2. 程式人生 > >JDBC例子2_預處理物件

JDBC例子2_預處理物件

阿新 發佈:2018-11-23

3.1 SQL注入問題
SQL注入:使用者輸入的內容作為了SQL語句語法的一部分,改變了原有SQL真正的意義。
假設有登入案例SQL語句如下:

SELECT * FROM 使用者表 WHERE NAME = 使用者輸入的使用者名稱 AND PASSWORD = 使用者輸的密碼;

此時,當用戶輸入正確的賬號與密碼後,查詢到了資訊則讓使用者登入。但是當用戶輸入的賬號為XXX 密碼為:XXX’ OR ‘a’=’a時,則真正執行的程式碼變為:

SELECT * FROM 使用者表 WHERE NAME = ‘XXX’ AND PASSWORD =’ XXX’  OR ’a’=’a’;

此時,上述查詢語句時永遠可以查詢出結果的。那麼使用者就直接登入成功了,顯然我們不希望看到這樣的結果,這便是SQL注入問題。
為此,我們使用PreparedStatement來解決對應的問題。

示例演示:

CREATE TABLE user(
     id INT PRIMARY KEY AUTO_INCREMENT,
     username VARCHAR(100),
     PASSWORD VARCHAR(100)
);

INSERT INTO user (username,PASSWORD) VALUES ('a','1'),('b','2');

SELECT * FROM user;

-- 登入查詢
SELECT * FROM user WHERE username='xxx' AND PASSWORD='xxx'  OR 'a'='a'

在這裡插入圖片描述

在這裡插入圖片描述

使用sql語句就可以很簡單通過檢測;
3.2 預處理物件
preparedStatement:預編譯物件,是Statement物件的子類。
特點:
效能高
會把sql語句先編譯
能過濾掉使用者輸入的關鍵字。

PreparedStatement預處理物件,處理的每條sql語句中所有的實際引數,都必須使用佔位符?替換。
String sql = “select * from user where username = ? and password = ?”;
PreparedStatement使用,需要通過以下3步驟完成:

  1. PreparedStatement預處理物件程式碼:
    #獲得預處理物件,需要提供已經使用佔位符處理後的SQL語句
    PreparedStatement psmt = conn.prepareStatement(sql)
  2. 設定實際引數
    void setXxx(int index, Xxx xx) 將指定引數設定指定型別的值
    引數1:index 實際引數序列號,從1開始。
    引數2:xxx 實際引數值,xxx表示具體的型別。
    例如:
    setString(2, “1234”) 把SQL語句中第2個位置的佔位符?替換成實際引數 “1234”
  3. 執行SQL語句:
    int executeUpdate(); --執行insert update delete語句.
    ResultSet executeQuery(); --執行select語句.
    boolean execute(); --執行select返回true 執行其他的語句返回false.

3.2.1 解決前面的sql注入問題

public static void main(String[] args) throws Exception {
		String url="jdbc:mysql://localhost:3306/smbms";
		Class.forName("com.mysql.jdbc.Driver");
		Connection conn = DriverManager.getConnection(url,"root","neapadmin");
		Scanner sc=new Scanner(System.in);
		System.out.println("請輸入賬號:");
		String userName=sc.nextLine();
		System.out.println("請輸入密碼:");
		String password=sc.nextLine();
		String sql="select * from user where username=? and password=?";
		PreparedStatement stmt = conn.prepareStatement(sql);
		stmt.setString(1,userName);
		stmt.setString(2,password);
		System.out.println(sql);
		ResultSet rs = stmt.executeQuery();
		if(rs.next()) {
			System.out.println("login success");
		}else {
			System.out.println("login failure");
		}
		rs.close();
		stmt.close();
		conn.close();
	}

例子:使用預處理物件,完成對某張表的增刪改查。

在這裡插入圖片描述
在這裡插入圖片描述
在這裡插入圖片描述

	package cn.njit.jdbc;

