jdbc mysql crud dao模型 sql注入漏洞 jdbc 操作大文件

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了jdbc mysql crud dao模型 sql注入漏洞 jdbc 操作大文件相关的知识,希望对你有一定的参考价值。

day17总结

今日内容

l JDBC

1.1 上次课内容总结

SQL语句:

1.外键约束:foreign key

* 维护多个表关系!

* 用来保证数据完整性!

2.三种关系:

* 一对多:

* 一个客户可以对应多个订单,一个订单只属于一个客户!

* 建表原则:

* 在多的一方创建一个字段,作为外键指向一的一方的主键!!!

* 多对多:

* 一个学生可以选择多个课程,一个课程也可以被多个学生选择!

* 建表原则:

* 创建第三张表,第三张表中放入两个字段,作为外键分别指向多对多双方的主键!

* 一对一:

* 一:主键对应方式:

* 两个表的主键进行关联!

* 二:唯一外键关联:

* 假设一对一的关系是一个多的关系!需要在多的一方创建一个外键指向一的一方主键!将这个外键设置为唯一.

3.多表查询:

* 内连接:

* inner join

* select * from A inner join B on 条件;

* select * form A,B where 条件;

* 外连接:

* 左外连接

* left outer join

* 右外连接

* right outer join

* 子查询:

* select中嵌入其他的select语句.

* any:任意一个

* all:所有

1.2 JDBC:

1.2.1 什么是JDBC

JDBC:JDBC(Java Data Base Connectivity,java数据库连接)是一种用于执行SQL语句的Java API,可以为多种关系数据库提供统一访问,它由一组用Java语言编写的类和接口组成

JDBC是SUN公司提供的一套连接数据库标准!!!

* 驱动:Java语言和数据库相当于两个不同设备!Java访问数据库!需要进行通信,通信需要驱动!

* 数据库驱动一般都是jar文件!

* 假设Java程序员要连接mysql数据库,对MYSQL数据库驱动了解.如果程序员要连接Oracle数据库,了解Oracle的驱动!

* SUN公司与各个数据库生产商讨论.SUN公司提供一套接口.各个数据库生产商提供这套接口实现类!

1.2.2 JDBC中的常见对象:

DriverManager:

Connection:

Statement:

* PreparedStatement

* CallableStatement

ResultSet:

1.2.3 JDBC的入门案例:

开发步骤:

1.注册驱动.

2.获得连接.

3.执行SQL语句.

4.释放资源.

创建数据库day17:

Create database day17;

Use day17;

Create table user(

Id int primary key auto_increment,

Username varchar(20),

Password varchar(20)

);

Insert into user values (null,‘aaa‘,‘aaa‘);

Insert into user values (null,‘bbb‘,‘bbb‘);

Insert into user values (null,‘ccc‘,‘ccc‘);

1.2.4 JDBC的API详解:
DriverManager:管理驱动

作用:

一、注册驱动

* registerDriver(Driver driver) ---完成对驱动的注册.

* 以后的开发中不会使用该方法!这个方法有两个问题!!!

* 1.应用依赖了具体驱动程序!

* 2.这个方法还会导致驱动注册两次!

* 查看com.mysql.jdbc.Driver类的源码:

static {

try {

java.sql.DriverManager.registerDriver(new Driver());

} catch (SQLException E) {

throw new RuntimeException("Can‘t register driver!");

}

}

***** 静态代码块在类加载的时候就执行了!

*****解决这两个问题?

Class.forName("com.mysql.jdbc.Driver");---将字节码加载到内存,只要加载到内存的时候,静态代码块就会执行!而且应用中不需要依赖具体驱动!

二、获得连接

* getConnection(String url, String user, String password)

* 参数:

* url :连接数据库url

* jdbc:mysql://localhost:3306/day17

* jdbc :协议

* mysql :是JDBC的子协议

* localhost:主机名

* 3306 :端口号

* day17 :数据库名称

* url简写:连接是本地mysql数据库.

* jdbc:mysql:///day17

* user :连接数据库用户名

* password :连接数据库密码

Connection:代表的连接

作用:

一、创建执行sql语句的对象

* Statement createStatement() --- 执行SQL语句

* PreparedStatement prepareStatement(String sql) --- 对SQL进行预编译,解决SQL注入漏洞.

* CallableStatement prepareCall(String sql) ---调用数据库存储过程.

二、管理事务

* void setAutoCommit(boolean autoCommit) --- 设置事务是否自动提交.

* void commit(); --- 事务提交

* void rollback(); --- 事务回滚

Statement:执行SQL

作用:

一、执行sql.

* ResultSet executeQuery(String sql); --- 执行select语句.

* int executeUpdate(String sql); --- 执行update、insert、delete语句,int代表的是sql语句影响的行数.

* boolean execute(String sql); --- 如果执行sql有结果集,返回true.如果没有结果集返回false.

二、执行批处理.

* void addBatch(String sql) ; --- 将SQL添加到批处理中.

* int[] executeBatch() ; --- 执行批处理

* void clearBatch() ; --- 清除批处理

ResultSet:结果集对象.指的是查询语句返回结果.

结果集内部维护了一个游标:开始指向第一行之前.调用next()才会指向具体行.

结果集获得数据:

* getXXX(int idx)---getXXX(String name);

* int idx:列号.

* String name:列名(推荐)

滚动结果集:(了解)

* 使用滚动结果集需要设置Statement对象.

* 使用Statement的时候如何创建的?

* Statement stmt = conn.createStatement();

* 在Connection对象中有这样一个方法

* createStatement(int resultSetType, int resultSetConcurrency)

* 参数:

* resultSetType :结果集类型

* TYPE_FORWARD_ONLY :结果集只能向下

* TYPE_SCROLL_INSENSITIVE :结果集可以滚动,但是不可以修改.

