方立勋_30天掌握JavaWeb_JDBC、SQL防注入(一)
2017-04-11 00:05
405 查看
JDBC简介
数据库驱动SUN公司为了简化、统一对数据库的操作,定义了一套Java操作数据库的规范,称之为JDBC。
JDBC全称为:Java Data Base Connectivity(java数据库连接),它主要由接口组成。
组成JDBC的2个包:
java.sql
javax.sql
开发JDBC应用需要以上2个包的支持外,还需要导入相应JDBC的数据库实现(即数据库驱动)。
第一个JDBC程序
编写一个程序,这个程序从user表中读取数据,并打印在命令行窗口中。一、搭建实验环境 :
1. 在mysql中创建一个库,并创建user表和插入表的数据。
2. 新建一个Java工程,并导入数据驱动。
二、编写程序,在程序中加载数据库驱动
DriverManager. registerDriver(Driver driver)
三、建立连接(Connection)
Connection conn = DriverManager.getConnection(url,user,pass);
四、创建用于向数据库发送SQL的Statement对象,并发送sql
Statement st = conn.createStatement();
ResultSet rs = st.excuteQuery(sql);
五、从代表结果集的ResultSet中取出数据,打印到命令行窗口
六、断开与数据库的连接,并释放相关资源
1.先在数据库中新建数据库和表:
create database day14 character set utf8 collate utf8_general_ci; use day14; create table user( id int primary key auto_increment, name varchar(40), password varchar(40), email varchar(60), birthday date )character set utf8 collate utf8_general_ci; insert into user(name,password,email,birthday) values('zs','123456','zs@sina.com','1980-12-04'); insert into user(name,password,email,birthday) values('lisi','123456','lisi@sina.com','1981-12-04'); insert into user(name,password,email,birthday) values('wangwu','123456','wangwu@sina.com','1979-12-04');
2.Java代码去访问数据库表:
import java.sql.Connection; import java.sql.DriverManager; import java.sql.ResultSet; import java.sql.Statement; public class Demo1 { public static void main(String[] args) throws Exception{ /** create database jdbc character set utf8 collate utf8_general_ci; use jdbc; create table user( id int primary key auto_increment, name varchar(40), password varchar(40), email varchar(60), birthday date )character set utf8 collate utf8_general_ci; insert into user(name,password,email,birthday) values('zs','123456','zs@sina.com','1980-12-04'); insert into user(name,password,email,birthday) values('lisi','123456','lisi@sina.com','1981-12-04'); insert into user(name,password,email,birthday) values('wangwu','123456','wangwu@sina.com','1979-12-04'); */ String url="jdbc:mysql://localhost:3306/day14"; String user ="root"; String password=""; // 1. 加载驱动 DriverManager.registerDriver(new com.mysql.jdbc.Driver()); // 2.获取连接 Connection con = DriverManager.getConnection(url, user, password); //导入java.sql的包,非mysql包 // 3.获取向数据库发sql语句的statement对象 Statement st = con.createStatement();//导入java.sql的包,非mysql包 // 4.向数据库发送sql,获取数据库返回的结果集 ResultSet rs = st.executeQuery("select * from users"); // 5.从结果集中获取数据 while(rs.next()){ System.out.println(rs.getObject("id")); System.out.println(rs.getObject("name")); System.out.println(rs.getObject("password")); System.out.println(rs.getObject("email")); System.out.println(rs.getObject("birthday")); } rs.close(); st.close(); con.close(); } }
