一、使用PreparedStatement预编译语句防止SQL注入

什么是SQL注入?

所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。

举个例子:假如我们登录时执行的SQL语句为:select *from user where username='USERNAME' and password='PASSWORD';

但是我们可以把USERNAME填写为"tom';-- ",(注意--后有空格),PASSWORD随便写(假设这里写123),这样SQL语句就成了select *from user where username='tom';-- ' and password='123';

"-- "后的内容就被注释掉,现在就算密码不正确也能查询到相应的结果。利用SQL注入可以实现数据的盗取

在Java中使用PreparedStatement类防止SQL注入

防SQL注入的方法有很多,使用预编译语句是一种简单有效的方式

下面介绍如何使用这种方式来操作数据库

我已经在本地数据库mydb中创建了一个user表,并在表中插入数据

现在我们使用字符串拼接的方式来构造一个SQL语句,并在mysql客户端执行此SQL语句,结果如下:

通过图中我们发现这种方式SQL注入成功

下面使用预编译SQL语句的方式来执行此SQL语句

	 String url = "jdbc:mysql://localhost:3306/mydb";

 	 String user = "root";

	 String password = "root";

 	 String username = "杜若' or 1=1; -- ";  //'-- ' 是sql中的注释符号(注意后面的空格)

	 String pwd = "000";

	Class.forName("com.mysql.jdbc.Driver");

	Connection  connection  = DriverManager.getConnection(url,user,password);

	 //构造sql语句

	String sql = "select *from user where username=? and pwd =?";

	PreparedStatement pstmt = connection.prepareStatement(sql);

	pstmt.setString(1, username);

	pstmt.setString(2, pwd);

	ResultSet rs = pstmt.executeQuery();

	if(rs.next()){

		do{

			String username = rs.getString(2);

			String pwd = rs.getString(3);

			System.out.println(username+":"+pwd);

		}while(rs.next());

	}else{

		System.out.println("未查到相应的结果");

	}

	if(rs!=null){

		rs.close();

	}

	if(pstmt!=null){

		pstmt.close();

	}

	if(connection!=null){

		connection.close();

	}

测试运行之后的结果

这样已经达到了防SQL注入的目的

那为什么它这样处理就能预防SQL注入提高安全性呢?其实是因为SQL语句在程序运行前已经进行了预编译,在程序运行时第一次操作数据库之前,SQL语句已经被数据库分析,编译和优化,对应的执行计划也会缓存下来并允许数据库已参数化的形式进行查询,当运行时动态地把参数传给PreprareStatement时,即使参数里有敏感字符如 or '1=1'也数据库会作为一个参数一个字段的属性值来处理而不会作为一个SQL指令

二,获取插入自增长值

有时候在插入一条记录的时候,我们需要获取插入这条数据的自增长值,以便在其他地方使用

直接上代码

//获取插入自增长

public class Demo1 {

	private String user="root";

	private String password="root";

	private String url="jdbc:mysql://localhost:3306/mydb";

	@Test

	public void test1() throws Exception{

		Class.forName("com.mysql.jdbc.Driver");

		Connection connection = DriverManager.getConnection(url, user, password);

		String sql = "insert into user(username,pwd) values(?,?)";

		//第二个参数是Statement类中的一个常量,指示是否应该返回自动生成的键的标志

		PreparedStatement pstmt = connection.prepareStatement(sql,Statement.RETURN_GENERATED_KEYS);

		pstmt.setString(1, "mary");

		pstmt.setString(2, "123456");

		pstmt.executeUpdate();

		ResultSet rs = pstmt.getGeneratedKeys();

		if(rs.next()){

			int key = rs.getInt(1);

			System.out.println(key);

		}

		if(rs!=null){

			rs.close();

		}

		if(pstmt!=null){

			pstmt.close();

		}

		if(connection!=null){

			connection.close();