* TYPE_SCROLL_SENSITIVE :结果集可以滚动,可以修改记录.

* resultSetConcurrency :结果集并发策略

* CONCUR_READ_ONLY :只读的

* CONCUR_UPDATABLE :可以修改的

* 组合:

* TYPE_FORWARD_ONLY CONCUR_READ_ONLY:结果集只能向下,而且不可以修改.(默认的)

* TYPE_SCROLL_INSENSITIV CONCUR_READ_ONLY:结果集可以滚动,但是不能修改.

* TYPE_SCROLL_SENSITIVE CONCUR_UPDATABLE:结果集可以滚动,可以修改.

1.2.5 资源释放

Jdbc程序运行完后,切记要释放程序在运行过程中,创建的那些与数据库进行交互的对象,这些对象通常是ResultSet, Statement和Connection对象。

特别是Connection对象,它是非常稀有的资源,用完后必须马上释放,如果Connection不能及时、正确的关闭,极易导致系统宕机。Connection的使用原则是尽量晚创建,尽量早的释放。

为确保资源释放代码能运行,资源释放代码也一定要放在finally语句中。

查看MYSQL文档:

标准的资源释放的代码:

if (rs != null) {

try {

rs.close();

} catch (SQLException sqlEx) {

}

rs = null;

}

if (stmt != null) {

try {

stmt.close();

} catch (SQLException sqlEx) {

}

stmt = null;

}

if (conn!= null) {

try {

conn.close();

} catch (SQLException sqlEx) {

}

conn= null;

}

1.2.6 CRUD的操作

参见代码

1.2.7 工具类的抽取
1.2.8 JavaEE开发模式DAO模式:
1.2.9 DAO的登录的案例:

1.搭建开发环境:

* 导入jar包.

* 导入工具类和配置文件.

2.设计页面:

3.建包

SQL注入漏洞:

已知用户名,密码不知道!使用账号登录!!

* 输入:

1、用户名:张三’ or ‘1=1 密码随意.

2、用户名:张三’ -- 密码随意.

* 问题产生的原因:

* SQL的拼接:

* select * from user where username = ‘变量’ and password = ‘变量’;

* 演示问题:

* select * from user where username = ‘张三’ or ‘1=1’ and password = ‘随意’;

* select * from user where username = ‘张三’ -- ’ and password = ‘变量’;

* 避免该问题:

* 使用JS在前端进行校验:控制文本框不能输入特殊字符!!!

* JS校验不是必须的!为了提高用户的体验!JS的校验可以被绕行!

* 后台校验是必须的!

* 彻底解决SQL注入漏洞 :

* PreparedStatement :可以对sql进行预编译.SQL变量使用?作为占位符.

* select * from user where username = ? and password = ?; ---?号代表是一个变量.PreparedStatement将sql提前编译.编译后的SQL的格式就固定了.

1.2.10 JDBC的大数据类型的读写.

MYSQL的数据库中有两个类型:TEXT、BLOB. TEXT用于存文本 BLOB用于存二进制文件.(图片、MP3)

* Oracle数据库中CLOB、BLOB

* 使用JDBC操作数据库中大文件类型.

* TINYTEXT(255)、TEXT(64k)、MEDIUMTEXT(16M)和LONGTEXT(4G)

* 创建一个表:

Create table mytext(

Id int primary key auto_increment,

Data MEDIUMTEXT

);

Create table myblob(

Id int primary key auto_increment,

Data MEDIUMBLOB

);

1.2.11 执行批处理

批处理:将一批SQL一起执行.

MYSQL数据库中插入10000条记录大致4分钟.

* 100000:40多秒. 10000:4秒.

Oracle:

* 100000:4秒. 10000:瞬间.

今天的内容总结:

JDBC:

* JDBC概念:Java数据库连接.SUN公司提供一套操作数据库API.

* API:

* DriverManager:管理驱动

* 1.注册驱动

* Class.forName(“com.mysql.jdbc.Driver”);

* 2.获得连接

* getConnection(String url,String username,String password);

* Connection:连接对象

* 1.创建执行sql的对象.

* Statement:

* PreparedStatment:

* CallableStatment:

* 2.管理事务:

* setAutoCommit(boolean flag);

* commit();

* rollback();

* Statement:

* 1.执行sql

* executeQuery(sql);

* executeUpdate(sql);

* execute(sql);

* 2.执行批处理:

* addBatch(sql);

* executeBatch(sql);

* clearBatch();

* ResultSet:

* 默认情况下只能向下不能修改:

* 遍历结果集:

* 获取结果集值:

* 滚动结果集(了解)

* 释放资源:

* JDBC的CRUD的操作:

* 提取出工具类:

* 使用工具类CRUD:

* DAO模式:

* DAO数据访问对象.封装对数据源的单个操作,提供一组接口供业务层调用.调用的过程中传递一个对象!

* 使用DAO模型编写登录案例:

* SQL注入的漏洞:

* 解决使用PreparedStatement.

* 大文件读写:(了解)

* 批处理

以上是关于jdbc mysql crud dao模型 sql注入漏洞 jdbc 操作大文件的主要内容,如果未能解决你的问题,请参考以下文章

如何仅使用 java 和 jdbc(无 ORM)为基本的 crud 操作实现通用 DAO?

java oop第09章_JDBC02(CRUD操作)

DAO 层内的 JDBC 连接

JDBC03----DAO思想

javaWeb_JDBC_dao模式设计

Spring框架针对dao层的jdbcTemplate操作 包括crud