这样的方式其实不好,查看Driver类源代码:
public class Driver extends NonRegisteringDriver implements java.sql.Driver { // ~ Static fields/initializers // --------------------------------------------- // // Register ourselves with the DriverManager // static { try { java.sql.DriverManager.registerDriver(new Driver()); } catch (SQLException E) { throw new RuntimeException("Can't register driver!"); } } // ~ Constructors // ----------------------------------------------------------- /** * Construct a new driver and register it with DriverManager * * @throws SQLException * if a database error occurs. */ public Driver() throws SQLException { // Required for Class.forName().newInstance() } }
会发现这里也进行注册了一次,所以加载mysql驱动会进行两次驱动加载。
这里可以采用另一种方式加载驱动:
Class.forName(“com.mysql.jdbc.Driver”);
MySQL官方手册说的也是这种方式。
程序详解
DriverManager
jdbc程序中的DriverManager用于加载驱动,并创建与数据库的链接,这个API的常用方法:DriverManager.registerDriver(new Driver())
DriverManager.getConnection(url, user, password),
注意:在实际开发中并不推荐采用registerDriver方法注册驱动。原因有二:
查看Driver的源代码可以看到,如果采用此种方式,会导致驱动程序注册两次,也就是在内存中会有两个Driver对象。
程序依赖mysql的api,脱离mysql的jar包,程序将无法编译,将来程序切换底层数据库将会非常麻烦。
推荐方式:Class.forName(“com.mysql.jdbc.Driver”);
采用此种方式不会导致驱动对象在内存中重复出现,并且采用此种方式,程序仅仅只需要一个字符串,不需要依赖具体的驱动,使程序的灵活性更高。
同样,在开发中也不建议采用具体的驱动类型指向getConnection方法返回的connection对象。
数据库URL
URL用于标识数据库的位置,程序员通过URL地址告诉JDBC程序连接哪个数据库,URL的写法为:jdbc:mysql:[]//localhost:3306/test ?参数名:参数值
常用数据库URL地址的写法:
Oracle写法:jdbc:oracle:thin:@localhost:1521:sid
SqlServer—jdbc:microsoft:sqlserver://localhost:1433; DatabaseName=sid
MySql—jdbc:mysql://localhost:3306/sid
Mysql的url地址的简写形式: jdbc:mysql:///sid
常用属性:useUnicode=true&characterEncoding=UTF-8
Connection
Jdbc程序中的Connection,它用于代表数据库的链接,Collection是数据库编程中最重要的一个对象,客户端与数据库所有交互都是通过connection对象完成的,这个对象的常用方法:
createStatement():创建向数据库发送sql的statement对象。
prepareStatement(sql) :创建向数据库发送预编译sql的PrepareSatement对象。
prepareCall(sql):创建执行存储过程的callableStatement对象。
setAutoCommit(boolean autoCommit):设置事务是否自动提交。
commit() :在链接上提交事务。
rollback() :在此链接上回滚事务。
Statement
Jdbc程序中的Statement对象用于向数据库发送SQL语句, Statement对象常用方法:executeQuery(String sql) :用于向数据发送查询语句。
executeUpdate(String sql):用于向数据库发送insert、update或delete语句
execute(String sql):用于向数据库发送任意sql语句
addBatch(String sql) :把多条sql语句放到一个批处理中。
executeBatch():向数据库发送一批sql语句执行。
ResultSet
jdbc程序中的ResultSet用于代表Sql语句的执行结果。Resultset封装执行结果时,采用的类似于表格的方式。ResultSet 对象维护了一个指向表格数据行的游标,初始的时候,游标在第一行之前,调用ResultSet.next() 方法,可以使游标指向具体的数据行,进行调用方法获取该行的数据。ResultSet既然用于封装执行结果的,所以该对象提供的都是用于获取数据的get方法:
获取任意类型的数据
getObject(int index)
getObject(string columnName)
获取指定类型的数据,例如:
getString(int index)
getString(String columnName)
提问:数据库中列的类型是varchar,获取该列的数据调用什么方法?Int类型呢?bigInt类型呢?Boolean类型?