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;

public class PreStaDemo {

	public static void main(String[] args) {
		try {
			Class.forName("com.mysql.jdbc.Driver");
		} catch (ClassNotFoundException e) {
			e.printStackTrace();
		}
		String jdbcurl="jdbc:mysql://localhost:3306/njit?useUnicode=true&characterEncoding=UTF-8";
		String user="root";
		String password="admin";
		try {
			Connection conn=DriverManager.getConnection(jdbcurl, user, password);
			String sql;
			PreparedStatement ppst;
			sql="insert into dept(deptno,dname) values(?,?);";				
			ppst=conn.prepareStatement(sql);
			ppst.setString(1, "10010");
			ppst.setString(2, "中國聯不通");
			ppst.executeUpdate();
			System.out.println("插入成功");
			
			sql="select * from dept where deptno=?;";
			ppst=conn.prepareStatement(sql);
			ppst.setString(1, "10086");
			ResultSet rs=ppst.executeQuery();
			System.out.println("部門編號\t部門名稱");
			while(rs.next()) {
				String deptno=rs.getString("deptno");
				String dname=rs.getString("dname");
				System.out.println(deptno+"\t"+dname);
			}
			System.out.println("查詢結束");
			rs.close();		
			ppst.close();
			conn.close();
		} catch (SQLException e) {
			e.printStackTrace();
		}
	}

}

3.3 插入資料,獲取自增長值

步驟:
PreparedStatement pstmt;
ResultSet rs;
String sql_dept = “insert into dept(deptName) values(?)”;
pstmt = con.prepareStatement(sql_dept, Statement.RETURN_GENERATED_KEYS);
pstmt.executeUpdate();
rs = pstmt.getGeneratedKeys();
// 得到返回的自增長欄位
if (rs.next()) {
deptId = rs.getInt(1);
}

在這裡插入圖片描述
在這裡插入圖片描述
只有int型才能設計為自增長;
插入時自動長,不需要插入資料;

package cn.njit.jdbc;

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;

public class PreStaDemo {

	public static void main(String[] args) {
		try {
			Class.forName("com.mysql.jdbc.Driver");
		} catch (ClassNotFoundException e) {
			e.printStackTrace();
		}
		String jdbcurl="jdbc:mysql://localhost:3306/njit?useUnicode=true&characterEncoding=UTF-8";
		String user="root";
		String password="admin";
		try {
			Connection conn=DriverManager.getConnection(jdbcurl, user, password);
			String sql;
			PreparedStatement ppst;
			
			sql="insert into stu(name,sex) values(?,?);";
			ppst=conn.prepareStatement(sql,Statement.RETURN_GENERATED_KEYS);
			ppst.setString(1, "螺紋");
			ppst.setString(2, "男");
			ppst.executeUpdate();
			ResultSet rss=ppst.getGeneratedKeys();
			int id=0;
			while(rss.next()) {
				id=rss.getInt(1);
				System.out.println(id);
			}
			rss.close();
			
			
			ppst.close();
			conn.close();
		} catch (SQLException e) {
			e.printStackTrace();
		}
	}

}

相關推薦

JDBC例子2_處理物件

3.1 SQL注入問題 SQL注入:使用者輸入的內容作為了SQL語句語法的一部分,改變了原有SQL真正的意義。 假設有登入案例SQL語句如下: SELECT * FROM 使用者表 WHERE NAME = 使用者輸入的使用者名稱 AND PASSWORD = 使用者輸的密碼; 此

JDBC處理物件PreprareStatement,預防SQL注入問題,提高安全性

PreparedStatement介面是Statement的子介面,它直接繼承並重載了Statement的方法。 PreprareStatement預處理物件為什麼能預防SQL注入提高安全性呢? 因為SQL語句在程式執行前已經進行了預編譯,在程式執行時第一次操作資料庫之前,SQL語

JDBC介面———PreparedStatement處理

PreparedStatement * 它是Statement介面的子介面; * 強大之處: - 防SQL攻擊; - 提高程式碼的可讀性、可維護性; - 提高效率! * 學習PreparedStateme

MySQL之使用處理物件PreparedStatement防止注入攻擊

防止注入攻擊核心思想通過預處理物件PreparedStatement,對SQL語句中引數列表進行指定傳參,防止使用者在SQL語句結尾上新增額外的SQL語句SQL語句中引數列表每條SQL語句中的引數全部採用問號佔位符String sql = "insert into sort(

關於JDBC處理功能PreparedStatement

java 例如 性能 rep pst arc 預防sql註入 stmt tco 1、PreparedStatement的定義 PreparedStatement是java.sql包下面的一個接口,用來執行SQL語句查詢,通過調用connection.preparedSta

JDBC事務、批處理、大物件的基本使用

一、測試事務的概念和用法  package com.chenfu.test; import java.sql.Connection; import java.sql.DriverManager; import java.sql.PreparedStatement; import