		}

	}

}

三,批处理执行

有时候需要向数据库发送一批SQL语句执行,这时应避免向数据库一条条的发送执行,而应采用JDBC的批处理机制,以提升执行效率。

无论使用Statement对象还是使用PreparedStatement对象都可以实现

这里介绍使用PreparedStatement来实现的方式

  1. 获取PreparedStatement对象
  2. 设置每条批处理的参数
  3. 将一组参数添加到批处理命令中

下面上实例代码

public class Demo1 {

	private String user="root";

	private String password="root";

	private String url="jdbc:mysql://localhost:3306/mydb";

	@Test

	public void test1() throws Exception{

		List<User> list = new ArrayList<User>();

		for(int i = 0;i < 10;i++){

			User user = new User();

			user.setUsername("albee"+i);

			user.setPwd("123456");

			list.add(user);

		}

		sava(list);

	}

	public void sava(List<User> l) throws Exception{

		Class.forName("com.mysql.jdbc.Driver");

		Connection connection = DriverManager.getConnection(url, user, password);

		String sql = "insert into user(username,pwd) values(?,?)";

		PreparedStatement pstmt = connection.prepareStatement(sql);

		for(int i = 0;i<l.size();i++){

			pstmt.setString(1, l.get(i).getUsername());

			pstmt.setString(2, l.get(i).getPwd());

			pstmt.addBatch();

			// 每到五条就执行一次对象集合中的批处理命令,

			if(i%5==0){

				pstmt.executeBatch();

				pstmt.clearBatch();

			}

		}

		// 不足五条也要执行一次

		pstmt.executeBatch();

		pstmt.clearBatch();

		if(pstmt!=null){

			pstmt.close();

		}

		if(connection!=null){

			connection.close();

		}

	}

}

四,事务的操作

有时候我们需要完成一组数据库操作,这其中的操作有一个失败则整个操作就回滚,即组成事务的每一个操作都执行成功整个事务才算成功执行

常见的例子就是银行转帐业务

update account set money=money-1000 where accountName='张三';

update account set money=money+1000 where accountName='李四';

已经在mydb中创建了account表,包含accountName和money字段,并插入了两条记录

实例代码:

// 使用事务

	@Test

	public void test2(){

		String url = "jdbc:mysql://localhost:3306/mydb";

 	 	String user = "root";

	 	String password = "root";

		try {

			Class.forName("com.mysql.jdbc.Driver");

			connection = DriverManager.getConnection(url,user,password);

			connection.setAutoCommit(false);  //设置事务为手动提交

			String sql_zs = "update account set money=money-1000 where accountName='张三'";

			String sql_ls = "update account set money=money+1000 where accountName='李四'";

			pstmt = connection.prepareStatement(sql_ls);

			int count_ls = pstmt.executeUpdate();

			pstmt = connection.prepareStatement(sql_zs);

			int count_zs = pstmt.executeUpdate();

		}catch (Exception e) {

			e.printStackTrace();

			try {

				connection.rollback();

			} catch (Exception e2) {

				e2.printStackTrace();

			}

		} finally {

			try {

				connection.commit();

			} catch (SQLException e1) {

				e1.printStackTrace();

			}

			if(pstmt!=null){

				try {

					pstmt.close();

				} catch (SQLException e) {

					e.printStackTrace();

				}

			}

			if(connection!=null){

				try {

					connection.close();

				} catch (SQLException e) {

					e.printStackTrace();

				}

			}

		}

	}

如果事务执行成功

执行前和执行后表的变动

JDBC加强的更多相关文章

  1. Java数据库连接技术——JDBC

    大家好,今天我们学习了Java如何连接数据库.之前学过.net语言的数据库操作,感觉就是一通百通,大同小异. JDBC是Java数据库连接技术的简称,提供连接各种常用数据库的能力. JDBC API ...

  2. 玩转spring boot——结合AngularJs和JDBC

    参考官方例子:http://spring.io/guides/gs/relational-data-access/ 一.项目准备 在建立mysql数据库后新建表“t_order” ; -- ----- ...

  3. [原创]java使用JDBC向MySQL数据库批次插入10W条数据测试效率

    使用JDBC连接MySQL数据库进行数据插入的时候,特别是大批量数据连续插入(100000),如何提高效率呢?在JDBC编程接口中Statement 有两个方法特别值得注意:通过使用addBatch( ...

