卷妹带你学jdbc—2天冲刺Day2
👩💻博客主页:京与旧铺的博客主页
✨欢迎关注🖱点赞🎀收藏⭐留言✒
🔮本文由京与旧铺原创,csdn首发!
😘系列专栏:java学习
👕参考网课:动力节点
💻首发时间:🎞2022年6月21日🎠
🎨你做三四月的事,八九月就会有答案,一起加油吧
🀄如果觉得博主的文章还不错的话,请三连支持一下博主哦
🎧最后的话,作者是一个新人,在很多方面还做的不好,欢迎大佬指正,一起学习哦,冲冲冲
💬推荐一款模拟面试、刷题神器👉点击进入网站
该问题存在BUG
用户名:fdsa
密码:fdsa’ or ‘1’='1登录成功
这种现象被称为SQL注入(安全隐患)。(黑客经常使用)5、导致SQL注入的根本原因是什么?
用户输入的信息中含有sql语句的关键字,并且这些关键字参与sql语句的编译过程,导致sql语句的原意被扭曲,进而达到SQL注入。
packagecom.bjpowernode.jdbc;importjava.sql.*;importjava.util.HashMap;importjava.util.Map;importjava.util.Scanner;/*实现功能:1、需求:模拟用户登录功能的实现。2、业务描述:程序运行的时候,提供一个输入的入口,可以让用户输入用户名和密码用户输入用户名和密码之后,提交信息,java程序收集到用户信息Java程序连接数据库验证用户名和密码是否合法合法:显示登录成功不合法:显示登录失败3、数据的准备:在实际开发中,表的设计会使用专业的建模工具,我们这里安装一个建模工具:PowerDesigner使用PD工具来进行数据库表的设计。(参见user-login.sql脚本)4、当前程序存在的问题:用户名:fdsa密码:fdsa' or '1'='1登录成功这种现象被称为SQL注入(安全隐患)。(黑客经常使用)5、导致SQL注入的根本原因是什么?用户输入的信息中含有sql语句的关键字,并且这些关键字参与sql语句的编译过程,导致sql语句的原意被扭曲,进而达到sql注入。*/publicclassJDBCTest06{publicstaticvoidmain(String[] args){// 初始化一个界面Map<String,String> userLoginInfo =initUI();// 验证用户名和密码boolean loginSuccess =login(userLoginInfo);// 最后输出结果System.out.println(loginSuccess ?"登录成功":"登录失败");} /*** 用户登录@param userLoginInfo 用户登录信息* @return false表示失败,true表示成功/private static boolean login(Map<String, String> userLoginInfo) {// 打标记的意识boolean loginSuccess = false;// 单独定义变量String loginName = userLoginInfo.get("loginName");String loginPwd = userLoginInfo.get("loginPwd");// JDBC代码Connection conn = null;Statement stmt = null;ResultSet rs = null;try {// 1、注册驱动Class.forName("com.mysql.jdbc.Driver");// 2、获取连接conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/bjpowernode", "root", "333");// 3、获取数据库操作对象stmt = conn.createStatement();// 4、执行sqlString sql = "select * from t_user where loginName = '"+loginName+"' and loginPwd = '"+loginPwd+"'";// 以上正好完成了sql语句的拼接,以下代码的含义是,发送sql语句给DBMS,DBMS进行sql编译。// 正好将用户提供的“非法信息”编译进去。导致了原sql语句的含义被扭曲了。rs = stmt.executeQuery(sql);// 5、处理结果集if(rs.next()){// 登录成功loginSuccess = true;}} catch (Exception e) {e.printStackTrace();} finally {// 6、释放资源if (rs != null) {try {rs.close();} catch (SQLException e) {e.printStackTrace();}}if (stmt != null) {try {stmt.close();} catch (SQLException e) {e.printStackTrace();}}if (conn != null) {try {conn.close();} catch (SQLException e) {e.printStackTrace();}}}return loginSuccess;} /*** 初始化用户界面@return 用户输入的用户名和密码等登录信息*/privatestaticMap<String,String>initUI(){Scanner s =newScanner(System.in);System.out.print("用户名:");String loginName = s.nextLine();System.out.print("密码:");String loginPwd = s.nextLine();Map<String,String> userLoginInfo =newHashMap<>();userLoginInfo.put("loginName", loginName);userLoginInfo.put("loginPwd", loginPwd);return userLoginInfo;}}
解决SQL注入问题
3、解决SQL注入的关键是什么?
