数据库学习笔记十九 —— Statement对象、提取自己的工具类、SQL注入
- Jdbc中的statement对象用于向数据库发送SQL语句,想完成对数据库的增删改查,只需要通过这个对象向数据库发送增删改
查语句即可。 - Statement对象的executeUpdate方法,用于向数据库发送增、删、改的sq|语句,executeUpdate执行完后, 将会返回- -个整
数(即增删改语句导致了数据库几行数据发生了变化)。 - Statement.executeQuery方法用于向数据库发送查询语句,executeQuery方法返回代表查询结果的ResultSet对象。
CRUD操作-create
CRUD操作-delete
CRUD操作-update
CRUD操作-read
提取工具类
1.在src里新建一个配置文件db.prorerties,把连接数据库相关的信息写在配置文件里
# 配置文件
driver=com.mysql.jdbc.Driver
url=jdbc:mysql://localhost:3306/jdbcstudy?useUnicode=true&characterEncoding=utf8&useSSL=false
username=root
password=1234562.新建一个utils包,里面建一个JdbcUtils类
package pers.ylw.lesson02.utils;
import java.io.InputStream;
import java.sql.*;
import java.util.Properties;
public class JdbcUtils {
private static String driver = null;
private static String url = null;
private static String username = null;
private static String password = null;
static {
try{
//通过反射获取配置文件资源流
InputStream inputStream = JdbcUtils.class.getClassLoader().getResourceAsStream("db.properties");
Properties properties = new Properties();
properties.load(inputStream);
driver = properties.getProperty("driver");
url = properties.getProperty("url");
username = properties.getProperty("username");
password = properties.getProperty("password");
//1.加载驱动,只用加载一次
Class.forName(driver);
}catch (Exception e){
e.printStackTrace();
}
}
//获取连接
public static Connection getConnection() throws SQLException {
return DriverManager.getConnection(url, username, password);
}
//释放连接资源
public static void release(Connection conn, Statement st,ResultSet rs){
if (rs!=null){
try {
rs.close();
} catch (SQLException e) {
e.printStackTrace();
}
}
if (st!=null){
try {
st.close();
} catch (SQLException e) {
e.printStackTrace();
}
}
if (conn!=null){
try {
conn.close();
} catch (SQLException e) {
e.printStackTrace();
}
}
}
}使用自己写的JdbcUtils工具类
增删改都使用executeUpdate(sql)方法,改一下sql语句就行
增
package pers.ylw.lesson02;
import pers.ylw.lesson02.utils.JdbcUtils;
import java.sql.Connection;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;
public class TestInsert {
public static void main(String[] args) {
Connection conn = null;
Statement st = null;
ResultSet rs = null;
try {
conn= JdbcUtils.getConnection(); //使用自己写的JdbcUtils类获取数据库连接
st = conn.createStatement(); //获得SQL的执行对象
//书写SQL语句
String sql = "INSERT INTO users(`id`,`NAME`,`PASSWORD`,`email`,`birthday`)" +
"VALUES(4,'ylw','123456','123456@qq.com','2020-01-01')";
//执行插入语句,接收返回值
int i = st.executeUpdate(sql);
if (i>0){
System.out.println("插入成功");
}
} catch (SQLException e) {
e.printStackTrace();
} finally { //finally最后一定会执行
JdbcUtils.release(conn,st,rs);
}
}
}删
package pers.ylw.lesson02.utils;
import java.sql.Connection;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;
public class TestDelete {
public static void main(String[] args) {
Connection conn = null;
Statement st = null;
ResultSet rs = null;
try {
conn= JdbcUtils.getConnection(); //使用自己写的JdbcUtils类获取数据库连接
st = conn.createStatement(); //获得SQL的执行对象
//书写SQL语句
String sql = "DELETE FROM users WHERE id = 4";
//执行sql语句,接收返回值
int i = st.executeUpdate(sql);
if (i>0){
System.out.println("删除成功");
}
} catch (SQLException e) {
e.printStackTrace();
} finally { //finally最后一定会执行
JdbcUtils.release(conn,st,rs);
}
}
}改
package pers.ylw.lesson02.utils;
import java.sql.Connection;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;
public class TestUpdate {
public static void main(String[] args) {
Connection conn = null;
Statement st = null;
ResultSet rs = null;
try {
conn= JdbcUtils.getConnection(); //使用自己写的JdbcUtils类获取数据库连接
st = conn.createStatement(); //获得SQL的执行对象
//书写SQL语句
String sql = "UPDATE users SET `NAME`='ylw' WHERE `id`=1";
//执行sql语句,接收返回值
int i = st.executeUpdate(sql);
if (i>0){
System.out.println("更新成功");
}
} catch (SQLException e) {
e.printStackTrace();
} finally { //finally最后一定会执行
JdbcUtils.release(conn,st,rs);
}
}
}查询使用executeQuery(sql)
package pers.ylw.lesson02.utils;
import java.sql.Connection;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;
public class TestSelect {
public static void main(String[] args) {
Connection conn = null;
Statement st = null;
ResultSet rs = null;
try {
conn= JdbcUtils.getConnection(); //使用自己写的JdbcUtils类获取数据库连接
st = conn.createStatement(); //获得SQL的执行对象
//书写SQL语句
String sql = "select * from users";
//执行sql查询语句,接收返回的结果集
rs = st.executeQuery(sql);
while (rs.next()){
System.out.println(rs.getString("NAME"));
}
} catch (SQLException e) {
e.printStackTrace();
} finally { //finally最后一定会执行
JdbcUtils.release(conn,st,rs);
}
}
}SQL注入问题
通过拼接字符串来获取数据信息
用户在登录时输入的不恰当字符串可能引起数据泄露,是一个非常大的安全隐患
package pers.ylw.lesson02.utils;
import java.sql.Connection;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;
public class SQL注入 {
public static void main(String[] args) {
//sql注入
login("'or '1=1","'or'1=1");
//注入语句拼接后为
//select * from users where `NAME` =''or '1=1' AND `password` = ''or'1=1'
//重点:`NAME` =''or '1=1' AND `password` = ''or'1=1' 等于空或者为true,永远正确
}
//登录业务
public static void login(String username,String password){
Connection conn = null;
Statement st = null;
ResultSet rs = null;
try {
conn= JdbcUtils.getConnection(); //使用自己写的JdbcUtils类获取数据库连接
st = conn.createStatement(); //获得SQL的执行对象
//书写SQL语句
//select * from users where `NAME` ='username' AND `password` = 'password'
String sql = "select * from users where `NAME` ='"+username+"' AND `password` = '" + password+"'";
//执行sql查询语句,接收返回的结果集
rs = st.executeQuery(sql);
while (rs.next()){
System.out.println(rs.getString("NAME"));
System.out.println(rs.getString("password"));
System.out.println("==================================");
}
} catch (SQLException e) {
e.printStackTrace();
} finally { //finally最后一定会执行
JdbcUtils.release(conn,st,rs);
}
}
}
通常不使用 Statement 而使用更安全的 PrepareStatement