  4. JDBC MySQL 多表关联查询查询

    public static void main(String[] args) throws Exception{ Class.forName("com.mysql.jdbc.Driver&q ...

  5. JDBC增加删除修改

    一.配置程序--让我们程序能找到数据库的驱动jar包 1.把.jar文件复制到项目中去,整合的时候方便. 2.在eclipse项目右击"构建路径"--"配置构建路径&qu ...

  6. JDBC简介

    jdbc连接数据库的四个对象 DriverManager  驱动类   DriverManager.registerDriver(new com.mysql.jdbc.Driver());不建议使用 ...

  7. JDBC Tutorials: Commit or Rollback transaction in finally block

    http://skeletoncoder.blogspot.com/2006/10/jdbc-tutorials-commit-or-rollback.html JDBC Tutorials: Com ...

  8. FineReport如何用JDBC连接阿里云ADS数据库

    在使用FineReport连接阿里云的ADS(AnalyticDB)数据库,很多时候在测试连接时就失败了.此时,该如何连接ADS数据库呢? 我们只需要手动将连接ads数据库需要使用到的jar放置到%F ...

  9. JDBC基础

    今天看了看JDBC(Java DataBase Connectivity)总结一下 关于JDBC 加载JDBC驱动 建立数据库连接 创建一个Statement或者PreparedStatement 获 ...

  10. Spring学习记录(十四)---JDBC基本操作

    先看一些定义: 在Spring JDBC模块中,所有的类可以被分到四个单独的包:1.core即核心包,它包含了JDBC的核心功能.此包内有很多重要的类,包括:JdbcTemplate类.SimpleJ ...

随机推荐

  1. Docker_容器(container)使用(4)

    参数说明 -i: 交互式操作. -t: 终端. -d: 指定容器运行模式. --name:指定容器的NAMES字段名称,不指定则随机生成名称 --restart:容器启动策略.默认为no,常用为alw ...

  2. sql优化--尽可能少用like

    1.前言 like非常消耗性能,当搜索 like '%%' 的时候,仍然会对比全表信息后查找相关的数据, 2.如何优化? 使用动态标签 <if test="nickName != '% ...

  3. xshell 6 的使用

    1.前言 xshell是用来远程控制云服务器的linux系统的软件,装载window系统里面,可以向发送linux指令, 需要的关键信息:该系统设备的公网ip, 用户名 ,密码 2.软件下载 官网地址 ...

  4. 服务性能监控之Micrometer详解

    Micrometer 为基于 JVM 的应用程序的性能监测数据收集提供了一个通用的 API,支持多种度量指标类型,这些指标可以用于观察.警报以及对应用程序当前状态做出响应. 通过添加如下依赖可以将 M ...

  5. GDB基础知识

    GDB 基础知识 GDB 基础知识 一.简介 支持命令补全功能 GDB 的调用与退出 二.GDB 的基本指令 1. run/r 2. break/b 3. info breakpoints 4. de ...

  6. test_5 排序‘+’、‘-’

    题目是:有一组"+"和"-"符号,要求将"+"排到左边,"-"排到右边,写出具体的实现方法. 方法一: l=['-', ...

  7. VS IDE之xml过大报错

    语料处理时遇到这个错误 在命令行中输入 $vsWherePath = Join-Path ${env:ProgramFiles(x86)} "Microsoft Visual Studio\ ...

  8. 使用 Kubeadm+Containerd 部署一个 Kubernetes 集群

    本文独立博客阅读地址:https://ryan4yin.space/posts/kubernetes-deployemnt-using-kubeadm/ 本文由个人笔记 ryan4yin/knowle ...

  9. K8S探针和SVC,POD原理

    (6)容器是否健康: spec.container.livenessProbe.若不健康,则Pod有可能被重启(可配置策略)   (7)容器是否可用: spec.container.readiness ...

  10. find直接copy大于某一个时间小于某一个时间的文件

    find ./ -type f -newermt '2000-01-04 10:30:00' ! -newermt '2019-10-28 10:57:00' -exec cp -a {} /var/ ...