使用JDBC分别利用Statement和PreparedStatement来对MySQL数据库进行简单的增删改查以及SQL注入的原理
Posted 夜月薇凉映银弩
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了使用JDBC分别利用Statement和PreparedStatement来对MySQL数据库进行简单的增删改查以及SQL注入的原理相关的知识,希望对你有一定的参考价值。
一、mysql数据库的下载及安装
点击DOWNLOADS,拉到页面底部,找到MySQL Community(GPL)Downloads,点击
选择下图中的MySQL Community Server
选择想要的版本进行下载
之后的步骤,因为本人已经安装过MySQL数据库,而卸载重装会比较麻烦,卸载不干净会导致新的装不上,所以可以参考下面的博客,因为官网的改动,前面的部分已经与该博客不符,按照本人在上面的介绍寻找即可
https://blog.csdn.net/weixin_42555080/article/details/87884902
下面是数据库可视化工具Navicat的下载及破解教程
https://blog.csdn.net/WYpersist/article/details/86530973
二、使用JDBC利用Statement来对MySQL数据库进行简单的增删改查
JDBC:Java DataBase Connectivity
可以为多种关系型数据库DBMS提供统一的访问方式,用java来操作数据库。
Java程序通过JDBC来操作JDBC DriverManager 来操作数据库驱动程序(如Mysql驱动程序),进而操作数据库(如Mysql数据库)。
1、JDBC API:提供各种访问接口
三项功能:
Java程序与数据库建立连接
Java程序发送SQL语句给数据库
数据库返回处理结果给Java程序
三项功能具体通过下面类/接口实现
DriverManager:管理JDBC驱动
Connection:Java程序与数据库建立连接
Statement( PreparedStatement子类):增删改查
CallableStatement:调用数据库的存储过程/存储函数
ResultSet: 数据库返回的结果集
JDBC访问数据库的具体步骤
a.导入驱动,加载具体的驱动类
b.与数据库建立连接
c.发送SQL,执行
d.处理结果集(查询)
驱动jar
如mysql-connector-java-x.jar(其中x为具体的版本号)
具体驱动类:
如com.mysql.jdbc.Driver
连接字符串
数据库名、IP地址、端口号
如:jdbc:mysql://localhost:3306/数据库实例名
Connection产生操作数据库的对象
connection.createStatement():产生Statement
connection.prepareStatement():产生PreparedStatement
connection.prepareCall():产生CallableStatement
ResultSet: 数据库返回的结果集 select * from xxx(表名)
ResultSet rs=null;
rs.next();
1、下移
2、判断下移后的元素是否有数据
如果不为空:返回true(有数据)
如果为空:返回false(无数据)
rs.previous():
1、上移
2、判断上移后的元素是否有数据
如果不为空:返回true(有数据)
如果为空:返回false(无数据)
rs.getXXX(字段名|下标):获取rs指向行的数据
Statement操作数据库
增删改:executeUpdate(sql)
查:executeQuery(sql)
实例
在Navicat建表如图
原码如下
package JDBCDemo; import java.sql.Connection; import java.sql.DriverManager; import java.sql.ResultSet; import java.sql.SQLException; import java.sql.Statement; public class JDBCDemo { private static final String URL="jdbc:mysql://localhost:3306/mysql?serverTimezone=UTC&characterEncoding=utf-8"; private static final String USERNAME="root"; private static final String PWD="vayne"; public static void update() { Statement stmt=null; Connection connection=null; try { //a.导入驱动,加载具体的驱动类 Class.forName("com.mysql.cj.jdbc.Driver"); //b.与数据库建立连接 connection = DriverManager.getConnection(URL,USERNAME,PWD); //使用Ctrl+1,快速生成值来获取Connection //c.发送SQL,执行(增删改、查) stmt = connection.createStatement(); //增 //String sql="insert into student values(1,\'张志伟\',19)"; //删 String sql="delete from student where name =\'zzw\'"; //改 //String sql="update student set name =\'zzw\' where id=1"; //执行SQL int count=stmt.executeUpdate(sql);//返回值表示,增删改几条数据 //处理结果 if(count>0) { System.out.println("操作成功!!!"); } }catch(ClassNotFoundException e) { e.printStackTrace(); }catch(SQLException e) { e.printStackTrace(); }catch(Exception e){ e.printStackTrace(); }finally { try { //先开的后关,后开的先关 if(stmt!=null)stmt.close(); if(connection !=null)connection.close(); }catch(SQLException e) { e.printStackTrace(); }finally { } } } public static void query() { Statement stmt=null; Connection connection=null; ResultSet rs=null; try { //a.导入驱动,加载具体的驱动类 Class.forName("com.mysql.cj.jdbc.Driver"); //b.与数据库建立连接 connection = DriverManager.getConnection(URL,USERNAME,PWD); //使用Ctrl+1,快速生成值来获取Connection //c.发送SQL,执行(增删改、查) stmt = connection.createStatement(); //查 //String sql="select name,age from student"; //模糊查询 String aname="x"; String sql="select * from student where name like\'%"+aname+"%\'"; //执行SQL,增删改是executeUpdate(sql),查是executeQuery(sql) rs=stmt.executeQuery(sql);//返回值表示,增删改几条数据 //处理结果 while(rs.next()) { String sname=rs.getString("name"); int sage=rs.getInt("age"); System.out.println("姓名:"+sname+"年龄"+sage); } }catch(ClassNotFoundException e) { e.printStackTrace(); }catch(SQLException e) { e.printStackTrace(); }catch(Exception e){ e.printStackTrace(); }finally { try { //先开的后关,后开的先关 if(rs!=null)rs.close(); if(stmt!=null)stmt.close(); if(connection !=null)connection.close(); }catch(SQLException e) { e.printStackTrace(); }finally { } } } public static void main(String[] args) { //update(); query(); } }
增和查
改和查
