使用JDBC分别利用Statement和PreparedStatement来对MySQL数据库进行简单的增删改查以及SQL注入的原理
一、MySQL数据库的下载及安装
点击DOWNLOADS,拉到页面底部,找到MySQL Community(GPL)Downloads,点击
选择下图中的MySQL Community Server
选择想要的版本进行下载
之后的步骤,因为本人已经安装过MySQL数据库,而卸载重装会比较麻烦,卸载不干净会导致新的装不上,所以可以参考下面的博客,因为官网的改动,前面的部分已经与该博客不符,按照本人在上面的介绍寻找即可
https://blog.csdn.net/weixin_42555080/article/details/87884902
下面是数据库可视化工具Navicat的下载及破解教程
https://blog.csdn.net/WYpersist/article/details/86530973
二、使用JDBC利用Statement来对MySQL数据库进行简单的增删改查
JDBC:Java DataBase Connectivity
可以为多种关系型数据库DBMS提供统一的访问方式,用java来操作数据库。
Java程序通过JDBC来操作JDBC DriverManager 来操作数据库驱动程序(如Mysql驱动程序),进而操作数据库(如Mysql数据库)。
1、JDBC API:提供各种访问接口
三项功能:
Java程序与数据库建立连接
Java程序发送SQL语句给数据库
数据库返回处理结果给Java程序
三项功能具体通过下面类/接口实现
DriverManager:管理JDBC驱动
Connection:Java程序与数据库建立连接
Statement( PreparedStatement子类):增删改查
CallableStatement:调用数据库的存储过程/存储函数
ResultSet: 数据库返回的结果集
JDBC访问数据库的具体步骤
a.导入驱动,加载具体的驱动类
b.与数据库建立连接
c.发送SQL,执行
d.处理结果集(查询)
驱动jar
如mysql-connector-java-x.jar(其中x为具体的版本号)
具体驱动类:
如com.mysql.jdbc.Driver
连接字符串
数据库名、IP地址、端口号
如:jdbc:mysql://localhost:3306/数据库实例名
Connection产生操作数据库的对象
connection.createStatement():产生Statement
connection.prepareStatement():产生PreparedStatement
connection.prepareCall():产生CallableStatement
ResultSet: 数据库返回的结果集 select * from xxx(表名)
ResultSet rs=null;
rs.next();
1、下移
2、判断下移后的元素是否有数据
如果不为空:返回true(有数据)
如果为空:返回false(无数据)
rs.previous():
1、上移
2、判断上移后的元素是否有数据
如果不为空:返回true(有数据)
如果为空:返回false(无数据)
rs.getXXX(字段名|下标):获取rs指向行的数据
Statement操作数据库
增删改:executeUpdate(sql)
查:executeQuery(sql)
实例
在Navicat建表如图
原码如下
package JDBCDemo; import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement; public class JDBCDemo {
private static final String URL="jdbc:mysql://localhost:3306/mysql?serverTimezone=UTC&characterEncoding=utf-8";
private static final String USERNAME="root";
private static final String PWD="vayne";
public static void update()
{
Statement stmt=null;
Connection connection=null;
try { //a.导入驱动,加载具体的驱动类
Class.forName("com.mysql.cj.jdbc.Driver");
//b.与数据库建立连接
connection = DriverManager.getConnection(URL,USERNAME,PWD);
//使用Ctrl+1,快速生成值来获取Connection
//c.发送SQL,执行(增删改、查)
stmt = connection.createStatement();
//增
//String sql="insert into student values(1,'张志伟',19)";
//删
String sql="delete from student where name ='zzw'";
//改
//String sql="update student set name ='zzw' where id=1";
//执行SQL
int count=stmt.executeUpdate(sql);//返回值表示,增删改几条数据
//处理结果
if(count>0)
{
System.out.println("操作成功!!!");
} }catch(ClassNotFoundException e) {
e.printStackTrace();
}catch(SQLException e) {
e.printStackTrace();
}catch(Exception e){
e.printStackTrace();
}finally {
try {
//先开的后关,后开的先关
if(stmt!=null)stmt.close();
if(connection !=null)connection.close();
}catch(SQLException e) {
e.printStackTrace();
}finally { }
} } public static void query() {
