public class pr {

    public static void main(String[] args) {

        Connection conn = null;

        Statement st = null;

        ResultSet rs = null;

        try {

            // 加载驱动

//            DriverManager.registerDriver(new com.mysql.cj.jdbc.Driver());   不用这种方法加载,因为源码里面已经有static代码块加载驱动了,直接加载类进内存就行了

            Class.forName("com.mysql.cj.jdbc.Driver");

            // 连接到数据库

            conn = DriverManager.getConnection("jdbc:mysql://localhost/meiduo_mall","root","xxxxxx");

            // 创建Statement对象

            st = conn.createStatement();

            // 执行查询,得到结果集

            String sql = "select * from tb_goods_category";

            rs = st.executeQuery(sql);

            // 遍历查询每一条数据

            while (rs.next()) {

                int id = rs.getInt("id");

                String name = rs.getString("name");

                System.out.println(id + "---" + name);

            }

        } catch (Exception e) {

            e.printStackTrace();

        } finally {

            // 释放资源

            JDBCutils.release(conn,st,rs);      // 单独写一个工具类来释放资源

        }

    }

}

工具类:

public class JDBCutils {

    public static void release(Connection conn,Statement st,ResultSet rs){

        closeConn(conn);

        closeSt(st);

        closeRs(rs);

    }

    private static void closeRs(ResultSet rs){

        try {

            if (rs != null){

                rs.close();

            }

        } catch (SQLException e) {

            e.printStackTrace();

        } finally {

            rs = null;

        }

    }

    public static void closeSt(Statement st){

        try {

            if (st != null){

                st.close();

            }

        } catch (SQLException e) {

            e.printStackTrace();

        } finally {

            st = null;

        }

    }

    public static void closeConn(Connection conn){

        try {

            if (conn != null){

                conn.close();

            }

        } catch (SQLException e) {

            e.printStackTrace();

        } finally {

            conn = null;

        }

    }

    }

上面的方法会有SQL注入的隐患。

解决方法:用PreparedStatement对象替换前面的Statement对象。PreparedStatement对象可以预先处理给定的SQL语句,在sql语句里面使用?占位符来替代后续要传递进来的变量。后面进来的变量值,将会被看成是字符串,不会产生任何的关键字。

public class pr2 {

    public static void main(String[] args) {

        Connection conn = null;

        PreparedStatement ps = null;

        ResultSet rs = null;

        try {

            Class.forName("com.mysql.cj.jdbc.Driver");

            // 连接到数据库

            conn = DriverManager.getConnection("jdbc:mysql://localhost/meiduo_mall","root","480916");

            // 创建Statement对象

            String sql = "select * from tb_goods_category where id=?";

            ps = conn.prepareStatement(sql);

            ps.setInt(1,1);

            // 执行查询,得到结果集

            rs = ps.executeQuery();

//             遍历查询每一条数据

            while (rs.next()) {

                int id = rs.getInt("id");

                String name = rs.getString("name");

                System.out.println(id + "---" + name);

            }

        } catch (Exception e) {

            e.printStackTrace();

        } finally {

            // 释放资源

            JDBCutils.release(conn,ps,rs);      // 单独写一个工具类来释放资源

        }

    }

}

jdbc操作数据库以及防止sql注入的更多相关文章

  1. jdbc mysql crud dao模型 sql注入漏洞 jdbc 操作大文件

    day17总结 今日内容 l JDBC 1.1 上次课内容总结 SQL语句: 1.外键约束:foreign key * 维护多个表关系! * 用来保证数据完整性! 2.三种关系: * 一对多: * 一 ...

  2. 用于JDBC操作数据库的公共类

    /* * @(#)CommonSql.java 2011-9-5 * * Copyright 2011 Bianjing,All rights reserved. */ import java.sql ...

  3. JDBC中的PreparedStatement-防止SQL注入攻击

    在JDBC对数据库进行操作的时候,SQL注入是一种常见的针对数据库的注入攻击方式.如下面的代码所演示,在我们的提交字段中掺入了SQL语句,会使得程序的登录校验失效: package org.lyk.m ...

