-
10月9日 Jdbc(2)
PreparedStatement的使用和jdbcUtil工具类的封装
拼接带来的sql注入问题(拼接sql)
Statement
PreparedStatement的使用
- package com.fs.db;
- import com.fs.util.JdbcUtil;
- import java.sql.*;
- import java.util.Date;
- import java.util.Scanner;
- /**
- * 模拟SQL攻击
- */
- public class Demo4 {
- public static void main(String[] args) {
- boolean flag = login2("zs", "zs");
- //SQL攻击 SQL注入
- //boolean flag = login2("asdasd' or '1' = '1", "zs' or '1'='1");
- if(flag){
- System.out.println("登录成功");
- }else{
- System.out.println("登录失败");
- }
- }
- /**
- * 登录方法
- * @param username 用户名
- * @param password 密码
- * @return true登录成功, false: 登录失败
- */
- public static boolean login(String username,String password){
- Connection conn = null;
- Statement statement = null;
- ResultSet resultSet = null;
- try {
- Class.forName("com.mysql.jdbc.Driver");
- String url = "jdbc:mysql://localhost:3306/test2?useUnicode=true&characterEncoding=utf8&useSSL=false";
- conn = DriverManager.getConnection(url, "root", "123");
- statement = conn.createStatement();
- String sql = "select * from user where username = '"+username+"' and password='"+password+"'";
- System.out.println(sql);
- resultSet = statement.executeQuery(sql);
- return resultSet.next();
- } catch (ClassNotFoundException e) {
- e.printStackTrace();
- } catch (SQLException throwables) {
- throwables.printStackTrace();
- }finally{
- //倒序关
- try {
- if(resultSet != null) {
- resultSet.close();
- }
- if(statement != null) {
- statement.close();
- }
- if(conn != null) {
- conn.close();
- }
- } catch (SQLException throwables) {
- throwables.printStackTrace();
- }
- }
- return false;
- }
- /**
- * 使用PreparedStatement
- * 登录方法
- * @param username 用户名
- * @param password 密码
- * @return true登录成功, false: 登录失败
- */
- public static boolean login2(String username,String password){
- Connection conn = null;
- PreparedStatement pstmt = null;
- ResultSet resultSet = null;
- try {
- Class.forName("com.mysql.jdbc.Driver");
- String url = "jdbc:mysql://localhost:3306/test2?useUnicode=true&characterEncoding=utf8&useSSL=false";
- conn = DriverManager.getConnection(url, "root", "123");
- //SQL语句使用?占位
- String sql = "select * from user where username = ? and password=? ";
- pstmt = conn.prepareStatement(sql);
- //给?赋值setXxx(?序号,值) 从1开始 通用类型: setObject()
- pstmt.setString(1,username);
- pstmt.setString(2,password);
- //执行sql 调用无参的方法
- resultSet = pstmt.executeQuery();
- return resultSet.next();
- } catch (ClassNotFoundException e) {
- e.printStackTrace();
- } catch (SQLException throwables) {
- throwables.printStackTrace();
- }finally{
- //倒序关
- try {
- if(resultSet != null) {
- resultSet.close();
- }
- if(pstmt != null) {
- pstmt.close();
- }
- if(conn != null) {
- conn.close();
- }
- } catch (SQLException throwables) {
- throwables.printStackTrace();
- }
- }
- return false;
- }
- /**
- * 使用PreparedStatement
- * 登录方法
- * @param username 用户名
- * @param password 密码
- * @return true登录成功, false: 登录失败
- */
- public static boolean login3(String username,String password){
- Connection conn = null;
- PreparedStatement pstmt = null;
- ResultSet resultSet = null;
- try {
- conn = JdbcUtil.getConnection();
- //SQL语句使用?占位
- String sql = "select * from user where username = ? and password=? ";
- pstmt = conn.prepareStatement(sql);
- //给?赋值setXxx(?序号,值) 从1开始 通用类型: setObject()
- pstmt.setString(1,username);
- pstmt.setString(2,password);
- //执行sql 调用无参的方法
- resultSet = pstmt.executeQuery();
- return resultSet.next();
- } catch (SQLException throwables) {
- throwables.printStackTrace();
- }finally{
- JdbcUtil.close(conn,pstmt,resultSet);
- }
- return false;
- }
- }
和com包同级
jdbc.driverclass=com.mysql.jdbc.Driver
jdbc.url=jdbc:mysql://localhost:3306/test2?useUnicode=true&characterEncoding=utf8&useSSL=false
jdbc.username=root
jdbc.password=123Jdbc的工具类
jdbc的优化 代码重复问题 参数优化问题
第一步:把数据库四大参数放到properties文件
jdbc.driverclass=com.mysql.jdbc.Driver
jdbc.url=jdbc :mysql : / / localhost:3306/test2?
useUnicode=true&characterEncoding=utf8&useSSL=falsejdbc.username=root
jdbc.password=123
第二步:编写一个jdbc的工具类,封装重复代码 (工具类不要让别人可以new出来,所以搞成静态的,返回一个connection对象,直接用类型.属性调用方法和属性)
- package com.fs.util;
- import java.io.IOException;
- import java.io.InputStream;
- import java.sql.*;
- import java.util.Properties;
- /**
- * JDBC的工具类
- */
- public class JdbcUtil {
- private static Properties props = new Properties();
- static{
- //加载db.properties文件
- try {
- //写的绝对路径, 一旦项目拷贝到另外一台电脑,路径可能错误的
- //FileInputStream fis = new FileInputStream("C:\\java6\\jdbc\\code\\demo1\\src\\db.properties");
- //使用相对路径, 相对于src目录
- //getClassLoader()得到该类的类加载器
- InputStream in = JdbcUtil.class.getClassLoader().getResourceAsStream("db.properties");
- props.load(in);
- Class.forName(props.getProperty("jdbc.driverclass"));
- } catch (IOException e) {
- e.printStackTrace();
- } catch (ClassNotFoundException e) {
- e.printStackTrace();
- }
- }
- //得到连接的方法
- public static Connection getConnection() throws SQLException {
- return DriverManager.getConnection(props.getProperty("jdbc.url"), props.getProperty("jdbc.username"), props.getProperty("jdbc.password"));
- }
- //关闭资源的方法
- public static void close(Connection conn, PreparedStatement pstmt, ResultSet resultSet){
- try {
- if(resultSet != null) {
- resultSet.close();
- }
- if(pstmt != null) {
- pstmt.close();
- }
- if(conn != null) {
- conn.close();
- }
- } catch (SQLException throwables) {
- throwables.printStackTrace();
- }
- }
- }
从此用PreparedStatement替代Statement
-
相关阅读:
Linux 部分很实用的命令使用详解
数学推理题:张王李赵陈五对夫妇聚会,见面握手
策略枚举:消除在项目里大批量使用if-else的正确姿势
SSM框架学习——Spring之容器
SpringCloud Gateway 服务网关的快速入门
第五章 树 24 AcWing 1636. 最低公共祖先
分布式唯一Id,它比GUID好
Fast Planner 轨迹规划
道可云元宇宙每日资讯|上海旅游节将打造数字文旅新场景
1 opencv-python图像读写模块
- 原文地址:https://blog.csdn.net/weixin_53415999/article/details/133961428
