JDBC预处理对象prepareStatement[通俗易懂]

JDBC预处理对象prepareStatement[通俗易懂]JDBC预处理对象prepareStatement概述一、SQL注入问题SQL注入:用户输入的内容作为了SQL语句语法的一部分,改变了原有SQL真正的意义。假设有登录案例SQL语句如下:SELECT*FROM用户表WHERENAME=用户输入的用户名ANDPASSWORD=用户输的密码;此时,当用户输入正确的账号与密码后,查询到了信息则让用户登录。但是当用户输入的账…

大家好,又见面了,我是你们的朋友全栈君。

JDBC预处理对象prepareStatement概述

一、SQL注入问题

SQL注入:用户输入的内容作为了SQL语句语法的一部分,改变了原有SQL真正的意义。
假设有登录案例SQL语句如下:
SELECT * FROM 用户表 WHERE NAME = 用户输入的用户名 AND PASSWORD = 用户输的密码;
此时,当用户输入正确的账号与密码后,查询到了信息则让用户登录。但是当用户输入的账号为XXX 密码为:XXX’ OR ‘a’=’a时,则真正执行的代码变为:
SELECT * FROM 用户表 WHERE NAME = ‘XXX’ AND PASSWORD =’ XXX’ OR ’a’=’a’;
此时,上述查询语句时永远可以查询出结果的。那么用户就直接登录成功了,显然我们不希望看到这样的结果,这便是SQL注入问题。
为此,我们使用PreparedStatement来解决对应的问题。

二、代码演示SQL注入问题

(1)数据库准备

代码如下:

#创建sql_into数据库
CREATE DATABASE sql_into;
#使用sql_into数据库
USE sql_into;
#创建sql_into用户表
CREATE TABLE users(
 uid INT PRIMARY KEY AUTO_INCREMENT,
 username VARCHAR(200),
 PASSWORD VARCHAR(200) 
);
#加入用户信息
INSERT INTO users(username,PASSWORD) VALUES('xiaoming','123'),('xiaoliang','456');
#查询用户信息
SELECT *FROM users;

mysql代码演示
mysql代码演示

(2)创建用户登录界面

public class StatementMyCode {
    public static void main(String[] args) throws SQLException {
        Scanner sc=new Scanner(System.in);
        System.out.println("请输入用户名:");
        String username =sc.nextLine();
        System.out.println("请输入密码:");
        String password=sc.nextLine();
//获取JDBCUtils连接
        Connection con=JDBCUtils1.getConnection();
        //Connection con= JDBCUtils1.getConnection();
//获取Statedment对象
        Statement stat=con.createStatement();
//执行SQL语句
        String sql = "select * from users where username='"+username+"' and password ='"+password+"'";
        System.out.println(sql);
        ResultSet rs=stat.executeQuery(sql);
        if(rs.next()){
            System.out.println("登录成功!");
        }else{
            System.out.println("登录失败!");
        }
        JDBCUtils1.close(rs,stat,con);
    }
}

SQL注入出现的登录BUG
SQL注入出现的登录BUG

(3)配置文件代码

配置文件代码文件名需要和JDBCUtils1里的工具类的配置文件保持一致,配置文件代码文件名为config.properties
className=com.mysql.jdbc.Driver
url=jdbc:mysql://127.0.0.1:3306/sql_into
user=root
password=root

(4)JDBCUtils1文件代码

public class JDBCUtils1 {
    private static String url;
    private static String user;
    private static String password;
    private static String className;
    private JDBCUtils1(){}
   static {
        try{
            Properties p=new Properties();
            InputStream in = JDBCUtils1.class.getClassLoader().getResourceAsStream("config.properties");
            p.load(in);
            in.close();
            url=p.getProperty("url");
            user=p.getProperty("user");
            password=p.getProperty("password");
            className=p.getProperty("className");
            //注册驱动
            Class.forName(className);
        }catch (Exception e){
            e.printStackTrace();
        }
}
    public static Connection getConnection(){
        //获取连接
        Connection con=null;
        try {
        con= DriverManager.getConnection(url,user,password);
            return con;
        } catch (SQLException e) {

            throw new RuntimeException("连接失败");
        }
    }
    public static void close(ResultSet rs, Statement stat,Connection con){
        try {
            if(rs!=null)
            rs.close();
        } catch (SQLException e) {
            e.printStackTrace();
        }
        try {
            if(stat!=null)
            stat.close();
        } catch (SQLException e) {
            e.printStackTrace();
        }
        try {
            if (con!=null)
            con.close();
        } catch (SQLException e) {
            e.printStackTrace();
        }
    }
}

