一、使用PreparedStatement预编译语句防止SQL注入

什么是SQL注入?

所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。

举个例子:假如我们登录时执行的SQL语句为:select *from user where username='USERNAME' and password='PASSWORD';

但是我们可以把USERNAME填写为"tom';-- ",(注意--后有空格),PASSWORD随便写(假设这里写123),这样SQL语句就成了select *from user where username='tom';-- ' and password='123';

"-- "后的内容就被注释掉,现在就算密码不正确也能查询到相应的结果。利用SQL注入可以实现数据的盗取

在Java中使用PreparedStatement类防止SQL注入

防SQL注入的方法有很多,使用预编译语句是一种简单有效的方式

下面介绍如何使用这种方式来操作数据库

我已经在本地数据库mydb中创建了一个user表,并在表中插入数据

现在我们使用字符串拼接的方式来构造一个SQL语句,并在mysql客户端执行此SQL语句,结果如下:

通过图中我们发现这种方式SQL注入成功

下面使用预编译SQL语句的方式来执行此SQL语句

	 String url = "jdbc:mysql://localhost:3306/mydb";

 	 String user = "root";

	 String password = "root";

 	 String username = "杜若' or 1=1; -- ";  //'-- ' 是sql中的注释符号(注意后面的空格)

	 String pwd = "000";

	Class.forName("com.mysql.jdbc.Driver");

	Connection  connection  = DriverManager.getConnection(url,user,password);

	 //构造sql语句

	String sql = "select *from user where username=? and pwd =?";

	PreparedStatement pstmt = connection.prepareStatement(sql);

	pstmt.setString(1, username);

	pstmt.setString(2, pwd);

	ResultSet rs = pstmt.executeQuery();

	if(rs.next()){

		do{

			String username = rs.getString(2);

			String pwd = rs.getString(3);

			System.out.println(username+":"+pwd);

		}while(rs.next());

	}else{

		System.out.println("未查到相应的结果");

	}

	if(rs!=null){

		rs.close();

	}

	if(pstmt!=null){

		pstmt.close();

	}

	if(connection!=null){

		connection.close();

	}

测试运行之后的结果

这样已经达到了防SQL注入的目的

那为什么它这样处理就能预防SQL注入提高安全性呢?其实是因为SQL语句在程序运行前已经进行了预编译,在程序运行时第一次操作数据库之前,SQL语句已经被数据库分析,编译和优化,对应的执行计划也会缓存下来并允许数据库已参数化的形式进行查询,当运行时动态地把参数传给PreprareStatement时,即使参数里有敏感字符如 or '1=1'也数据库会作为一个参数一个字段的属性值来处理而不会作为一个SQL指令

二,获取插入自增长值

有时候在插入一条记录的时候,我们需要获取插入这条数据的自增长值,以便在其他地方使用

直接上代码

//获取插入自增长

public class Demo1 {

	private String user="root";

	private String password="root";

	private String url="jdbc:mysql://localhost:3306/mydb";

	@Test

	public void test1() throws Exception{

		Class.forName("com.mysql.jdbc.Driver");

		Connection connection = DriverManager.getConnection(url, user, password);

		String sql = "insert into user(username,pwd) values(?,?)";

		//第二个参数是Statement类中的一个常量,指示是否应该返回自动生成的键的标志

		PreparedStatement pstmt = connection.prepareStatement(sql,Statement.RETURN_GENERATED_KEYS);

		pstmt.setString(1, "mary");

		pstmt.setString(2, "123456");

		pstmt.executeUpdate();

		ResultSet rs = pstmt.getGeneratedKeys();

		if(rs.next()){

			int key = rs.getInt(1);

			System.out.println(key);

		}

		if(rs!=null){

			rs.close();

		}

		if(pstmt!=null){

			pstmt.close();

		}

		if(connection!=null){

			connection.close();