Statement stmt=null;
Connection connection=null;
ResultSet rs=null;
try { //a.导入驱动,加载具体的驱动类
Class.forName("com.mysql.cj.jdbc.Driver");
//b.与数据库建立连接
connection = DriverManager.getConnection(URL,USERNAME,PWD);
//使用Ctrl+1,快速生成值来获取Connection
//c.发送SQL,执行(增删改、查)
stmt = connection.createStatement();
//查
//String sql="select name,age from student"; //模糊查询
String aname="x";
String sql="select * from student where name like'%"+aname+"%'";
//执行SQL,增删改是executeUpdate(sql),查是executeQuery(sql)
rs=stmt.executeQuery(sql);//返回值表示,增删改几条数据
//处理结果
while(rs.next()) {
String sname=rs.getString("name");
int sage=rs.getInt("age");
System.out.println("姓名:"+sname+"年龄"+sage);
} }catch(ClassNotFoundException e) {
e.printStackTrace();
}catch(SQLException e) {
e.printStackTrace();
}catch(Exception e){
e.printStackTrace();
}finally {
try {
//先开的后关,后开的先关
if(rs!=null)rs.close();
if(stmt!=null)stmt.close();
if(connection !=null)connection.close();
}catch(SQLException e) {
e.printStackTrace();
}finally { }
} }
public static void main(String[] args) {
//update();
query();
}
}
增和查
改和查
删和查
模糊查询
String aname="x";
String sql="select * from student where name like'%"+aname+"%'";
在表中添加如图
实现模糊查询
三、使用JDBC利用PreparedStatement来对MySQL数据库进行简单的增删改查
PreparedStatement操作数据库
因为PreparedStatement是Statement的子类
因此:
增删改:executeUpdate(sql)
查:executeQuery(sql)
赋值操作:setXXX();
实例
原码如下
package JDBCDemo; import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement; public class JDBCPrepareDemo {
private static final String URL="jdbc:mysql://localhost:3306/mysql?serverTimezone=UTC&characterEncoding=utf-8";
private static final String USERNAME="root";
private static final String PWD="vayne";
public static void update()
{
PreparedStatement pstmt=null;
Connection connection=null;
try { //a.导入驱动,加载具体的驱动类
Class.forName("com.mysql.cj.jdbc.Driver");
//b.与数据库建立连接
connection = DriverManager.getConnection(URL,USERNAME,PWD);
//使用Ctrl+1,快速生成值来获取Connection
//c.发送SQL,执行(增删改、查)
//增
//String sql="insert into student values(?,?,?)";
//删
String sql="delete from student where name ='zzw'";
//改
//String sql="update student set name ='zzw' where id=66";
//执行SQL pstmt = connection.prepareStatement(sql);//预编译
//pstmt.setInt(1, 66);
//pstmt.setString(2, "六六大顺");
//pstmt.setInt(3, 6); int count=pstmt.executeUpdate();//返回值表示,增删改几条数据
//处理结果
if(count>0)
{
System.out.println("操作成功!!!");
} }catch(ClassNotFoundException e) {
e.printStackTrace();
}catch(SQLException e) {
e.printStackTrace();
}catch(Exception e){
e.printStackTrace();
}finally {
try {
//先开的后关,后开的先关
if(pstmt!=null)pstmt.close();
if(connection !=null)connection.close();
}catch(SQLException e) {
e.printStackTrace();
}finally { }
} } public static void query() {
PreparedStatement pstmt=null;
Connection connection=null;