  4. Spring入门(十五):使用Spring JDBC操作数据库

    在本系列的之前博客中,我们从没有讲解过操作数据库的方法,但是在实际的工作中,几乎所有的系统都离不开数据的持久化,所以掌握操作数据库的使用方法就非常重要. 在Spring中,操作数据库有很多种方法,我们 ...

  5. JDBC操作数据库的学习(2)

    在上一篇博客<JDBC操作数据库的学习(1)>中通过对例1,我们已经学习了一个Java应用如何在程序中通过JDBC操作数据库的步骤流程,当然我们也说过这样的例子是无法在实际开发中使用的,本 ...

  6. JDBC操作数据库的学习(1)

    单单对数据库的操作,比如说MySQL,我们可以在命令行窗口中执行,但是一般是应用程序要操作数据库,因此我们应该在程序中的代码上体现对数据库的操作,那么使用程序应用如何操作数据库呢?那就要使用到数据库的 ...

  7. 通过MyEclipse工具直接操作数据库,执行sql语句,方便快捷

    原文:通过MyEclipse工具直接操作数据库,执行sql语句,方便快捷 通过MyEclipse操作数据库,执行sql语句使我们不用切换多个工具,直接工作,方便快捷.效果如下: 步骤1:通过MyEcl ...

  8. JDBC操作数据库的三种方式比较

    JDBC(java Database Connectivity)java数据库连接,是一种用于执行上sql语句的javaAPI,可以为多种关系型数据库提供统一访问接口.我们项目中经常用到的MySQL. ...

  9. Spark Streaming通过JDBC操作数据库

    本文记录了学习使用Spark Streaming通过JDBC操作数据库的过程,源数据从Kafka中读取. Kafka从0.10版本提供了一种新的消费者API,和0.8不同,因此Spark Stream ...

随机推荐

  1. POJ2826:An Easy Problem?!——题解(配特殊情况图)

    http://poj.org/problem?id=2826 题目大意:给两条线,让它接竖直下的雨,问其能装多少横截面积的雨. ———————————————————————————— 水题,看题目即 ...

  2. poj3177 BZOJ1718 Redundant Paths

    Description: 有F个牧场,1<=F<=5000,现在一个牧群经常需要从一个牧场迁移到另一个牧场.奶牛们已经厌烦老是走同一条路,所以有必要再新修几条路,这样它们从一个牧场迁移到另 ...

  3. 四连测Day2

    题目:链接: https://pan.baidu.com/s/1ef_9hGBhczW0B4dz5IUKmw 密码: qgjy T1: hash后直接二分查询即可 #include<iostre ...

  4. 根据银行卡号码获取银行卡归属行以及logo图标

    根据银行卡号码获取银行卡归属地信息接口地址,get请求 https://ccdcapi.alipay.com/validateAndCacheCardInfo.json?_input_charset= ...

  5. ContextLoaderListener和Spring MVC中的DispatcherServlet加载内容的区别【转】

    原文地址:https://blog.csdn.net/py_xin/article/details/52052627 ContextLoaderListener和DispatcherServlet都会 ...

  6. springmvc不通过controller进行页面跳转

    1.controller 继承WebMvcConfigureAdapter 然后使用ViewControllerRegistry  来进行跳转

  7. 第一篇 关于Android Studio的快捷键

    公司最近要培训Android的课程,但是发现现在官方网站上已经不提供了Eclipse ADT的下载了,都变成了Android Studio,可能是悲催了! 对于很多Eclipse转过来的同学,不适应的 ...

  8. frame外弹出,刷新父页面

    //刷新父页面 function reflashParent() { var id = parent.tabbar.getActiveTab(); id = id.replace('tab','mai ...

  9. Spring Web 项目Junit测试报错问题

    测试对象是Web项目的Service类,参照网上查到的资料,按如下方式执行时报错, //使用junit4进行单元测试 @RunWith(SpringJUnit4ClassRunner.class) / ...

  10. JAVA中3种将byte转换为String的方法

    HttpClient 类库中GetMethod类的getResponseBody方法返回的是byte[]类型,要操作起来不方便,我想把它转化成String类型. 查了网上的资料,有说法认为用这种方法比 ...