JDBC预处理对象prepareStatement

JDBC预处理对象prepareStatement概述

一、SQL注入问题

SQL注入:用户输入的内容作为了SQL语句语法的一部分,改变了原有SQL真正的意义。
假设有登录案例SQL语句如下:
SELECT * FROM 用户表 WHERE NAME = 用户输入的用户名 AND PASSWORD = 用户输的密码;
此时,当用户输入正确的账号与密码后,查询到了信息则让用户登录。但是当用户输入的账号为XXX 密码为:XXX’ OR ‘a’=’a时,则真正执行的代码变为:
SELECT * FROM 用户表 WHERE NAME = ‘XXX’ AND PASSWORD =’ XXX’ OR ’a’=’a’;
此时,上述查询语句时永远可以查询出结果的。那么用户就直接登录成功了,显然我们不希望看到这样的结果,这便是SQL注入问题。
为此,我们使用PreparedStatement来解决对应的问题。

二、代码演示SQL注入问题

(1)数据库准备

代码如下:

#创建sql_into数据库
CREATE DATABASE sql_into;
#使用sql_into数据库
USE sql_into;
#创建sql_into用户表
CREATE TABLE users(uid INT PRIMARY KEY AUTO_INCREMENT,username VARCHAR(200),PASSWORD VARCHAR(200) 
);
#加入用户信息
INSERT INTO users(username,PASSWORD) VALUES('xiaoming','123'),('xiaoliang','456');
#查询用户信息
SELECT *FROM users;

mysql代码演示
mysql代码演示

(2)创建用户登录界面

public class StatementMyCode {public static void main(String[] args) throws SQLException {Scanner sc=new Scanner(System.in);System.out.println("请输入用户名:");String username =sc.nextLine();System.out.println("请输入密码:");String password=sc.nextLine();
//获取JDBCUtils连接Connection con=JDBCUtils1.getConnection();//Connection con= JDBCUtils1.getConnection();
//获取Statedment对象Statement stat=con.createStatement();
//执行SQL语句String sql = "select * from users where username='"+username+"' and password ='"+password+"'";System.out.println(sql);ResultSet rs=stat.executeQuery(sql);if(rs.next()){System.out.println("登录成功!");}else{System.out.println("登录失败!");}JDBCUtils1.close(rs,stat,con);}
}

SQL注入出现的登录BUG
SQL注入出现的登录BUG

(3)配置文件代码

配置文件代码文件名需要和JDBCUtils1里的工具类的配置文件保持一致,配置文件代码文件名为config.properties
className=com.mysql.jdbc.Driver
url=jdbc:mysql://127.0.0.1:3306/sql_into
user=root
password=root

(4)JDBCUtils1文件代码

public class JDBCUtils1 {private static String url;private static String user;private static String password;private static String className;private JDBCUtils1(){}static {try{Properties p=new Properties();InputStream in = JDBCUtils1.class.getClassLoader().getResourceAsStream("config.properties");p.load(in);in.close();url=p.getProperty("url");user=p.getProperty("user");password=p.getProperty("password");className=p.getProperty("className");//注册驱动Class.forName(className);}catch (Exception e){e.printStackTrace();}
}public static Connection getConnection(){//获取连接Connection con=null;try {con= DriverManager.getConnection(url,user,password);return con;} catch (SQLException e) {throw new RuntimeException("连接失败");}}public static void close(ResultSet rs, Statement stat,Connection con){try {if(rs!=null)rs.close();} catch (SQLException e) {e.printStackTrace();}try {if(stat!=null)stat.close();} catch (SQLException e) {e.printStackTrace();}try {if (con!=null)con.close();} catch (SQLException e) {e.printStackTrace();}}
}

三、防止SQL注入 使用预处理对象

(1)原理介绍

preparedStatement:预编译对象,是Statement对象的子类。
特点:

  • 性能高
  • 会把sql语句先编译
  • 能过滤掉用户输入的关键字。
    PreparedStatement预处理对象,处理的每条sql语句中所有的实际参数,都必须使用占位符?替换。
    String sql = "select * from user where username = ? and password = ?";

PreparedStatement使用,需要通过以下3步骤完成:

  1. PreparedStatement预处理对象代码:
    // 获得预处理对象,需要提供已经使用占位符处理后的SQL语句
    PreparedStatement psmt = conn.prepareStatement(sql)
  2. 设置实际参数
    void setXxx(int index, Xxx xx) 将指定参数设置指定类型的值
    参数1:index 实际参数序列号,从1开始。
    参数2:xxx 实际参数值,xxx表示具体的类型。
    例如:
    setString(2, “1234”) 把SQL语句中第2个位置的占位符?替换成实际参数 “1234”
  3. 执行SQL语句:
    int executeUpdate(); --执行insert update delete语句.
    ResultSet executeQuery(); --执行select语句.
    boolean execute(); --执行select返回true 执行其他的语句返回false.