用户提供的信息中即使含有sql语句的关键字,但是这些关键字并没有参与编译。不起作用。4、对比一下statement和Preparedstatement?
Statement存在sql注入问题,Preparedstatement解决了SQL注入问题。
Statement是编译一次执行一次。PreparedStatement是编译一次,可执行多次。Preparedstatement效率较高一些。Preparedstatement会在编译阶段做类型的安全检查。
packagecom.bjpowernode.jdbc;importjava.sql.*;importjava.util.HashMap;importjava.util.Map;importjava.util.Scanner;/*** 作者:杜聚宾** 1、解决SQL注入问题?* 只要用户提供的信息不参与SQL语句的编译过程,问题就解决了。* 即使用户提供的信息中含有SQL语句的关键字,但是没有参与编译,不起作用。* 要想用户信息不参与SQL语句的编译,那么必须使用java.sql.PreparedStatement* PreparedStatement接口继承了java.sql.Statement* PreparedStatement是属于预编译的数据库操作对象。* PreparedStatement的原理是:预先对SQL语句的框架进行编译,然后再给SQL语句传“值”。* 2、测试结果:* 用户名:fdas* 密码:fdsa' or '1'='1* 登录失败* 3、解决SQL注入的关键是什么?* 用户提供的信息中即使含有sql语句的关键字,但是这些关键字并没有参与编译。不起作用。* 4、对比一下Statement和PreparedStatement?* - Statement存在sql注入问题,PreparedStatement解决了SQL注入问题。* - Statement是编译一次执行一次。PreparedStatement是编译一次,可执行N次。PreparedStatement效率较高一些。* - PreparedStatement会在编译阶段做类型的安全检查。** 综上所述:PreparedStatement使用较多。只有极少数的情况下需要使用Statement* 5、什么情况下必须使用Statement呢?* 业务方面要求必须支持SQL注入的时候。* Statement支持SQL注入,凡是业务方面要求是需要进行sql语句拼接的,必须使用Statement。*/publicclassJDBCTest07{publicstaticvoidmain(String[] args){// 初始化一个界面Map<String,String> userLoginInfo =initUI();// 验证用户名和密码boolean loginSuccess =login(userLoginInfo);// 最后输出结果System.out.println(loginSuccess ?"登录成功":"登录失败");}/*** 用户登录* @param userLoginInfo 用户登录信息* @return false表示失败,true表示成功*/privatestaticbooleanlogin(Map<String,String> userLoginInfo){// 打标记的意识boolean loginSuccess =false;// 单独定义变量String loginName = userLoginInfo.get("loginName");String loginPwd = userLoginInfo.get("loginPwd");// JDBC代码Connection conn =null;PreparedStatement ps =null;// 这里使用PreparedStatement(预编译的数据库操作对象)ResultSet rs =null;try{// 1、注册驱动Class.forName("com.mysql.jdbc.Driver");// 2、获取连接conn =DriverManager.getConnection("jdbc:mysql://localhost:3306/bjpowernode","root","333");// 3、获取预编译的数据库操作对象// SQL语句的框子。其中一个?,表示一个占位符,一个?将来接收一个“值”,注意:占位符不能使用单引号括起来。String sql ="select * from t_user where loginName = ? and loginPwd = ?";// 程序执行到此处,会发送sql语句框子给DBMS,然后DBMS进行sql语句的预先编译。ps = conn.prepareStatement(sql);// 给占位符?传值(第1个问号下标是1,第2个问号下标是2,JDBC中所有下标从1开始。)ps.setString(1, loginName);ps.setString(2, loginPwd);// 4、执行sqlrs = ps.executeQuery();// 5、处理结果集if(rs.next()){// 登录成功loginSuccess =true;}}catch(Exception e){e.printStackTrace();}finally{// 6、释放资源if(rs !=null){try{rs.close();}catch(SQLException e){e.printStackTrace();}}if(ps !=null){try{ps.close();}catch(SQLException e){e.printStackTrace();}}if(conn !=null){try{conn.close();}catch(SQLException e){e.printStackTrace();}}}return loginSuccess;}/*** 初始化用户界面* @return 用户输入的用户名和密码等登录信息*/privatestaticMap<String,String>initUI(){Scanner s =newScanner(System.in);System.out.print("用户名:");String loginName = s.nextLine();System.out.print("密码:");String loginPwd = s.nextLine();Map<String,String> userLoginInfo =newHashMap<>();userLoginInfo.put("loginName", loginName);userLoginInfo.put("loginPwd", loginPwd);return userLoginInfo;}}
演示statement的用途
即什么时候使用statement
综上所述: Preparedstatement使用较多。只有极少数的情况下需要使用statement5、什么情况下必须使用statement呢?