三、防止SQL注入 使用预处理对象

(1)原理介绍

preparedStatement:预编译对象,是Statement对象的子类。
特点:

  • 性能高
  • 会把sql语句先编译
  • 能过滤掉用户输入的关键字。
    PreparedStatement预处理对象,处理的每条sql语句中所有的实际参数,都必须使用占位符?替换。
    String sql = "select * from user where username = ? and password = ?";

PreparedStatement使用,需要通过以下3步骤完成:

  1. PreparedStatement预处理对象代码:
    // 获得预处理对象,需要提供已经使用占位符处理后的SQL语句
    PreparedStatement psmt = conn.prepareStatement(sql)
  2. 设置实际参数
    void setXxx(int index, Xxx xx) 将指定参数设置指定类型的值
    参数1:index 实际参数序列号,从1开始。
    参数2:xxx 实际参数值,xxx表示具体的类型。
    例如:
    setString(2, “1234”) 把SQL语句中第2个位置的占位符?替换成实际参数 “1234”
  3. 执行SQL语句:
    int executeUpdate(); –执行insert update delete语句.
    ResultSet executeQuery(); –执行select语句.
    boolean execute(); –执行select返回true 执行其他的语句返回false.

(2)使用preparedStatement

用户登录界面代码演示

public class prepareStatementMyCode {
    public static void main(String[] args) throws SQLException {
        Scanner sc=new Scanner(System.in);
        System.out.println("请输入用户名:");
        String username =sc.nextLine();
        System.out.println("请输入密码:");
        String password=sc.nextLine();
//获取JDBCUtils连接
        Connection con=JDBCUtils1.getConnection();
        //Connection con= JDBCUtils.getConnection();
//获取Statedment对象
        Statement stat=con.createStatement();
//执行SQL语句
        String sql = "select * from users where username=? and password =?";
        PreparedStatement ps = con.prepareStatement(sql);
        ps.setObject(1,username);
        ps.setObject(2,password);
        System.out.println(sql);
        ResultSet rs=ps.executeQuery();
        if(rs.next()){
            System.out.println("登录成功!");
        }else{
            System.out.println("登录失败!");
        }
        JDBCUtils1.close(rs,stat,con);
    }
}

正确执行代码演示结果
正确执行代码演示
SQL注入代码演示
SQL注入代码演示

四、使用prepareStatement完成查询数据

代码如下:

public class prepareStatementCSDNSelect {
    public static void main(String[] args) {
        //获取连接对象
        Connection con=null;
        PreparedStatement ps= null;
        ResultSet rs = null;
        try {
            con= JDBCUtils1.getConnection();
            String sql="select * from users";
            ps = con.prepareStatement(sql);
            rs = ps.executeQuery();
            while(rs.next()){
                int uid=rs.getInt("uid");
                String username=rs.getString("username");
                String password=rs.getString("password");
                System.out.println(uid+"  "+username+"  "+password);
            }
        } catch (SQLException e) {
           throw  new RuntimeException(e);
        }finally {
            JDBCUtils1.close(rs,ps,con);
        }
    }
}

使用prepareStatement完成查询
使用prepareStatement完成查询

五、使用prepareStatement和javabean类完成查询

(1)创建user1类

代码如下:

/*一个类具备私有成员变量 空参构造方法  get/set 方法   实现序列化接口 那么称这个类为javabean类*/
public class User1 {
    private int uid;
    private String username;
    private   String password;
    public User1() {
    }

    public User1(int uid, String username, String password) {
        this.uid = uid;
        this.username = username;
        this.password = password;
    }

    public int getUid() {
        return uid;
    }

    public void setUid(int uid) {
        this.uid = uid;
    }

    public String getUsername() {
        return username;
    }

    public void setUsername(String username) {
        this.username = username;
    }

    public String getPassword() {
        return password;
    }

    public void setPassword(String password) {
        this.password = password;
    }

    @Override
    public String toString() {
        return "User1{" +
                "uid=" + uid +
                ", username='" + username + '\'' +
                ", password='" + password + '\'' +
                '}';
    }
}

