public class pr {

    public static void main(String[] args) {

        Connection conn = null;

        Statement st = null;

        ResultSet rs = null;

        try {

            // 加载驱动

//            DriverManager.registerDriver(new com.mysql.cj.jdbc.Driver());   不用这种方法加载,因为源码里面已经有static代码块加载驱动了,直接加载类进内存就行了

            Class.forName("com.mysql.cj.jdbc.Driver");

            // 连接到数据库

            conn = DriverManager.getConnection("jdbc:mysql://localhost/meiduo_mall","root","xxxxxx");

            // 创建Statement对象

            st = conn.createStatement();

            // 执行查询,得到结果集

            String sql = "select * from tb_goods_category";

            rs = st.executeQuery(sql);

            // 遍历查询每一条数据

            while (rs.next()) {

                int id = rs.getInt("id");

                String name = rs.getString("name");

                System.out.println(id + "---" + name);

            }

        } catch (Exception e) {

            e.printStackTrace();

        } finally {

            // 释放资源

            JDBCutils.release(conn,st,rs);      // 单独写一个工具类来释放资源

        }

    }

}

工具类:

public class JDBCutils {

    public static void release(Connection conn,Statement st,ResultSet rs){

        closeConn(conn);

        closeSt(st);

        closeRs(rs);

    }

    private static void closeRs(ResultSet rs){

        try {

            if (rs != null){

                rs.close();

            }

        } catch (SQLException e) {

            e.printStackTrace();

        } finally {

            rs = null;

        }

    }

    public static void closeSt(Statement st){

        try {

            if (st != null){

                st.close();

            }

        } catch (SQLException e) {

            e.printStackTrace();

        } finally {

            st = null;

        }

    }

    public static void closeConn(Connection conn){

        try {

            if (conn != null){

                conn.close();

            }

        } catch (SQLException e) {

            e.printStackTrace();

        } finally {

            conn = null;

        }

    }

    }

上面的方法会有SQL注入的隐患。

解决方法:用PreparedStatement对象替换前面的Statement对象。PreparedStatement对象可以预先处理给定的SQL语句,在sql语句里面使用?占位符来替代后续要传递进来的变量。后面进来的变量值,将会被看成是字符串,不会产生任何的关键字。

public class pr2 {

    public static void main(String[] args) {

        Connection conn = null;

        PreparedStatement ps = null;

        ResultSet rs = null;

        try {

            Class.forName("com.mysql.cj.jdbc.Driver");

            // 连接到数据库

            conn = DriverManager.getConnection("jdbc:mysql://localhost/meiduo_mall","root","480916");

            // 创建Statement对象

            String sql = "select * from tb_goods_category where id=?";

            ps = conn.prepareStatement(sql);

            ps.setInt(1,1);

            // 执行查询,得到结果集

            rs = ps.executeQuery();

//             遍历查询每一条数据

            while (rs.next()) {

                int id = rs.getInt("id");

                String name = rs.getString("name");

                System.out.println(id + "---" + name);

            }

        } catch (Exception e) {

            e.printStackTrace();

        } finally {

            // 释放资源

            JDBCutils.release(conn,ps,rs);      // 单独写一个工具类来释放资源

        }

    }

}

jdbc操作数据库以及防止sql注入的更多相关文章

  1. jdbc mysql crud dao模型 sql注入漏洞 jdbc 操作大文件

    day17总结 今日内容 l JDBC 1.1 上次课内容总结 SQL语句: 1.外键约束:foreign key * 维护多个表关系! * 用来保证数据完整性! 2.三种关系: * 一对多: * 一 ...

  2. 用于JDBC操作数据库的公共类

    /* * @(#)CommonSql.java 2011-9-5 * * Copyright 2011 Bianjing,All rights reserved. */ import java.sql ...

  3. JDBC中的PreparedStatement-防止SQL注入攻击

    在JDBC对数据库进行操作的时候,SQL注入是一种常见的针对数据库的注入攻击方式.如下面的代码所演示,在我们的提交字段中掺入了SQL语句,会使得程序的登录校验失效: package org.lyk.m ...

