当前位置: 首页>数据库>正文

simpmessagingTemplate 是否可以获取所有的连接客户端ip 获取statement对象

数据库学习笔记十九 —— Statement对象、提取自己的工具类、SQL注入


  • Jdbc中的statement对象用于向数据库发送SQL语句,想完成对数据库的增删改查,只需要通过这个对象向数据库发送增删改
    查语句即可。
  • Statement对象的executeUpdate方法,用于向数据库发送增、删、改的sq|语句,executeUpdate执行完后, 将会返回- -个整
    数(即增删改语句导致了数据库几行数据发生了变化)。
  • Statement.executeQuery方法用于向数据库发送查询语句,executeQuery方法返回代表查询结果的ResultSet对象。

CRUD操作-create

simpmessagingTemplate 是否可以获取所有的连接客户端ip 获取statement对象,simpmessagingTemplate 是否可以获取所有的连接客户端ip 获取statement对象_sql,第1张

CRUD操作-delete

simpmessagingTemplate 是否可以获取所有的连接客户端ip 获取statement对象,simpmessagingTemplate 是否可以获取所有的连接客户端ip 获取statement对象_数据库_02,第2张

CRUD操作-update

simpmessagingTemplate 是否可以获取所有的连接客户端ip 获取statement对象,simpmessagingTemplate 是否可以获取所有的连接客户端ip 获取statement对象_sql_03,第3张

CRUD操作-read

simpmessagingTemplate 是否可以获取所有的连接客户端ip 获取statement对象,simpmessagingTemplate 是否可以获取所有的连接客户端ip 获取statement对象_java_04,第4张

提取工具类

1.在src里新建一个配置文件db.prorerties,把连接数据库相关的信息写在配置文件里

# 配置文件
driver=com.mysql.jdbc.Driver
url=jdbc:mysql://localhost:3306/jdbcstudy?useUnicode=true&characterEncoding=utf8&useSSL=false
username=root
password=123456

2.新建一个utils包,里面建一个JdbcUtils类

package pers.ylw.lesson02.utils;

import java.io.InputStream;
import java.sql.*;
import java.util.Properties;

public class JdbcUtils {

    private static String driver = null;
    private static String url = null;
    private static String username = null;
    private static String password = null;

    static {

        try{
            //通过反射获取配置文件资源流
            InputStream inputStream = JdbcUtils.class.getClassLoader().getResourceAsStream("db.properties");
            Properties properties = new Properties();
            properties.load(inputStream);
            driver = properties.getProperty("driver");
            url = properties.getProperty("url");
            username = properties.getProperty("username");
            password = properties.getProperty("password");

            //1.加载驱动,只用加载一次
            Class.forName(driver);

        }catch (Exception e){
            e.printStackTrace();
        }
    }

    //获取连接
    public static Connection getConnection() throws SQLException {
        return DriverManager.getConnection(url, username, password);
    }

    //释放连接资源
    public static void release(Connection conn, Statement st,ResultSet rs){
        if (rs!=null){
            try {
                rs.close();
            } catch (SQLException e) {
                e.printStackTrace();
            }
        }

        if (st!=null){
            try {
                st.close();
            } catch (SQLException e) {
                e.printStackTrace();
            }
        }

        if (conn!=null){
            try {
                conn.close();
            } catch (SQLException e) {
                e.printStackTrace();
            }
        }
    }

}

使用自己写的JdbcUtils工具类

增删改都使用executeUpdate(sql)方法,改一下sql语句就行

package pers.ylw.lesson02;

import pers.ylw.lesson02.utils.JdbcUtils;

import java.sql.Connection;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;

public class TestInsert {
    public static void main(String[] args) {
        Connection conn = null;
        Statement st = null;
        ResultSet rs = null;

        try {
            conn= JdbcUtils.getConnection(); //使用自己写的JdbcUtils类获取数据库连接
            st = conn.createStatement(); //获得SQL的执行对象

            //书写SQL语句
            String sql = "INSERT INTO users(`id`,`NAME`,`PASSWORD`,`email`,`birthday`)" +
                    "VALUES(4,'ylw','123456','123456@qq.com','2020-01-01')";

            //执行插入语句,接收返回值
            int i = st.executeUpdate(sql);
            if (i>0){
                System.out.println("插入成功");
            }