(2)使用preparedStatement

用户登录界面代码演示

public class prepareStatementMyCode {public static void main(String[] args) throws SQLException {Scanner sc=new Scanner(System.in);System.out.println("请输入用户名:");String username =sc.nextLine();System.out.println("请输入密码:");String password=sc.nextLine();
//获取JDBCUtils连接Connection con=JDBCUtils1.getConnection();//Connection con= JDBCUtils.getConnection();
//获取Statedment对象Statement stat=con.createStatement();
//执行SQL语句String sql = "select * from users where username=? and password =?";PreparedStatement ps = con.prepareStatement(sql);ps.setObject(1,username);ps.setObject(2,password);System.out.println(sql);ResultSet rs=ps.executeQuery();if(rs.next()){System.out.println("登录成功!");}else{System.out.println("登录失败!");}JDBCUtils1.close(rs,stat,con);}
}

正确执行代码演示结果
正确执行代码演示
SQL注入代码演示
SQL注入代码演示

四、使用prepareStatement完成查询数据

代码如下:

public class prepareStatementCSDNSelect {public static void main(String[] args) {//获取连接对象Connection con=null;PreparedStatement ps= null;ResultSet rs = null;try {con= JDBCUtils1.getConnection();String sql="select * from users";ps = con.prepareStatement(sql);rs = ps.executeQuery();while(rs.next()){int uid=rs.getInt("uid");String username=rs.getString("username");String password=rs.getString("password");System.out.println(uid+"  "+username+"  "+password);}} catch (SQLException e) {throw  new RuntimeException(e);}finally {JDBCUtils1.close(rs,ps,con);}}
}

使用prepareStatement完成查询
使用prepareStatement完成查询

五、使用prepareStatement和javabean类完成查询

(1)创建user1类

代码如下:

/*一个类具备私有成员变量 空参构造方法  get/set 方法   实现序列化接口 那么称这个类为javabean类*/
public class User1 {private int uid;private String username;private   String password;public User1() {}public User1(int uid, String username, String password) {this.uid = uid;this.username = username;this.password = password;}public int getUid() {return uid;}public void setUid(int uid) {this.uid = uid;}public String getUsername() {return username;}public void setUsername(String username) {this.username = username;}public String getPassword() {return password;}public void setPassword(String password) {this.password = password;}@Overridepublic String toString() {return "User1{" +"uid=" + uid +", username='" + username + '\'' +", password='" + password + '\'' +'}';}
}

(2)使用把每条记录封装到user1对象中 将多个user1对象放到list集合当中

/*查询所有记录 把每条记录封装到user1对象中 将多个user1对象放到list集合当中*/
public class prepareStatementCSDNSelectBean {public static void main(String[] args) {//获取连接对象Connection con=null;PreparedStatement ps= null;ResultSet rs = null;try {con= JDBCUtils1.getConnection();String sql="select * from users";ps = con.prepareStatement(sql);rs = ps.executeQuery();//定义一个集合用来存储user对象List<User1>  list=new ArrayList<>();while(rs.next()){int uid=rs.getInt("uid");String username=rs.getString("username");String password=rs.getString("password");User1 u=new User1(uid,username,password);list.add(u);// System.out.println(uid+"  "+username+"  "+password);}System.out.println(list);} catch (SQLException e) {throw  new RuntimeException(e);}finally {JDBCUtils1.close(rs,ps,con);}}
}