		}

	}

}

三,批处理执行

有时候需要向数据库发送一批SQL语句执行,这时应避免向数据库一条条的发送执行,而应采用JDBC的批处理机制,以提升执行效率。

无论使用Statement对象还是使用PreparedStatement对象都可以实现

这里介绍使用PreparedStatement来实现的方式

  1. 获取PreparedStatement对象
  2. 设置每条批处理的参数
  3. 将一组参数添加到批处理命令中

下面上实例代码

public class Demo1 {

	private String user="root";

	private String password="root";

	private String url="jdbc:mysql://localhost:3306/mydb";

	@Test

	public void test1() throws Exception{

		List<User> list = new ArrayList<User>();

		for(int i = 0;i < 10;i++){

			User user = new User();

			user.setUsername("albee"+i);

			user.setPwd("123456");

			list.add(user);

		}

		sava(list);

	}

	public void sava(List<User> l) throws Exception{

		Class.forName("com.mysql.jdbc.Driver");

		Connection connection = DriverManager.getConnection(url, user, password);

		String sql = "insert into user(username,pwd) values(?,?)";

		PreparedStatement pstmt = connection.prepareStatement(sql);

		for(int i = 0;i<l.size();i++){

			pstmt.setString(1, l.get(i).getUsername());

			pstmt.setString(2, l.get(i).getPwd());

			pstmt.addBatch();

			// 每到五条就执行一次对象集合中的批处理命令,

			if(i%5==0){

				pstmt.executeBatch();

				pstmt.clearBatch();

			}

		}

		// 不足五条也要执行一次

		pstmt.executeBatch();

		pstmt.clearBatch();

		if(pstmt!=null){

			pstmt.close();

		}

		if(connection!=null){

			connection.close();

		}

	}

}

四,事务的操作

有时候我们需要完成一组数据库操作,这其中的操作有一个失败则整个操作就回滚,即组成事务的每一个操作都执行成功整个事务才算成功执行

常见的例子就是银行转帐业务

update account set money=money-1000 where accountName='张三';

update account set money=money+1000 where accountName='李四';

已经在mydb中创建了account表,包含accountName和money字段,并插入了两条记录

实例代码:

// 使用事务

	@Test

	public void test2(){

		String url = "jdbc:mysql://localhost:3306/mydb";

 	 	String user = "root";

	 	String password = "root";

		try {

			Class.forName("com.mysql.jdbc.Driver");

			connection = DriverManager.getConnection(url,user,password);

			connection.setAutoCommit(false);  //设置事务为手动提交

			String sql_zs = "update account set money=money-1000 where accountName='张三'";

			String sql_ls = "update account set money=money+1000 where accountName='李四'";

			pstmt = connection.prepareStatement(sql_ls);

			int count_ls = pstmt.executeUpdate();

			pstmt = connection.prepareStatement(sql_zs);

			int count_zs = pstmt.executeUpdate();

		}catch (Exception e) {

			e.printStackTrace();

			try {

				connection.rollback();

			} catch (Exception e2) {

				e2.printStackTrace();

			}

		} finally {

			try {

				connection.commit();

			} catch (SQLException e1) {

				e1.printStackTrace();

			}

			if(pstmt!=null){

				try {

					pstmt.close();

				} catch (SQLException e) {

					e.printStackTrace();

				}

			}

			if(connection!=null){

				try {

					connection.close();

				} catch (SQLException e) {

					e.printStackTrace();

				}

			}

		}

	}

如果事务执行成功

执行前和执行后表的变动

JDBC加强的更多相关文章

  1. Java数据库连接技术——JDBC

    大家好,今天我们学习了Java如何连接数据库.之前学过.net语言的数据库操作,感觉就是一通百通,大同小异. JDBC是Java数据库连接技术的简称,提供连接各种常用数据库的能力. JDBC API ...

  2. 玩转spring boot——结合AngularJs和JDBC

    参考官方例子:http://spring.io/guides/gs/relational-data-access/ 一.项目准备 在建立mysql数据库后新建表“t_order” ; -- ----- ...

  3. [原创]java使用JDBC向MySQL数据库批次插入10W条数据测试效率

    使用JDBC连接MySQL数据库进行数据插入的时候,特别是大批量数据连续插入(100000),如何提高效率呢?在JDBC编程接口中Statement 有两个方法特别值得注意:通过使用addBatch( ...

