStatement statement = conn.prepareStatement(sql);
		
		// 给通配符?赋值,参数1为?的位置,从1开始,参数2为值
		statement.setString(1, username);
		statement.setString(2, password);
		
		// 执行sql语句
		ResultSet resultSet = statement.executeQuery();
		
		// 判断
		if (resultSet.next()) {
			System.out.println("登陆成功!");
		} else {
			System.out.println("登录失败!");
		}
		
		// 释放资源
		resultSet.close();
		statement.close();
		conn.close();
	}
}
这样,就解决了sql注入问题,可以再次验证


Java DataBase Connectivity(JDBC)& Java数据库连接&笔记总结
JontyLi的博客
11-25 468
Java DataBase Connectivity(JDBC)& Java数据库连接&笔记总结1.JDBC简介2.JDBC发展历史3.使用步骤*4.JDBC中常用的类型与方法4.1.数据库连接基础操作5.工厂方法设计模式 ( 静态工厂方法模式 )5.1.简单工厂设计模式6.DAO6.1.工厂与DAO结合案例7.SQL注入问题 *7.1.解决sql注入问题 *7.2.PreparedStatement 预编译的SQL执行环境7.3.PreparedStatement与Statement谁的性
JavaEE学习笔记】Hibernate_05_数据类型转换和大对象处理,QBC(junit),DAO接口
love__nana
01-19 728
Hibernate_05 A.数据类型转换和大对象处理 1.数据类型转换 Hibernate提供了UserType等接口,允许用户自定义数据类型 但是一般开发中不建议自定义类型 2.类型转换图 3.变量关系表 类型 Java mysql 长度 integer/int java.lang.Integer i
sql-injection-demo:这是使用Java EE和Oracle数据库进行SQL注入的演示
05-04
sql-injection-demo 这是一个使用Java EE和Oracle数据库进行SQL注入的演示。 如果要重新创建数据库,则/database/emp.csv中有数据
28.javaEE-JDBC/sql注入/数据库连接池(c3p0/druid)
weixin_45449911的博客
02-27 459
JDBC JDBC( Java DataBase Connectivity ) 翻译过来就是Java数据库连接,其实就是通过Java语言操作数据库的一门技术。 一.JDBC连接步骤 连接步骤: 1.注册相关数据库的驱动,也就是将相关数据库厂商实现的Driver加载到JVM中; 2.获取数据库连接对象,Connection; 3.获取传输器对象Statement; 4.编写/得到sql语句,执行s...
javaEE jdbc获取数据1(封装到对象中)
04-25 889
1、jdbc获取数据 package aTest; import java.sql.Connection; import java.sql.DriverManager; import java.sql.ResultSet; import java.sql.ResultSetMetaData; import java.sql.Statement; import java.util.ArrayLi
sql注入原理【java
Judy-命中注定与众不同
05-20 688
String sql=”select * from judy88 where ” + “pname=’” + username + “’ and password=’” + password + “’”; 如果是加号必须用”“号 进行括起来。 解决注入问题。分为3个方法 1过滤用户输入的数据中是否包含非法字符 2分步校验,先使用用户名查询如果有次用户名然后再使用密码检验 3使用pre...
JDBC 学习笔记(十)—— 使用 JDBC 搭建一个简易的 ORM 框架
weixin_30549175的博客
06-26 305
1. 数据映射 当我们获取到 ResultSet 之后,显然这个不是我们想要的数据结构。 数据库中的每一个表,在 Java 代码中,一定会有一个类与之对应,例如: package com.gerrard.entity; import com.gerrard.annotation.ColumnAnnotation; import lombok.AllArgsConstru...
全面解析圣思园java课程:javaSE与javaee学习笔记
北京圣思园java课堂笔记不仅涵盖了JavaSE和JavaEE的核心知识点,还包括实际开发中遇到的问题及解决方案,对想要全面系统学习Java的开发者来说,这是一份不可多得的学习资料。通过这些笔记,可以快速掌握Java编程语言...