PDO的結果集物件方法、處理語句、資料庫連線屬性

PDO中的結果集物件方法 方法名 註釋 execute() 執行一條預處理語句 rowCount() 返回上一個SQL語句影響的行數

較全面的php mysql封裝,使用mysqli物件支援處理和事務,可輸出執行後的sql

下篇的文章已經更新咯,使用pdo安全性更高,相容性更強 基於mysqli寫的sql封裝語句,可支援預處理和事務,可以輸出最後執行的sql。 所有的條件以陣列傳遞即為預處理語句,否則為原始語句執行傳遞字串 呼叫方法如下: $mysqlObj = new mysqliModel

面向物件,PDO基礎知識,PDO處理,SQL事務處理

PDO:資料庫抽象層 PDO特點:跨資料庫,支援預處理,支援事務 PDO的基本使用 1,例項化物件 例項化物件( new PDO() ) $pdo=new PDO(引數1,引數2,引數3);

PHP PDO,處理方式(PDOStatement物件)實現 增刪改查。防sql注入

demo.php(?號式的預處理sql語句,增刪改): <?php //?號式的預處理語句 一共有3種繫結方式 //1.連線資料庫 try{ $pdo = new PDO("mysql:host=localhost;dbname=資料庫名","root

JDBC 動態建立資料表 及 SQL處理

        這兩天由於公司的需求,客戶需要自定義資料表的欄位,導致每張表的欄位都不是固定的而且很難有一個通用的模板去維護,所以就使用JDBC動態去建立資料表,然後通過表的欄位動態新增資料,資料的來源主要是使用者提供的Excel直接匯入到資料庫中。        如果考慮

中文文檔處理

依賴庫 pytho python 分詞 目錄 這一 jieba 結構 量化 最近做個東西,需要對中文文檔進行預處理。 首先是統一編碼和刪除標點符號等操作,用ULTRAEDIT和EDITPLUS可以分別很快的做到這一點。UITRAEDIT的替換裏可以對一個文件夾目錄的所有文件

PHP:PDO prepare處理

模擬 sql語句 大量 ont 分析 content 底層 try 通過 許多成熟的數據庫都支持預處理語句(Prepared Statements)的概念。它們是什麽東西?你可以把它們想成是一種編譯過的要執行的SQL語句模板,可以使用不同的變量參數定制它。預處理語句具

【搜索】 HDU 3533 Escape BFS 處理

cap 擁有 ace deque i++ const tdi code -m 要從0,0 點 跑到m,n點 路上會有k個堡壘發射子彈。有子彈的地方不能走,子彈打到別的堡壘就會消失,或者一直飛出邊界(人不能經過堡壘 能夠上下左右或者站著不動 每步都須要消耗能量 一共同

第五篇:數據處理(二) - 異常值處理

ges 方向 分享 site 方式 得到 ros 聚類 測試 前言 數據中如果有某個值偏離該列其他值比較離譜,那麽就有可能是一個異常的值。在數據預處理中,自然需要把這個異常值檢測出來,然後剔除掉,或者光滑掉,或者其他各種方法進行處理。 需要註

第七篇:數據處理(四) - 數據歸約(PCA/EFA為例)

通過 mage 如果 解釋 最大似然法 能力 似然 模擬 ont 前言 這部分也許是數據預處理最為關鍵的一個階段。 如何對數據降維是一個很有挑戰,很有深度的話題,很多理論書本均有詳細深入的講解分析。 本文僅介紹主成分分析法(P

Codeforces Round #271 (Div. 2) D. Flowers (遞推 處理

int art style eve itl which pop 有一種 esp We saw the little game Marmot made for Mole‘s lunch. Now it‘s Marmot‘s dinner time and, as we

數據處理

body oar odin mil fancybox ace ott top mar 轉載自:http://2hwp.com/2016/02/03/data-preprocessing/ 常見的數據預處理方法,以下通過sklearn的preprocessing模塊來介紹;

【強連通分量縮點】【拓撲排序】【dp處理】CDOJ1640 花自飄零水自流,一種相思,兩處閑愁。

如果 vector brush algo blog pri cmp 處理 ret 題意: 在n個點m條邊的有向圖上,從1出發的回路最多經過多少個不同的點 可以在一條邊上逆行一次 題解: 在同一個強連通分量中,顯然可以經過當中的每一個點 因此先將強連通分量縮點,點權為強連通分

4、多用類型常量,少用#define處理指令

報錯 作用域 生成 model 聲明 stat 指令 方法 類常量 摒棄: #define ANIMATION_DURATION 0.3 #define ERROR_MESSAGE @“ErrorMessage” 1)沒有常量的類型信息 2)假設此指令聲明在某個頭文件中