(2)使用把每条记录封装到user1对象中 将多个user1对象放到list集合当中

/*查询所有记录 把每条记录封装到user1对象中 将多个user1对象放到list集合当中*/
public class prepareStatementCSDNSelectBean {
    public static void main(String[] args) {
        //获取连接对象
        Connection con=null;
        PreparedStatement ps= null;
        ResultSet rs = null;
        try {
            con= JDBCUtils1.getConnection();
            String sql="select * from users";
            ps = con.prepareStatement(sql);
            rs = ps.executeQuery();
            //定义一个集合用来存储user对象
            List<User1>  list=new ArrayList<>();
            while(rs.next()){
                int uid=rs.getInt("uid");
                String username=rs.getString("username");
                String password=rs.getString("password");
                User1 u=new User1(uid,username,password);
                list.add(u);

               // System.out.println(uid+"  "+username+"  "+password);
            }
            System.out.println(list);
        } catch (SQLException e) {
           throw  new RuntimeException(e);
        }finally {
            JDBCUtils1.close(rs,ps,con);
        }
    }
}

查询结果演示
查询结果演示

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/137857.html原文链接:https://javaforall.cn

【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛

【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...

(0)
blank

相关推荐

  • matlab控制倒立摆小车并绘制二维动态效果图[通俗易懂]

    matlab控制倒立摆小车并绘制二维动态效果图[通俗易懂]clc;closeall;clearA=[0100;00-1.1760;0001;0018.2930];%设置倒立摆小车控制系统参数B=[0;1;0;-1.667];C=[1000;0010];G=[42.851.04;471.8322.39;0.9443.15;19.17464.64];K=[-9.1841-10.7148-63.8735-15.4258];sim(‘CAR.mdl’);%运行倒立摆小车控制系…

  • java8 stream接口终端操作 count,anyMatch,allMatch,noneMatch

    java8 stream接口终端操作 count,anyMatch,allMatch,noneMatch对于中间操作和终端操作的定义,请看《JAVA8stream接口中间操作和终端操作》,这篇主要讲述的是stream的count,anyMatch,allMatch,noneMatch操作,我们先看下函数的定义longcount();booleananyMatch(Predicate<?superT>predicate);…

  • img图片加载失败的处理

    img图片加载失败的处理img图片加载失败的措施很多产品都会要求图片加载失败会出现一个占位符这种类似的图片,强调文本强调文本加粗文本加粗文本标记文本删除文本引用文本H2Ois是液体。210运算结果是1024.插入链接与图片链接:link.图片:带尺寸的图片:居中的图片:居中并且带尺寸的图片:当然,我们为了让用户更加便捷,我们增加了图片拖拽功能。如何插入一段漂亮的代码片去博客设置页面,选择一款你喜欢的代码片高亮样式,下面展示同样高亮的代码片.//Anhighlight

  • Windows 家族的十二种常用密码破解法

    Windows 家族的十二种常用密码破解法

  • python中unittest框架_unittest接口自动化

    python中unittest框架_unittest接口自动化unittest简介参考:https://urlify.cn/e6rAr2为什么要使用unittest在编写接口自动化用例时,我们一般针对一个接口建立一个.py文件,一条测试用例封装为一个函数(方法),但是在批量执行的过程中,如果其中一条出错,后面的用例就无法执行。使用测试框架可以互不影响的用例执行及更灵活的执行控制。unittest特点•python自带的单元测试框架,无需安装;•用例执行互不干扰;•提供不同范围的setUp(测试准备)和tearDown(测试清理)方法;•

    2022年10月14日
  • CPU 后缀

    CPU 后缀intelCPU后缀的意思如下:“K”代表该处理器是不锁倍频桌面级CPU;超频版“S”代表该处理器是功耗降至65W的低功耗版桌面级CPU;“T”代表该处理器是功耗降至45W的节能版桌面级CPU;“QM”代表该处理器是功耗为45W的四核移动CPU;”X”高性能CPU”F”无核显m,hq,mq,XM,Y,U都是移动端“M”代表该处理器是功耗低于35W的双核移动CPU“Y”超低压(一般平板电脑…

发表回复

您的电子邮箱地址不会被公开。

关注全栈程序员社区公众号