ResultSet rs=null;
try { //a.导入驱动,加载具体的驱动类
Class.forName("com.mysql.cj.jdbc.Driver");
//b.与数据库建立连接
connection = DriverManager.getConnection(URL,USERNAME,PWD);
//使用Ctrl+1,快速生成值来获取Connection
//c.发送SQL,执行(增删改、查)
//查
String sql="select name,age from student"; //模糊查询
//String sql="select * from student where name like ?";
//执行SQL,增删改是executeUpdate(sql),查是executeQuery(sql)
pstmt = connection.prepareStatement(sql);//预编译
//pstmt.setString(1, "%x%");
rs=pstmt.executeQuery();//返回值表示,增删改几条数据
//处理结果
while(rs.next()) {
String sname=rs.getString("name");
int sage=rs.getInt("age");
System.out.println("姓名:"+sname+"年龄"+sage);
} }catch(ClassNotFoundException e) {
e.printStackTrace();
}catch(SQLException e) {
e.printStackTrace();
}catch(Exception e){
e.printStackTrace();
}finally {
try {
//先开的后关,后开的先关
if(rs!=null)rs.close();
if(pstmt!=null)pstmt.close();
if(connection !=null)connection.close();
}catch(SQLException e) {
e.printStackTrace();
}finally { }
} }
public static void main(String[] args) {
update();
query();
}
}
增和查
改和查
删和查
模糊查询
String sql="select * from student where name like ?";//预编译
//执行SQL,增删改是executeUpdate(sql),查是executeQuery(sql)
pstmt = connection.prepareStatement(sql);
pstmt.setString(1, "%x%");
在表中添加如图
实现模糊查询
四、Statement和PreparedStatement的比较
推荐使用PreparedStatement,原因如下:
1、编码更加简便(避免了字符串拼接)
如:int id =1;String name="张志伟"
stmt:
String sql="insert into student(id,name) values("+id+",'"+name+"')";
stmt.executeupdate(sql);
pstmt:
String sql="insert into student(id,name) values(?,?)";
pstmt=connection.prepareStatement(sql);//预编译sql
pstmt.setInt(1,id);
pstmt.setString(2,name);
2、可以提高性能(因为有预编译,预编译只编译一次)
当添加n次,
stmt:sql编译n次
pstmt:sql只编译一次
3、更加安全
stmt:存在被sql注入的风险
如:用户名:任意值 ’ or 1=1 --
密码:任意值
会登录成功
select count(*) from login where uname='"+name+"' and upwd ='"+pwd+"';
进行代入检验:
select count(*) from login where uname='任意值 ’ or 1=1 --' and upwd ='任意值';
uname='任意值 ’为false
or
1=1 为true
--' and upwd ='任意值'; sql语句中--为注释,后面全是注释
所以,where的结果是true,登录成功
相当于select count(*) from login
sql注入:将客户输入的内容 和开发人员的SQL语句 混为一体
pstmt:可以防止sql注入
使用JDBC分别利用Statement和PreparedStatement来对MySQL数据库进行简单的增删改查以及SQL注入的原理的更多相关文章
- 用JDBC连接 数据库 进行简单的增删改查
JDBC为java的基础.用jdbc实现对数据库的增删改查的功能是程序员的基本要求.本例以mysql为例,首先要使用本例需要添加mysql-connector-java-5.1.7-bin.jar包. ...
- 控制台程序实现利用CRM组织服务和SqlConnection对数据库中数据的增删改查操作
一.首先新建一个控制台程序.命名为TestCol. 二.打开App.config在里面加入,数据库和CRM连接字符串 <connectionStrings> <add name=&q ...
- 关于利用PHP访问MySql数据库的逻辑操作以及增删改查实例操作
PHP访问MySql数据库 <?php //造连接对象$db = new MySQLi("localhost","root","",& ...
- 通过JDBC进行简单的增删改查
通过JDBC进行简单的增删改查(以MySQL为例) 目录 前言:什么是JDBC 一.准备工作(一):MySQL安装配置和基础学习 二.准备工作(二):下载数据库对应的jar包并导入 三.JDBC基本操 ...
- 通过JDBC进行简单的增删改查(以MySQL为例) 目录
通过JDBC进行简单的增删改查(以MySQL为例) 目录 前言:什么是JDBC 一.准备工作(一):MySQL安装配置和基础学习 二.准备工作(二):下载数据库对应的jar包并导入 三.JDBC基本操 ...
