JDBC数据库连接

准备

准备对应数据库版本的连接jar包,下载后进行导入

地址:https://dev.mysql.com/downloads/connector/j/

步骤

  1. 注册驱动 

    1. Class.forName("com.mysql.jdbc.Driver");//适用于mysql5.x版本
    2. Class.forName("com.mysql.cj.jdbc.Driver");//适用于mysql8.x版本

  2. 创建连接
    使用DriverManager.getConnection()方法来创建一个Connection对象,它代表一个数据库的物理连接, 

    1.              //协议名       //IP地址:端口号  //库名    //字符集    //时区
    2. String url = "jdbc:mysql://localhost:3306/cgb2106?characterEncoding=utf8";
    3. Connection c = DriverManager.getConnection(url, "root", "root");//三个参数分别为链接地址,用户名,密码

  3. 获取传输器
    需要使用一个类型为StatementPreparedStatement的对象,并提交一个SQL语句到数据库执行查询。 

    1. Statement s = c.createStatement();

  4. 进行查询
    执行SQL—-executeQuery()执行查询的SQL
    若要执行一个SQL语句:UPDATEINSERTDELETE语句,那么需要下面的代码片段: 

    1. ResultSet r = s.executeQuery("select * from dept");
    1. stmt = conn.createStatement();
    2. String sql;
    3. sql = "DELETE FROM Employees";
    4. ResultSet rs = stmt.executeUpdate(sql);

  5. 处理结果集
    next()方法判断当前行有无数据,有数据就返回true 

    1. while (r.next()){
    2.         String a = r.getString(1);//获取第一列的数据
    3.         String b = r.getString(2);//获取第二列的数据
    4.         String d = r.getString(3);//获取第三列的数据
    5. //            String dname = r.getString("dname");
    6. //            String deptno = r.getString("deptno");
    7. //            String loc = r.getString("loc");//获取指定字段的值
    8. //            System.out.println("deptno:" + deptno + ",dname:" + dname + ",loc:" + loc);
    9.         System.out.println(a + b + d);
    10.     }

  6. 清理环境资源 

    1. r.close();//关闭结果集
    2. s.close();//关闭传输器
    3. c.close();//关闭连接

示例代码

  1. package cn.tedu.jdbc;
  3. import java.sql.Connection;
  4. import java.sql.DriverManager;
  5. import java.sql.ResultSet;
  6. import java.sql.Statement;
  8. public class TestJDBC {
  9.     public static void main(String[] args) throws Exception {
  10.         //1.注册驱动 Driver.class
  11.         Class.forName("com.mysql.jdbc.Driver");
  13.         //2.获取连接(用户名、密码、端口号、库名)
  14.                         //协议名       //IP地址:端口号  //库名
  15.         String url = "jdbc:mysql://localhost:3306/cgb2106?characterEncoding=utf8";
  16.         Connection c = DriverManager.getConnection(url, "root", "root");
  18.         //3.获取传输器
  19.         Statement s = c.createStatement();
  21.         //4.执行SQL---executeQuery()执行查询的SQL
  22.         ResultSet r = s.executeQuery("select * from dept");
  24.         /*
  25.         5.处理结果集
  26.         next()方法判断当前行有无数据,有数据就返回true
  27.          */
  28.         while (r.next()){
  29.             String a = r.getString(1);//获取第一列的数据
  30.             String b = r.getString(2);//获取第二列的数据
  31.             String d = r.getString(3);//获取第三列的数据
  32. //            String dname = r.getString("dname");
  33. //            String deptno = r.getString("deptno");
  34. //            String loc = r.getString("loc");//获取指定字段的值
  35. //            System.out.println("deptno:" + deptno + ",dname:" + dname + ",loc:" + loc);
  36.             System.out.println(a + b + d);
  37.         }
  39.         //6.释放资源
  40.         r.close();//关闭结果集
  41.         s.close();//关闭传输器
  42.         c.close();//关闭连接
  43.     }
  44. }

SQL注入(SQL攻击)

用户输入非法字符“#”或者“—空格”导致后面的SQL语句失效

因为”#”与”—空格”在SQL语句中为注释,会使后面的SQL语句失效

示例代码

  1. package cn.tedu.jdbc;
  3. import java.sql.Connection;
  4. import java.sql.DriverManager;
  5. import java.sql.ResultSet;
  6. import java.sql.Statement;
  7. import java.util.Scanner;
  9. public class JDBCAttack {
  10.     public static void main(String[] args) throws Exception {
  11.         //1.注册驱动 Driver.class
  12.         Class.forName("com.mysql.cj.jdbc.Driver");
  14.         String url = "jdbc:mysql://localhost:3306/cgb2106?characterEncoding=utf8";
  15.         Connection conn = DriverManager.getConnection(url, "root", "root");
  17.         Statement s = conn.createStatement();
  19.         String user = new Scanner(System.in).nextLine();
  20.         String pwd = new Scanner(System.in).nextLine();
  21.         String sql ="select name,password from user where name='"+user+"' and password='"+pwd+"'";
  22.         ResultSet r = s.executeQuery(sql);
  24.         if(r.next()){
  25.             System.out.println("登录成功~");
  26.         }else{
  27.             System.out.println("登录失败~");
  28.         }
  30.         //6.释放资源
  31.         r.close();//关闭结果集
  32.         s.close();//关闭传输器
  33.         conn.close();//关闭连接
  34.     }
  35. }

SQL注入解决方案

使用prepareStatement()对象来使用SQL语句进行数据操作,使用?作为占位符,将要查询的字段使用setString()方法进行设置。

  1. sql = "select * from teachers where tname=?";//参数使用问号
  2. PreparedStatement stat = cn.prepareStatement(sql);//对象换掉
  3. stat.setString(1, condition);//对应参数类型,第几个问号
  4. ResultSet rs = stat.executeQuery();//去掉sql参数

示例代码

  1. private static void toSolve() {
  2.         //1.注册驱动 Driver.class
  3.         try {
  4.             Class.forName("com.mysql.cj.jdbc.Driver");
  5.             String url = "jdbc:mysql://localhost:3306/cgb2106?characterEncoding=utf8";
  7.             Connection conn = DriverManager.getConnection(url, "root", "root");
  9.             Statement s = conn.createStatement();
  11.             String user = new Scanner(System.in).nextLine();
  12.             String pwd = new Scanner(System.in).nextLine();
  14.             //获取传输器
  15.             String sql = "select name,password from user where name = ? and password = ?";//?为占位符,sql骨架
  16.             PreparedStatement ps = conn.prepareStatement(sql);
  17.             ps.setString(1, user);
  18.             ps.setString(2, pwd);
  19.             ResultSet result = ps.executeQuery();
  21.             if (result.next()){
  22.                 System.out.println("成功");
  23.             } else {
  24.                 System.out.println("失败");
  25.             }
  27.             result.close();
  28.             ps.close();
  29.             conn.close();
  31.         } catch (Exception e) {
  32.             e.printStackTrace();
  33.         }
  35.     }