业务方面要求必须支持sql注入的时候。
statement支持sql注入,凡是业务方面要求是需要进行sql语句拼接的,必须使用statement。
packageustc.java.jdbc;importjava.sql.*;importjava.util.Scanner;publicclassJDBCTest08{publicstaticvoidmain(String[] args){//用户在控制台输入desc就是降序,输入asc就是升序Scanner s =newScanner(System.in);System.out.println("请输入desc或者asc");String keyWords = s.nextLine();//执行SQLConnection conn =null;Statement stmt =null;ResultSet rs =null;try{Class.forName("com.mysql.jdbc.Driver");conn =DriverManager.getConnection("jdbc:mysql://localhost:3306/bjpowernode","root","333");stmt = conn.createStatement();String sql ="select ename from emp order by ename "+ keyWords;rs = stmt.executeQuery(sql);//遍历结果集while(rs.next()){System.out.println(rs.getString("ename"));}}catch(ClassNotFoundException e){e.printStackTrace();}catch(SQLException throwables){throwables.printStackTrace();}finally{if(rs !=null){try{rs.close();}catch(SQLException throwables){throwables.printStackTrace();}}if(stmt !=null){try{rs.close();}catch(SQLException throwables){throwables.printStackTrace();}}if(conn !=null){try{rs.close();}catch(SQLException throwables){throwables.printStackTrace();}}}}}
三、JDBC事务机制
JDBC事务机制:
1、JDBc中的事务是自动提交的,什么是自动提交?
只要执行任意一条DML语句,则自动提交—次。这是JDBC默认的事务行为。但是在实际的业务当中,通常都是N条DML语句共同联合才能完成的,必须保证他们这些DML语句在同一个事务中同时成功或者同时失败。
文件名:t_act.sql
用途:bjpowernode;
source …
drop table if exists t_act;create table t_act(actno int,balance double(7,2)//注意7表示有效数字的个数,2表示小数位的个数。);insert into t_act(actno,balance)values(111,20000);insert into t_act(actno,balance)values(222,0);commit;select * from t_act;
/*重点三行代码:conn.setAutoCommit(false);conn.commit();conn.rollback();*/packageustc.java.jdbc;importjava.sql.Connection;importjava.sql.DriverManager;importjava.sql.PreparedStatement;importjava.sql.SQLException;publicclassJDBCTest10{publicstaticvoidmain(String[] args){Connection conn =null;PreparedStatement ps =null;try{// 注册驱动Class.forName("com.mysql.jdbc.Driver");// 获取连接conn =DriverManager.getConnection("jdbc:mysql://localhost:3306/bjpowernode","root","333");// 将自动提交改为手动提交conn.setAutoCommit(false);// 获取预编译的数据库操作对象String sql ="update t_act set balance = ? where actno = ? ";ps = conn.prepareStatement(sql);ps.setInt(1,10000);ps.setDouble(2,111);// 执行sql语句int count = ps.executeUpdate();/*String s = null;s.toString();*/ps.setInt(1,10000);ps.setDouble(2,222);count += ps.executeUpdate();System.out.println(count ==2?"转账成功":"转账失败");// 程序能执行到此处,说明没有异常,事务结束,手动提交数据conn.commit();}catch(Exception e){// 遇到异常,回滚if(conn !=null){try{conn.rollback();}catch(SQLException throwables){throwables.printStackTrace();}}e.printStackTrace();}finally{// 释放资源if(ps !=null){try{ps.close();}catch(SQLException throwables){throwables.printStackTrace();}}if(conn !=null){try{conn.close();}catch(SQLException throwables){throwables.printStackTrace();}}}}}
四、JDBC工具类的封装
jdbc.properti