- Java通过JDBC进行简单的增删改查(以MySQL为例)
Java通过JDBC进行简单的增删改查(以MySQL为例) 目录: 前言:什么是JDBC 一.准备工作(一):MySQL安装配置和基础学习 二.准备工作(二):下载数据库对应的jar包并导入 三.JD ...
- JDBC实现最简单的增删改查
好久没写博客了,今天刚进入一家公司实习,在实习这段期间想把自己所学的东西通过博客记录下来 今天上午简单回顾了一下用JDBC实现最简单的增删改查 废话不多说,接下来就说明怎么用JDBC实现最简单的增删改 ...
- 利用Express+MySQL进行简单的增删改查
前言: 随着JavaScript语言的快速发展,其功能越来越强大,能做的事情也越来越多. 目前,web前端工程师能够利用NodeJS搭建服务,也成为了越来越多互联网公司对前端开发的硬性要求. 本文主要 ...
- 通过JDBC进行简单的增删改查(以MySQL为例)
目录 前言:什么是JDBC 一.准备工作(一):MySQL安装配置和基础学习 二.准备工作(二):下载数据库对应的jar包并导入 三.JDBC基本操作 (1)定义记录的类(可选) (2)连接的获取 ( ...
随机推荐
- python,读取txt的方法和应用
1.读取txt内的百度盘地址,循环保存到百度云中(直接访问下方地址) https://www.cnblogs.com/becks/p/11409467.html 2.读取txt内参数,循环执行查询,读 ...
- 【故障公告】SQL语句执行超时引发网站首页访问故障
非常抱歉,今天早上 6:37~8:15 期间,由于获取网站首页博文列表的 SQL 语句出现突发的查询超时问题,造成访问网站首页时出现 500 错误,由此给您带来麻烦,请您谅解. 故障的情况是这样的. ...
- 《即时消息技术剖析与实战》学习笔记10——IM系统如何应对高并发
一.IM 系统的高并发场景 IM 系统中,高并发多见于直播互动场景.比如直播间,在直播过程中,观众会给主播打赏.送礼.发送弹幕等,尤其是明星直播间,几十万.上百万人的规模一点也不稀奇.近期随着武汉新型 ...
- C语言博客作业7
本周作业头 这个作业属于那个课程 C语言程序设计II 这个作业要求在哪里 作业链接 我在这个课程的目标是 熟练运用switch语句 这个作业在那个具体方面帮助我实现目标 完成pta作业 参考文献 文章 ...
- 强大的 Python 任务自动化工具!invoke 十分钟入门指南
接着前面的<tox 教程>,以及刚翻译好的<nox文档>,我们继续聊聊 Python 任务自动化的话题. nox 的作者在去年的 Pycon US 上,做了一场题为<Br ...
- javaweb-codereview 学习记录-5
1.关于URLConnection 应用程序利用url与远程通信的所有类的超类 jdk1.8中支持的协议包括以上这些,gopher在jdk8中取消了. java中默认对(http|https)做了一些 ...
- python学习Day05--字典
[主要内容] 1. dict 用大括号{} 括起来. 内部使用key:value的形式来保存数据 {'jay':'周杰伦', "jj":'林俊杰'} 注意:字典的key必须是可哈希 ...
- ipwry源码
qqwry.ipwry都是cnss(http://blog.csdn.net/cnss/article/details/136069)出品,终于找到了源码,下载地址:http://download.c ...
- 函数调用约定_stdcall[转]
关键字 清理堆栈 参数入栈顺序 函数名称修饰(C) __cdecl 调用函数 右 à 左 _函数名 __stdcall 被调用函数 右 à 左 _函数名@数字 __fastcall 被调用函数 右 à ...
- 深入理解JVM-类加载及类加载器
深入理解JVM 2020年02月06日22:43:09 - 记录学习过程 终于开始了.在学习这个之前,看了zhanglong老师的 java 8 和springboot 迫不及待了.先开始吧. 写在前 ...