        } catch (SQLException e) {
            e.printStackTrace();
        } finally { //finally最后一定会执行
            JdbcUtils.release(conn,st,rs);
        }
    }
}

package pers.ylw.lesson02.utils;

import java.sql.Connection;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;

public class TestDelete {
    public static void main(String[] args) {
        Connection conn = null;
        Statement st = null;
        ResultSet rs = null;

        try {
            conn= JdbcUtils.getConnection(); //使用自己写的JdbcUtils类获取数据库连接
            st = conn.createStatement(); //获得SQL的执行对象

            //书写SQL语句
            String sql = "DELETE FROM users WHERE id = 4";

            //执行sql语句,接收返回值
            int i = st.executeUpdate(sql);
            if (i>0){
                System.out.println("删除成功");
            }

        } catch (SQLException e) {
            e.printStackTrace();
        } finally { //finally最后一定会执行
            JdbcUtils.release(conn,st,rs);
        }
    }
}

package pers.ylw.lesson02.utils;

import java.sql.Connection;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;

public class TestUpdate {
    public static void main(String[] args) {
        Connection conn = null;
        Statement st = null;
        ResultSet rs = null;

        try {
            conn= JdbcUtils.getConnection(); //使用自己写的JdbcUtils类获取数据库连接
            st = conn.createStatement(); //获得SQL的执行对象

            //书写SQL语句
            String sql = "UPDATE users SET `NAME`='ylw' WHERE `id`=1";

            //执行sql语句,接收返回值
            int i = st.executeUpdate(sql);
            if (i>0){
                System.out.println("更新成功");
            }

        } catch (SQLException e) {
            e.printStackTrace();
        } finally { //finally最后一定会执行
            JdbcUtils.release(conn,st,rs);
        }
    }
}

查询使用executeQuery(sql)

package pers.ylw.lesson02.utils;

import java.sql.Connection;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;

public class TestSelect {
    public static void main(String[] args) {
        Connection conn = null;
        Statement st = null;
        ResultSet rs = null;

        try {
            conn= JdbcUtils.getConnection(); //使用自己写的JdbcUtils类获取数据库连接
            st = conn.createStatement(); //获得SQL的执行对象

            //书写SQL语句
            String sql = "select * from users";

            //执行sql查询语句,接收返回的结果集
            rs = st.executeQuery(sql);
            while (rs.next()){
                System.out.println(rs.getString("NAME"));
            }

        } catch (SQLException e) {
            e.printStackTrace();
        } finally { //finally最后一定会执行
            JdbcUtils.release(conn,st,rs);
        }
    }
}

SQL注入问题

通过拼接字符串来获取数据信息
用户在登录时输入的不恰当字符串可能引起数据泄露,是一个非常大的安全隐患

package pers.ylw.lesson02.utils;

import java.sql.Connection;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;

public class SQL注入 {
    public static void main(String[] args) {

        //sql注入
        login("'or '1=1","'or'1=1");
        //注入语句拼接后为
        //select * from users where `NAME` =''or '1=1' AND `password` = ''or'1=1'
        //重点:`NAME` =''or '1=1' AND `password` = ''or'1=1' 等于空或者为true,永远正确

    }

    //登录业务
    public static void login(String username,String password){
        Connection conn = null;
        Statement st = null;
        ResultSet rs = null;

        try {
            conn= JdbcUtils.getConnection(); //使用自己写的JdbcUtils类获取数据库连接
            st = conn.createStatement(); //获得SQL的执行对象

            //书写SQL语句
            //select * from users where `NAME` ='username' AND `password` = 'password'
            String sql = "select * from users where `NAME` ='"+username+"' AND `password` = '" + password+"'";

            //执行sql查询语句,接收返回的结果集
            rs = st.executeQuery(sql);
            while (rs.next()){
                System.out.println(rs.getString("NAME"));
                System.out.println(rs.getString("password"));
                System.out.println("==================================");
            }

        } catch (SQLException e) {
            e.printStackTrace();
        } finally { //finally最后一定会执行
            JdbcUtils.release(conn,st,rs);
        }
    }
}

simpmessagingTemplate 是否可以获取所有的连接客户端ip 获取statement对象,simpmessagingTemplate 是否可以获取所有的连接客户端ip 获取statement对象_jdbc_05,第5张

通常不使用 Statement 而使用更安全的 PrepareStatement


https://www.xamrdz.com/database/6y51931569.html

相关文章: