码迷,mamicode.com
首页 > 数据库 > 详细

由浅到深学习JDBC一

时间:2017-05-04 00:14:36      阅读:329      评论:0      收藏:0      [点我收藏+]

标签:jdbc   threadlocal   jdbcutil   依赖注入   深入浅出   

JDBC:


虽然由于快节奏的开发,编程速度的追求,越爱越多的MVC框架出现,比如持久层的hibernate,

mybatis等等,他们对Dao层的支持都很强大,既快速,又简便。但是他们的底层同样是使用了JDBC,

为了追求高速简便,我们可以不使用JDBC,但一定要了解JDBC。了解JDBC也有助于学习其他持久层框架。


java和数据库交互需要中间程序作为中转。在很早以前,数据库厂商还没有一套统一的API作为

java语言和数据库的接口,开发程序是一件很头疼的事。对不同的数据库需要写不同的程序来作为交互。

     java访问-----oracle程序-----oracle数据库

     java访问------mysql程序------mysql数据库

     java访问-------db2程序--------db2数据库

那到底什么是JDBC呢:

    JDBC是代表Java数据库连接,这对java编程语言和广泛的数据库之间独立于数据库的连接标准的Java API

     有了JDBC开发就统一了很多。

     java访问-----JDBC程序-----oracle数据库

     java访问------JDBC 程序------mysql数据库

     java访问------JDBC 程序--------db2数据库


以下简介JDBC针对oracl和mysql数据库。

oracle提供的jdbc接口的实现类-------ojdbc5.jar------jdk5.0  ojdbc6.jar-----jdk6.0

mysql提供的jdbc接口实现类--------mysql-connector-java-6.0.6

如果要开发JDBC程序,必然少不了这些jar包。下载可以去官网

https://dev.mysql.com/downloads/connector/


JDBC常用API简介:

java.sql.Connection:代表一个数据库连接;

java.sql.Statement:发送sql语句1至数据库;(发送sql的工具)

DriverManager:(类) 管理多个数据库驱动类

java.sql.ResultSet:结果集,存放查询语句执行后返回的数据结果


下图1.0为JDBC访问数据库流程


                                                图1.0




技术分享



JDBC开发步骤

1: 加载驱动

如果是oracle数据库:

将oracle ojdbc.jar 复制到项目里,点击项目,右键build path --add to buidpath 

Class.forName("oracle.jdbc.OracleDriver");

如果是mysql数据库:

将mysql  mysql-connector-java-6.0.6-bin 复制到项目里,build path --add to buidpath 

Class.forName("com.mysql.jdbc.Driver") ;   

2:连接数据库

     user:root----数据库用户名

     password:root------数据库密码

     url: oracle ----协议 :子协议 :thin:@ip:端口:SID(SID数据库的实例名)。

     eg:String url = "jdbc:oracle:thin:@localhost:1521:XE";

     url:mysql ------ 协议:子协议://ip:端口:数据库名

   eg:String url = "jdbc:mysql://localhost:3306/zdx";


3:准备sql

     sql字符串中不能有分号;

4:Statement将sql发送至数据库

      int i=  executeUpdate(sql); //返回受影响的行数

5:如果是查询语句,返回结果集,处理ResultSet。

6:关闭连接,释放资源,按照先打开后关闭的原则。


以上6步骤时开发JDBC程序的标准步骤。


ResultSet结果集简介及使用方法:

     ResultSet结果集:存放查询结果数据。

     ResultSet rs = Statement.executeQuery();

     rs指针初始位置在第一行数据之前

     boolean rs.next(): ,

     将rs的指针向下移动一位,当前行无数据返回false,有数据返回true,并获得查询数据。

     提供一组getXXX(int列序号或String列名)方法用于取得数据


以上是JDBC简介,下面是JDBC例子,例子才是王道。

JDBC1.0版本------是1.0版本。后面还会有更优秀的版本娓娓道来!


JDBC_ResultSet.java

public class JDBC_ResultSet {

       public static void main(String[] args) throws ClassNotFoundException, SQLException {

             //1:加载驱动

             //Class.forName("oracle.jdbc.OracleDriver");

             Class.forName("com.mysql.jdbc.Driver");

             //2:获得数据库连接

             String user = "root";

             String password = "root";

             //String url = "jdbc:oracle:thin:@localhost:1521:XE";

             String url = "jdbc:mysql://localhost:3306/zdx?serverTimezone=UTC";

             Connection conn = DriverManager.getConnection(url,user,password);

             //3:准备sql

             String sql = "select * from student";

             //4:创建Statement,发送sql

             Statement stm = conn.createStatement();//获的statement对象

             //5:如果是查询,处理结果集

             ResultSet rs = stm.executeQuery(sql);

             while(rs.next()){

                    int id = rs.getInt(1);

                    String name = rs.getString(2);

                    int age = rs.getInt(3);

                    String phone = rs.getString(4);

                    System.out.println(id+"---"+name+"---"+age+"---"+phone);

             }

             //6:关闭连接,释放资源,原则,先打开后关闭

             stm.close();

             conn.close();

             

       }

}



到了此处,我们的JDBC1.0已经写完了,但是为什么说是1.0呢,因为这个版本有一个很大的漏洞。

没错,那就是——依赖注入问题。

===================华丽丽的分割线==============================

下面我们可以看这个例子


JDBC_Statement.java


public class JDBC_Statement {

       public static void main(String[] args) throws Exception {

             