删和查
模糊查询
String aname="x";
String sql="select * from student where name like\'%"+aname+"%\'";
在表中添加如图
实现模糊查询
三、使用JDBC利用PreparedStatement来对MySQL数据库进行简单的增删改查
PreparedStatement操作数据库
因为PreparedStatement是Statement的子类
因此:
增删改:executeUpdate(sql)
查:executeQuery(sql)
赋值操作:setXXX();
实例
原码如下
package JDBCDemo; import java.sql.Connection; import java.sql.DriverManager; import java.sql.PreparedStatement; import java.sql.ResultSet; import java.sql.SQLException; import java.sql.Statement; public class JDBCPrepareDemo { private static final String URL="jdbc:mysql://localhost:3306/mysql?serverTimezone=UTC&characterEncoding=utf-8"; private static final String USERNAME="root"; private static final String PWD="vayne"; public static void update() { PreparedStatement pstmt=null; Connection connection=null; try { //a.导入驱动,加载具体的驱动类 Class.forName("com.mysql.cj.jdbc.Driver"); //b.与数据库建立连接 connection = DriverManager.getConnection(URL,USERNAME,PWD); //使用Ctrl+1,快速生成值来获取Connection //c.发送SQL,执行(增删改、查) //增 //String sql="insert into student values(?,?,?)"; //删 String sql="delete from student where name =\'zzw\'"; //改 //String sql="update student set name =\'zzw\' where id=66"; //执行SQL pstmt = connection.prepareStatement(sql);//预编译 //pstmt.setInt(1, 66); //pstmt.setString(2, "六六大顺"); //pstmt.setInt(3, 6); int count=pstmt.executeUpdate();//返回值表示,增删改几条数据 //处理结果 if(count>0) { System.out.println("操作成功!!!"); } }catch(ClassNotFoundException e) { e.printStackTrace(); }catch(SQLException e) { e.printStackTrace(); }catch(Exception e){ e.printStackTrace(); }finally { try { //先开的后关,后开的先关 if(pstmt!=null)pstmt.close(); if(connection !=null)connection.close(); }catch(SQLException e) { e.printStackTrace(); }finally { } } } public static void query() { PreparedStatement pstmt=null; Connection connection=null; ResultSet rs=null; try { //a.导入驱动,加载具体的驱动类 Class.forName("com.mysql.cj.jdbc.Driver"); //b.与数据库建立连接 connection = DriverManager.getConnection(URL,USERNAME,PWD); //使用Ctrl+1,快速生成值来获取Connection //c.发送SQL,执行(增删改、查) //查 String sql="select name,age from student"; //模糊查询 //String sql="select * from student where name like ?"; //执行SQL,增删改是executeUpdate(sql),查是executeQuery(sql) pstmt = connection.prepareStatement(sql);//预编译 //pstmt.setString(1, "%x%"); rs=pstmt.executeQuery();//返回值表示,增删改几条数据 //处理结果 while(rs.next()) { String sname=rs.getString("name"); int sage=rs.getInt("age"); System.out.println("姓名:"+sname+"年龄"+sage); } }catch(ClassNotFoundException e) { e.printStackTrace(); }catch(SQLException e) { e.printStackTrace(); }catch(Exception e){ e.printStackTrace(); }finally { try { //先开的后关,后开的先关 if(rs!=null)rs.close(); if(pstmt!=null)pstmt.close(); if(connection !=null)connection.close(); }catch(SQLException e) { e.printStackTrace(); }finally { } } } public static void main(String[] args) { update(); query(); } }
增和查
改和查
删和查
模糊查询
String sql="select * from student where name like ?";//预编译
//执行SQL,增删改是executeUpdate(sql),查是executeQuery(sql)
pstmt = connection.prepareStatement(sql);
pstmt.setString(1, "%x%");
在表中添加如图
实现模糊查询
四、Statement和PreparedStatement的比较
推荐使用PreparedStatement,原因如下:
1、编码更加简便(避免了字符串拼接)
如:int id =1;String name="张志伟"
stmt:
String sql="insert into student(id,name) values("+id+",\'"+name+"\')";
stmt.executeupdate(sql);
pstmt:
String sql="insert into student(id,name) values(?,?)";
pstmt=connection.prepareStatement(sql);//预编译sql
pstmt.setInt(1,id);
pstmt.setString(2,name);
2、可以提高性能(因为有预编译,预编译只编译一次)
当添加n次,
stmt:sql编译n次
pstmt:sql只编译一次
3、更加安全
stmt:存在被sql注入的风险
如:用户名:任意值 ’ or 1=1 --
密码:任意值
会登录成功
select count(*) from login where uname=\'"+name+"\' and upwd =\'"+pwd+"\';
进行代入检验:
select count(*) from login where uname=\'任意值 ’ or 1=1 --\' and upwd =\'任意值\';
uname=\'任意值 ’为false
or
1=1 为true
--\' and upwd =\'任意值\'; sql语句中--为注释,后面全是注释
所以,where的结果是true,登录成功
相当于select count(*) from login
sql注入:将客户输入的内容 和开发人员的SQL语句 混为一体
pstmt:可以防止sql注入
以上是关于使用JDBC分别利用Statement和PreparedStatement来对MySQL数据库进行简单的增删改查以及SQL注入的原理的主要内容,如果未能解决你的问题,请参考以下文章
java中PreparedStatement与Statement相比具有啥优势
Java编程建立一个简单的JDBC连接-Drivers, Connection, Statement and PreparedStatement