  4. JDBC MySQL 多表关联查询查询

    public static void main(String[] args) throws Exception{ Class.forName("com.mysql.jdbc.Driver&q ...

  5. JDBC增加删除修改

    一.配置程序--让我们程序能找到数据库的驱动jar包 1.把.jar文件复制到项目中去,整合的时候方便. 2.在eclipse项目右击"构建路径"--"配置构建路径&qu ...

  6. JDBC简介

    jdbc连接数据库的四个对象 DriverManager  驱动类   DriverManager.registerDriver(new com.mysql.jdbc.Driver());不建议使用 ...

  7. JDBC Tutorials: Commit or Rollback transaction in finally block

    http://skeletoncoder.blogspot.com/2006/10/jdbc-tutorials-commit-or-rollback.html JDBC Tutorials: Com ...

  8. FineReport如何用JDBC连接阿里云ADS数据库

    在使用FineReport连接阿里云的ADS(AnalyticDB)数据库,很多时候在测试连接时就失败了.此时,该如何连接ADS数据库呢? 我们只需要手动将连接ads数据库需要使用到的jar放置到%F ...

  9. JDBC基础

    今天看了看JDBC(Java DataBase Connectivity)总结一下 关于JDBC 加载JDBC驱动 建立数据库连接 创建一个Statement或者PreparedStatement 获 ...

  10. Spring学习记录(十四)---JDBC基本操作

    先看一些定义: 在Spring JDBC模块中,所有的类可以被分到四个单独的包:1.core即核心包,它包含了JDBC的核心功能.此包内有很多重要的类,包括:JdbcTemplate类.SimpleJ ...

随机推荐

  1. Servlet中分发器和重定向两兄弟

    注:图片如果损坏,点击文章链接:https://www.toutiao.com/i6513702111698485767/ 弄清这个两兄弟,我们还是从练习中去理解 先创建一个数据提交页面,注意路径 编 ...

  2. 如何让 Hexo 在服务器稳定运行

    声明 本文地址:如何让 Hexo 在服务器稳定运行 背景 博客系统终于又搭建起来了(好一个又),但是每隔一段时间去访问自己的网站总是访问不到,去服务器查询 ps aux | grep hexo,发现 ...

  3. Web开发之response

    Web服务器收到客户端的http请求,会针对每一次请求,分别创建一个用于代表请求的request对象.和代表响应的response对象. 我们要获取客户机提交过来的数据,只需要找request对象就行 ...

  4. hdfs文件导入到hive(带资源)

    前言 hive是基于Hadoop的一个数据仓库工具,用来进行数据提取.转化.加载,这是一种可以存储.查询和分析存储在Hadoop中的大规模数据的机制.hive数据仓库工具能将结构化的数据文件映射为一张 ...

  5. dubbo 实现简易分布式服务

    dubbo 实现简易分布式服务 服务器需要搭建zookeeper环境 zookeeper端口2181 还需要有java环境 1.需求 某个电商系统,订单服务需要调用用户服务获取某个用户的所有地址: 我 ...

  6. 面试突击17:HashMap除了死循环还有什么问题?

    面试合集:https://gitee.com/mydb/interview 本篇的这个问题是一个开放性问题,HashMap 除了死循环之外,还有其他什么问题?总体来说 HashMap 的所有" ...

  7. 网络流 HLPP 板子

    #include<bits/stdc++.h> using namespace std; const int MM=4e5+5,inf=0x3f3f3f3f; int n,m,s,t,to ...

  8. golang中使用switch语句根据年月计算天数

    package main import "fmt" func main() { days := CalcDaysFromYearMonth(2021, 9) fmt.Println ...

  9. HTML 页面的动态线条背景-三岁

    保存一个自己正在用的背景 会跟随鼠标变换的动态线条 以免后面还得找 挺好看的 效果图: 代码如下: <script type="text/javascript" color= ...

  10. linux 常用命令。

    /* Linux常用命令? 1 查看 ls             展示当前目录下的可见文件   ls -a         展示当前目录下所有的文件(包括隐藏的文件)   ls -l(ll)     ...