driver=com.mysql.cj.jdbc.Driverurl=jdbc:mysql://localhost:3306/bjpowernode?useUnicode=true&characterEncoding=UTF-8&serverTimezone=UTCuser=rootpassword=123456
packagecom.bjpowernode.oa.utils;importjava.sql.*;importjava.util.ResourceBundle;/*** JDBC的工具类*/publicclassDBUtil{// 静态变量:在类加载时执行。// 并且是有顺序的。自上而下的顺序。// 属性资源文件绑定privatestaticResourceBundle bundle =ResourceBundle.getBundle("resources.jdbc");// 根据属性配置文件key获取valueprivatestaticString driver = bundle.getString("driver");privatestaticString url = bundle.getString("url");privatestaticString user = bundle.getString("user");privatestaticString password = bundle.getString("password");static{// 注册驱动(注册驱动只需要注册一次,放在静态代码块当中。DBUtil类加载的时候执行。)try{// "com.mysql.jdbc.Driver" 是连接数据库的驱动,不能写死。因为以后可能还会连接Oracle数据库。// 如果连接oracle数据库的时候,还需要修改java代码,显然违背了OCP开闭原则。// OCP开闭原则:对扩展开放,对修改关闭。(什么是符合OCP呢?在进行功能扩展的时候,不需要修改java源代码。)//Class.forName("com.mysql.jdbc.Driver");Class.forName(driver);}catch(ClassNotFoundException e){e.printStackTrace();}}/*** 获取数据库连接对象* @return conn 连接对象* @throws SQLException*/publicstaticConnectiongetConnection()throwsSQLException{// 获取连接Connection conn =DriverManager.getConnection(url, user, password);return conn;}/*** 释放资源* @param conn 连接对象* @param ps 数据库操作对象* @param rs 结果集对象*/publicstaticvoidclose(Connection conn,Statement ps,ResultSet rs){if(rs !=null){try{rs.close();}catch(SQLException e){e.printStackTrace();}}if(ps !=null){try{ps.close();}catch(SQLException e){e.printStackTrace();}}if(conn !=null){try{conn.close();}catch(SQLException e){e.printStackTrace();}}}}
测试DBUtil工具类和模糊查询
packageustc.java.jdbc;importjava.sql.Connection;importjava.sql.PreparedStatement;importjava.sql.ResultSet;importjava.sql.SQLException;/*1、测试DBUtil工具类2、模糊查询*/publicclassJDBCTest{publicstaticvoidmain(String[] args){Connection conn =null;PreparedStatement ps =null;ResultSet rs =null;try{conn =DBUtil.getConnection();String sql ="select ename from emp where ename like ?";ps = conn.prepareStatement(sql);ps.setString(1,"_A%");rs = ps.executeQuery();while(rs.next()){System.out.println(rs.getString("ename"));}}catch(SQLException throwables){e.printStackTrace();}finally{DBUtil.close(conn,ps,rs);}}
Connection conn = null;PreparedStatement ps = null;ResultSet rs = null;try {conn = DBUtil.getConnection();String sql = "select ename from emp where ename like ?";ps = conn.prepareStatement(sql);ps.setString(1,"_A%");rs = ps.executeQuery();while(rs.next()){System.out.println(rs.getString("ename"));}} catch (SQLException throwables) {e.printStackTrace();}finally{DBUtil.close(conn,ps,rs);}
}
结束语🏆🏆🏆🔥推荐一款模拟面试、刷题神器网站点击跳转进入网站[点击进入](https://www.nowcoder.com/exam/oj?page=1&tab=%E8%AF%AD%E6%B3%95%E7%AF%87&topicId=220&fromPut=pc_csdncpt_jyjp_java)1、算法篇(398题):面试必刷100题、算法入门、面试高频榜单2、SQL篇(82题):快速入门、SQL必知必会、SQL进阶挑战、面试真题3、大厂笔试真题:字节跳动、美团、百度、腾讯…
本文转载自: https://blog.csdn.net/qq_46272491/article/details/125464413
版权归原作者 京与旧铺 所有, 如有侵权,请联系我们删除。
版权归原作者 京与旧铺 所有, 如有侵权,请联系我们删除。