             Scanner sc = new Scanner(System.in);

             System.out.println("请输入卡号");

             String card_id = sc.nextLine();

             System.out.println("请输入密码");

             String pwd = sc.nextLine();

             //1:加载驱动

             Class.forName("com.mysql.jdbc.Driver");

             //2:获得数据库连接

             String user = "root";

             String password = "root";

             String url = "jdbc:mysql://localhost:3306/zdx?serverTimezone=UTC";

             Connection conn = DriverManager.getConnection(url,user,password);

             //3:准备sql

             String sql = "select * from account where card_id ="+card_id

                                 +" and password = ‘"+pwd+"‘";

             System.out.println(sql);

             //4:创建Statement,发送sql

             Statement stm = conn.createStatement();//获的statement对象

             //5:如果是查询,处理结果集

             ResultSet rs = stm.executeQuery(sql);

             if(rs.next()){

                    System.out.println("可以取钱了");

             }else{

                    System.out.println("密码账户不正确");

             }

             //6:关闭连接,释放资源,原则,先打开后关闭

             stm.close();

             conn.close();

       }

}



这是一个银行取钱的例子,如代码所写。

数据库有这样一张account表,数据和字段如下:


技术分享

现在在控制台输入卡号密码,卡号密码正确即可取钱,

错误即提示账户不正确。


现在控制台输入正确卡号密码


技术分享

然后,我输入错误的卡号密码竟然也可以取钱!输入错误的卡号 “123 or 1=1 -- ”密码 "zxc"结果如下

技术分享


可见依然能访问数据库,这对于银行可是致命性错误,密码错误还可以取钱。

这就是依赖注入引起的著名错误。

依靠人为输入破坏sql结构.

select * from account where id = 1001 or 1=1 -- and password = ‘xxx‘

这条sql里,其中--是sql里的注释 or 1=1 永远为真并且还是or连接,

所以这条sql只执行到 or 1=1 ,1=1又是恒等。所以跳过了密码。


为了解决这个问题,我们就要说PreparedStatement!


PreparedStatement简介及使用


PreparedStatement构建动态SQL,通过PreparedStatement执行SQL语句,解决注入攻击。

PreparedStatement是Statement的子接口。

通过连接创建PreparedStatement,创建时将SQL语句中发生变化的部分用占位符“?“ 代替。

功能:和statement一样,发送sql语句。 

          但是执行多个同构sql效率高。同构sql能省去①②③步骤。

使用步骤:

     1.创建pstm

     String sql = "select * from account where card_id = ? and password = ?"

     PreparedStateement pstm = conn.prepareStatement(sql);

          ①验证权限

          ②验证语法

          ③将sql转换内部指令

2.绑定参数

     pstm.setInt(1,值);

     pstm.setString(2,值);

3.发送绑定参数至DB数据库

     pstm.executeUpdate();//曾删改

     pstm.executedQuery();//查询

          ④执行内部指令操作数据库

mysql内部执行sql步骤:

          ①验证权限

          ②验证语法

          ③将sql转换内部指令

          ④执行内部指令操作数据库

使用PareparedStatement解决注入攻击问题后的代码如下:

JDBC2.0版本 是2.0版本>_< 。后面还会有更优秀的版本娓娓道来!

JDBC_PreparedStatement.java


public class JDBC_PreparedStatement {

       public static void main(String[] args) throws Exception {

             

             Scanner sc = new Scanner(System.in);

             System.out.println("请输入卡号");

             String card_id = sc.nextLine();

             System.out.println("请输入密码");

             String pwd = sc.nextLine();

             //1:加载驱动

             //Class.forName("com.mysql.jdbc.Driver");

             //2:获得数据库连接

             String user = "root";

             String password = "root";

             String url = "jdbc:mysql://localhost:3306/zdx?serverTimezone=UTC";

             Connection conn = DriverManager.getConnection(url,user,password);

             //3:准备sql

             String sql = "select * from account where card_id =? and password =?";

             PreparedStatement pstm = conn.prepareStatement(sql);

             pstm.setInt(1, Integer.valueOf(card_id));

             pstm.setString(2, pwd);

             //5:如果是查询,处理结果集

             ResultSet rs = pstm.executeQuery();

             if(rs.next()){

                    System.out.println("可以取钱了");

             }else{

                    System.out.println("密码账户不正确");

             }

             //6:关闭连接,释放资源,原则,先打开后关闭

             rs.close();

             pstm.close();

             conn.close();

       }

}

现在用PreparedStatement程序执行,输入卡号,密码


技术分享


出现异常,不会再出现密码错误却取钱的问题了!!!


总结对比一下 Statement 和PreparedStatement




Statement

PreparedStatement

关系

父接口

子接口

安全

存在注入隐患

解决sql注入

效率

执行异构sql快

执行同构sql快


至此JDBC2.0结束。JDBC基本内容结束,以下是JDBC进阶内容。和优化版JDBC例子。


=====================华丽丽的分割线===========================


由于 篇幅有限,后续部分请参阅下篇博客。由浅到深学习JDBC二

不妥之处恳请读者批评指正,共同进步。

本文出自 “心有猛虎,细嗅蔷薇” 博客,转载请与作者联系!

由浅到深学习JDBC一

标签:jdbc   threadlocal   jdbcutil   依赖注入   深入浅出   

原文地址:http://zhangdongxu.blog.51cto.com/12029530/1921704

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!