查询结果演示
查询结果演示

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/333236.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

bean包、entity包、mode包、domain包的区别

bean包、entity包、mode包、domain包的区别

文章目录beanentitymodeldomain总结bean 包含的都是 JavaBean。 JavaBean 是一种 Java 语言写成的可重用组件。为写成 JavaBean&#xff0c;类必须是具体和公共的&#xff0c;并且具有无参数的构造器。JavaBean 通过提供符合一致性设计模式的公共方法将内部域暴露成属性。Jav…
阅读更多...
java修改数据历史记录_记录更新(Java数据类)

java修改数据历史记录_记录更新(Java数据类)

java修改数据历史记录最近几个月&#xff0c;有一些与“ Java数据类”&#xff08;又称为“记录”&#xff09;有关的更新。 正如我在“ JavaFX&#xff0c;Valhalla&#xff0c;数据类和Java的浮点更新 ”一文中简短提到的那样&#xff0c; Brian Goetz的“ Java数据类 ”“探…
阅读更多...
idea配置Maven的本地仓库(打开新的项目时自动更新本地仓库的位置)

idea配置Maven的本地仓库(打开新的项目时自动更新本地仓库的位置)

配置Maven的本地仓库 一、打开目录然后选择 Other Settings → Settings for New Projects 二、配置自己的文件路径和本地仓库 三、设置每次自动更新本地仓库
阅读更多...
java导出数据透视表_使用数据库中的Java流制作数据透视表

java导出数据透视表_使用数据库中的Java流制作数据透视表

java导出数据透视表来自数据库行和表的原始数据不能为人类读者提供太多了解。 相反&#xff0c;如果我们对数据执行某种聚合&#xff0c;则人类更有可能看到数据模式 在向我们展示之前。 数据透视表是聚合的一种特定形式&#xff0c;我们可以在其中应用排序&#xff0c;求平均…
阅读更多...
Java程序和MySQL数据库中关于小数的保存问题

Java程序和MySQL数据库中关于小数的保存问题

文章目录MySQL 中的小数类型decimaldoublefloatJava 中的小数类型floatdoubleBigDecimal金额的计算MySQL 中的小数类型 decimal MySQL 使用 decimal 保存高精度的小数&#xff0c;可以设置保留的小数个数。decimal(m,d)&#xff0c;表示该值一共显示 m 位整数&#xff0c;其中…
阅读更多...
javafx 遮罩_JavaFX技巧31:遮罩/剪切/ Alpha通道

javafx 遮罩_JavaFX技巧31:遮罩/剪切/ Alpha通道

javafx 遮罩选择条 最近&#xff0c;我不得不实现一个自定义控件&#xff0c;该控件使用户可以从项目列表中选择一个项目。 此“ SelectionStrip”控件必须水平放置项目&#xff0c;并且在项目过多的情况下&#xff0c;允许用户左右水平滚动。 该控件将在空间受限的区域中使用&…
阅读更多...
IntelliJ IDEA for Mac如何查看某个方法的实现

IntelliJ IDEA for Mac如何查看某个方法的实现

如果没有子类&#xff0c;按住 Command&#xff0c;鼠标点击方法名会跳到声明定义方法的地方&#xff1b;如果是接口或者父类&#xff0c;那么只会跳至接口或者父类声明方法的地方&#xff0c;想要看子类的实现&#xff0c;可以点击鼠标右键&#xff0c;选择 【Go To】 -> 【…
阅读更多...
日志管理工具_您需要了解的6种日志管理工具(以及如何使用它们)

日志管理工具_您需要了解的6种日志管理工具(以及如何使用它们)

日志管理工具如果没有正确的工具来汇总和解析您的日志数据&#xff0c;则几乎不可能找到并了解所需的信息。 日志有无穷的用途&#xff0c;因为日志本身是无止境的。 应用程序日志&#xff0c;安全日志&#xff0c;BI日志&#xff0c; 林肯日志 &#xff08;好吧&#xff0c;也…
阅读更多...
Spring半注解半Xml

Spring半注解半Xml

一、 Component 1.Component 标记了注解&#xff0c; 默认的名称是&#xff1a;简单类名&#xff0c;首字母小写UserDaoImpl -> userDaoImplUserServiceImpl -> userServiceImplComponent可以使用value属性指定对象的名称&#xff0c;相当bean标签的id属性 Component注解…
阅读更多...
JDK 命令之 javadoc -- 生成API文档