A:
常用数据类型转换表
ResultSet还提供了对结果集进行滚动的方法:
next():移动到下一行
Previous():移动到前一行
absolute(int row):移动到指定行
beforeFirst():移动resultSet的最前面。
afterLast() :移动到resultSet的最后面
释放资源
Jdbc程序运行完后,切记要释放程序在运行过程中,创建的那些与数据库进行交互的对象,这些对象通常是ResultSet, Statement和Connection对象。特别是Connection对象,它是非常稀有的资源,用完后必须马上释放,如果Connection不能及时、正确的关闭,极易导致系统宕机。Connection的使用原则是尽量晚创建,尽量早的释放。
为确保资源释放代码能运行,资源释放代码也一定要放在finally语句中。
使用JDBC对数据库进行CRUD
Jdbc中的statement对象用于向数据库发送SQL语句,想完成对数据库的增删改查,只需要通过这个对象向数据库发送增删改查语句即可。Statement对象的executeUpdate方法,用于向数据库发送增、删、改的sql语句,executeUpdate执行完后,将会返回一个整数(即增删改语句导致了数据库几行数据发生了变化)。
Statement.executeQuery方法用于向数据库发送查询语句,executeQuery方法返回代表查询结果的ResultSet对象。
CRUD操作-create
使用executeUpdate(String sql)方法完成数据添加操作,示例操作:Statement st = conn.createStatement(); String sql = "insert into user(….) values(…..) "; int num = st.executeUpdate(sql); if(num>0){ System.out.println("插入成功!!!"); }
CRUD操作-updata
使用executeUpdate(String sql)方法完成数据修改操作,示例操作:Statement st = conn.createStatement(); String sql = “update user set name=‘’ where name=‘’"; int num = st.executeUpdate(sql); if(num>0){ System.out.println(“修改成功!!!"); }
CRUD操作-delete
使用executeUpdate(String sql)方法完成数据删除操作,示例操作:Statement st = conn.createStatement(); String sql = “delete from user where id=1; int num = st.executeUpdate(sql); if(num>0){ System.out.println(“删除成功!!!"); }
CRUD操作-read
使用executeQuery(String sql)方法完成数据查询操作,示例操作:Statement st = conn.createStatement(); String sql = “select * from user where id=1; ResultSet rs = st.executeUpdate(sql); while(rs.next()){ //根据获取列的数据类型,分别调用rs的相应方法 //映射到java对象中 }
sql防注入
SQL 注入是用户利用某些系统没有对输入数据进行充分的检查,从而进行恶意破坏的行为。1、statement存在sql注入攻击问题,例如登陆用户名采用’ or 1=1 or name=‘
2、对于防范 SQL 注入,可以采用PreparedStatement取代Statement。
PreparedStatement
PreperedStatement是Statement的孩子,它的实例对象可以通过调用Connection.preparedStatement()方法获得,相对于Statement对象而言:
PreperedStatement可以避免SQL注入的问题。
Statement会使数据库频繁编译SQL,可能造成数据库缓冲区溢出。PreparedStatement 可对SQL进行预编译,从而提高数据库的执行效率。
并且PreperedStatement对于sql中的参数,允许使用占位符的形式进行替换,简化sql语句的编写。
相关文章推荐
- 方立勋_30天掌握JavaWeb_JDBC、存储过程、事务(二)
- 方立勋_30天掌握JavaWeb_jdbc实现客户关系管理(未完)
- 方立勋_30天掌握JavaWeb_JDBC、连接池、JNDI(三)
- 方立勋_30天掌握JavaWeb_自己编写jdbc框架、dbutils框架(未完)
- 方立勋_30天掌握JavaWeb_div和css基础
- 方立勋_30天掌握JavaWeb_request
- 方立勋_30天掌握JavaWeb_JavaBean、mvc开发模式、el表达式、jstl标签
- 方立勋_30天掌握JavaWeb_Servlet
- 方立勋_30天掌握JavaWeb_XML
- 方立勋_30天掌握JavaWeb_Servlet事件监听器
- 方立勋_30天掌握JavaWeb_使用httpUrlConnection模似ie
- 方立勋_30天掌握JavaWeb_JSP
- 方立勋_30天掌握JavaWeb_JSTL标签库
- 方立勋_30天掌握JavaWeb_MySQL和表约束
- 方立勋_30天掌握JavaWeb_EL表达式功能详解
- 方立勋_30天掌握JavaWeb_国际化开发
- 方立勋_30天掌握JavaWeb_(JSP+JavaBean实现)简单计算器
- 方立勋_30天掌握JavaWeb_回顾&复习
- 方立勋_30天掌握JavaWeb_Servlet
- 方立勋_30天掌握JavaWeb_自定义标签