JAVAEE学习笔记:三年知识点总结与ssm、ssh框架
在学习JAVAEE三年的知识点笔记中,以上所述知识构成了核心部分,涵盖从基础的企业级应用开发到具体框架应用和数据库优化等方面的内容。这些知识点不仅有助于开发人员构建出健壮、可维护和高性能的企业级应用,也为...
Java学习笔记
10-30
这份"Java学习笔记"涵盖了Java的基础和进阶知识,包括Java Standard Edition (JavaSE) 和Java Enterprise Edition (JavaEE),以及与数据库相关的连接和操作。下面将详细阐述这些知识点。 **JavaSE**: JavaSE是Java...
SQL注入攻击
JavaEE_ZCR的博客
09-16 398
什么是SQL注入攻击 就是利用sql语句的漏洞来对系统进行攻击,SQL注入是从正常的WWW端口访问,而且表面看起来跟一般的Web页面访问防止SQL注入攻击没什么区别,所以市面的防火墙都不会对SQL注入发出警报,如果管理员没查看ⅡS日志的习惯,可能被入侵很长时间都不会发觉。但是,SQL注入的手法相当灵活,在注入的时候会碰到很多意外的情况,需要构造巧妙的SQL语句,从而成功获取想要的数据. 例如: 某个网站的登录验证的SQL查询代码为: String sqlLogin= “SELECT * FROM users
mysql数据库连接的方法封装及防sql注入
weixin_30737363的博客
06-30 162
一、定义数据库和表 create database animal; CREATE TABLE `pet` ( `id` int(11) NOT NULL AUTO_INCREMENT, `name` varchar(20) DEFAULT NULL, `owner` varchar(20) DEFAULT NULL, `species` varchar(20) DEFAULT NULL...
Java防止SQL注入
三千弱水的专栏
09-23 4153
Java防止SQL注入 SQL 注入简介:         SQL注入是最常见的攻击方式之一,它不是利用操作系统或其它系统的漏洞来实现攻击的,而是程序员因为没有做好判断,被不法 用户钻了SQL的空子,下面我们先来看下什么是SQL注入:         比如在一个登陆界面,要求用户输入用户名和密码:         用户名:     ' or 1=1
JavaEE 简单连接数据库的那些方法(1)
xiaosha_的博客
11-09 7746
JavaEE 简单连接数据库
Java安全-注入漏洞(SQL注入、命令注入、表达式注入、模板注入
Love&Share
11-07 1万+
文章目录注入SQL注入JDBC拼接不当造成SQL注入框架使用不当造成SQL注入不安全的反射命令注入代码注入表达式注入Spel表达式注入OGNL表达式注入模板注入 注入 SQL注入 JDBC拼接不当造成SQL注入 JDBC有两种方法执行SQL语句,分别为PrepareStatement和Statement。两个方法的区别在于PrepareStatement会对SQL语句进行预编译,而Statement方法在每次执行时都需要编译,会增大系统开销。理论上PrepareStatement的效率和安全性会比Stat.
JavaEE_ JDBC操作MySQL数据库 (进阶篇)
迎难而上
04-28 5157
JDBC连接数据库    •创建一个以JDBC连接数据库的程序,包含7个步骤:     1、加载JDBC驱动程序:               在连接数据库之前,首先要加载想要连接的数据库的驱动到JVM(Java虚拟机),     这通过java.lang.Class类的静态方法forName(String  className)实现。   例如: try{ //加载M
JavaEE中的依赖性——依赖性注入
郗晓勇|利己者生,利人者恒
01-31 2950
当一个资源注解防止在一个字段或setter方法之上时,将会发生两件事。首先,就像放置在bean类之上一样声明资源引用(类似于上文中的代码示例),而且当创建组件时将把资源名称绑定到环境命名上下文。第二,该服务器将为您自动进行依赖性查找,并把结果设置到实例化的类中。自动超找一个资源并将它设置到类中的过程称之为依赖性注入(dependency injection)因为据说服务器将把解析的依赖性注入类中。
java项目中如何防止sql注入
热门推荐
alan_liuyue的博客
03-07 2万+
简介 SQL注入就是客户端在向服务器发送请求的时候,sql命令通过表单提交或者url字符串拼接传递到后台持久层,最终达到欺骗服务器执行恶意的SQL命令; 实践 项目中如何防止sql注入呢,有以下三点: 前端表单进行参数格式控制; 后台进行参数格式化,过滤所有涉及sql的非法字符; //参考:https://freeman983.iteye.com/blog/1153989 //过滤 '...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值