JDK 命令之 javadoc -- 生成API文档

文章目录命令简介命令选项中文乱码javadoc 命令实例进入源代码文件所在目录&#xff0c;解析指定的源代码文件&#xff0c;生成 API 文档解析指定包下的所有源码文件&#xff0c;生成 API 文档指定源文件根目录&#xff0c;再指定具体的包路径&#xff0c;解析其中的源码文件&a…
阅读更多...
apache.camel_带有Spring Boot 2支持的Apache Camel 2.22发布

apache.camel_带有Spring Boot 2支持的Apache Camel 2.22发布

apache.camel今天&#xff0c;我们发布了最新的Apache Camel 2.22.0版本 &#xff0c;这是第一个正式完全支持Spring Boot 2的版本。这是一项重大的工作&#xff0c;因为针对像Apache Camel这样的大型框架将Spring Boot v1升级到v2付出了很多努力–感谢骆驼队和他们的贡献。 对…
阅读更多...
纯注解的开发

纯注解的开发

使用纯注解开发 目录结构 JdbcConfiguration package com.itheima.Config;import com.mchange.v2.c3p0.ComboPooledDataSource; import org.apache.commons.dbutils.QueryRunner; import org.springframework.beans.factory.annotation.Value; import org.springframework.co…
阅读更多...
IntelliJ IDEA forMac 如何生成项目的javadoc(API文档)

IntelliJ IDEA forMac 如何生成项目的javadoc(API文档)

1.在菜单栏&#xff0c;点击 Tools -> Generate JavaDoc… 2.根据你自己的需要&#xff0c;设置解析源文件的范围、设置文档输出目录、设置资源的访问权限范围、字符编码、堆内存大小等。
阅读更多...
vaadin_Vaadin Flow –奇妙的鹿

vaadin_Vaadin Flow –奇妙的鹿

vaadin您可能知道&#xff0c;Vaadin是Java上最受欢迎的Web框架之一&#xff1a; https://zeroturnaround.com/rebellabs/java-web-frameworks-index-by-rebellabs/ https://javapipe.com/hosting/blog/best-java-web-frameworks/ 最近发布了此Web UI开发框架的新版本– Vaa…
阅读更多...
Spring和Junit整合

Spring和Junit整合

一、引入依赖 <dependency><groupId>org.springframework</groupId><artifactId>spring-test</artifactId><version>5.0.2.RELEASE</version></dependency>二、在测试类中修改 &#xff08;1&#xff09;不带有配置文件的修改…
阅读更多...
什么是stub文件_stub code

什么是stub文件_stub code

存根, 占位代码&#xff0c;占坑代码&#xff0c;桩代码&#xff0c;粘合代码&#xff0c;残存代码, 指满足形式要求但没有实现具体功能的占坑/代理代码。 stub code 给出的实现是临时性的/待编辑的。它使得程序在结构上能够符合标准&#xff0c;又能够使程序员可以暂时不编辑…
阅读更多...
子类重写父类变量_为什么在子类中不重写超类的实例变量

子类重写父类变量_为什么在子类中不重写超类的实例变量

子类重写父类变量当我们在父类和子类中创建一个具有相同名称的变量&#xff0c;并尝试使用持有子类对象的父类引用访问它时&#xff0c;我们会得到什么&#xff1f; 为了理解这一点&#xff0c;让我们考虑下面的示例&#xff0c;在该示例中&#xff0c;我们在Parent和Child类中…
阅读更多...
Spring基于 XML 的声明式事务控制(配置方式)

Spring基于 XML 的声明式事务控制(配置方式)

一、引入依赖 <?xml version"1.0" encoding"UTF-8"?> <project xmlns"http://maven.apache.org/POM/4.0.0"xmlns:xsi"http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation"http://maven.apache.org/POM/4…
阅读更多...
javadoc - Java API 文档生成器(Windows版本)

javadoc - Java API 文档生成器(Windows版本)

文章目录简介命令语法结构Javadoc Doclets术语带文档的类引用类外部引用类源文件源代码文件包注释文件概述注释文件其他未处理文件生成的文件基本内容页交叉参考页支持文件HTML 框架生成的文件结构文档注释注释源代码JAVADOC 标记author name-textdeprecated deprecated-textex…
阅读更多...
光缆故障测试_简单的测试可以防止最严重的故障

光缆故障测试_简单的测试可以防止最严重的故障

光缆故障测试错误处理是软件开发中最困难且被忽略的部分之一&#xff0c;而且如果系统是分布式的&#xff0c;那么这将变得更加困难。 不错的论文写在“ 简单测试可以预防最关键的故障” 主题上。 每个开发人员都应该阅读本文。 我将尝试总结本文的主要内容&#xff0c;但建议…
阅读更多...
最新文章

Copyright @ 2022~2023