  4. Spring入门(十五):使用Spring JDBC操作数据库

    在本系列的之前博客中,我们从没有讲解过操作数据库的方法,但是在实际的工作中,几乎所有的系统都离不开数据的持久化,所以掌握操作数据库的使用方法就非常重要. 在Spring中,操作数据库有很多种方法,我们 ...

  5. JDBC操作数据库的学习(2)

    在上一篇博客<JDBC操作数据库的学习(1)>中通过对例1,我们已经学习了一个Java应用如何在程序中通过JDBC操作数据库的步骤流程,当然我们也说过这样的例子是无法在实际开发中使用的,本 ...

  6. JDBC操作数据库的学习(1)

    单单对数据库的操作,比如说MySQL,我们可以在命令行窗口中执行,但是一般是应用程序要操作数据库,因此我们应该在程序中的代码上体现对数据库的操作,那么使用程序应用如何操作数据库呢?那就要使用到数据库的 ...

  7. 通过MyEclipse工具直接操作数据库,执行sql语句,方便快捷

    原文:通过MyEclipse工具直接操作数据库,执行sql语句,方便快捷 通过MyEclipse操作数据库,执行sql语句使我们不用切换多个工具,直接工作,方便快捷.效果如下: 步骤1:通过MyEcl ...

  8. JDBC操作数据库的三种方式比较

    JDBC(java Database Connectivity)java数据库连接,是一种用于执行上sql语句的javaAPI,可以为多种关系型数据库提供统一访问接口.我们项目中经常用到的MySQL. ...

  9. Spark Streaming通过JDBC操作数据库

    本文记录了学习使用Spark Streaming通过JDBC操作数据库的过程,源数据从Kafka中读取. Kafka从0.10版本提供了一种新的消费者API,和0.8不同,因此Spark Stream ...

随机推荐

  1. HDU3157:Crazy Circuits——题解

    http://acm.hdu.edu.cn/showproblem.php?pid=3157 题目大意:给一个电路 ,起点为+,终点为-,包括起点终点在内的电元件之间有有下界边,求最小流. ————— ...

  2. 51NOD 1934:受限制的排列——题解

    http://www.51nod.com/onlineJudge/questionCode.html#!problemId=1934 听说会笛卡尔树的人这题都秒了啊…… 参考:https://blog ...

  3. HDOJ(HDU).2159 FATE (DP 带个数限制的完全背包)

    HDOJ(HDU).2159 FATE (DP 带个数限制的完全背包) 题意分析 与普通的完全背包大同小异,区别就在于多了一个个数限制,那么在普通的完全背包的基础上,增加一维,表示个数.同时for循环 ...

  4. 2 Advanced Read/Write Splitting with PHP’s MySQLnd

    原文地址需FQ才能看  https://blog.engineyard.com/2014/advanced-read-write-splitting-with-phps-mysqlnd In part ...

  5. redux的bindActionCreators

    bindActionCreators是redux的一个API,作用是将单个或多个ActionCreator转化为dispatch(action)的函数集合形式. 开发者不用再手动dispatch(ac ...

  6. ubuntu server安装kvm

    参考资料: 1. https://help.ubuntu.com/community/KVM 2.http://wiki.ubuntu.org.cn/Kvm%E6%95%99%E7%A8%8B 3.h ...

  7. ACM2112迪克斯特算法

    HDU Today Problem Description 经过锦囊相助,海东集团终于度过了危机,从此,HDU的发展就一直顺风顺水,到了2050年,集团已经相当规模了,据说进入了钱江肉丝经济开发区50 ...

  8. tomcat 访问400 的一种情况

    tomcat 高版本对访问url做了较高的校验,如果url中包含特殊字符,tomcat会自动拦截,返回400错误.如果要包含特殊字符,需要事先进行转译. 我原来用的apache-tomcat-6.0. ...

  9. eclipse中编写代码时如何自动提示变量名?

    打开 Eclipse  -> Window -> Perferences -> Java -> Editor -> Content Assist,在右边最下面一栏找到 a ...

  10. 再续前缘-apache.commons.beanutils的补充

    title: 再续前缘-apache.commons.beanutils的补充 toc: true date: 2016-05-32 02:29:32 categories: 实在技巧 tags: 插 ...