使用JDBC分别利用Statement和PreparedStatement来对MySQL数据库进行简单的增删改查以及SQL注入的原理

一、MySQL数据库的下载及安装

https://www.mysql.com/

点击DOWNLOADS,拉到页面底部,找到MySQL Community(GPL)Downloads,点击

选择下图中的MySQL Community Server

选择想要的版本进行下载

之后的步骤,因为本人已经安装过MySQL数据库,而卸载重装会比较麻烦,卸载不干净会导致新的装不上,所以可以参考下面的博客,因为官网的改动,前面的部分已经与该博客不符,按照本人在上面的介绍寻找即可

https://blog.csdn.net/weixin_42555080/article/details/87884902

下面是数据库可视化工具Navicat的下载及破解教程

https://blog.csdn.net/WYpersist/article/details/86530973

二、使用JDBC利用Statement来对MySQL数据库进行简单的增删改查

JDBC:Java  DataBase Connectivity
可以为多种关系型数据库DBMS提供统一的访问方式,用java来操作数据库。
Java程序通过JDBC来操作JDBC DriverManager 来操作数据库驱动程序(如Mysql驱动程序),进而操作数据库(如Mysql数据库)。

1、JDBC API:提供各种访问接口
 三项功能:
 Java程序与数据库建立连接
 Java程序发送SQL语句给数据库
 数据库返回处理结果给Java程序
 
 三项功能具体通过下面类/接口实现
 DriverManager:管理JDBC驱动
 Connection:Java程序与数据库建立连接
 Statement( PreparedStatement子类):增删改查
 CallableStatement:调用数据库的存储过程/存储函数
 ResultSet: 数据库返回的结果集
 
 JDBC访问数据库的具体步骤
 a.导入驱动,加载具体的驱动类
 b.与数据库建立连接
 c.发送SQL,执行
 d.处理结果集(查询)

驱动jar
如mysql-connector-java-x.jar(其中x为具体的版本号)
具体驱动类:
如com.mysql.jdbc.Driver

连接字符串
数据库名、IP地址、端口号
如:jdbc:mysql://localhost:3306/数据库实例名

Connection产生操作数据库的对象
connection.createStatement():产生Statement
connection.prepareStatement():产生PreparedStatement
connection.prepareCall():产生CallableStatement

ResultSet: 数据库返回的结果集 select * from xxx(表名)
ResultSet rs=null;
rs.next();
1、下移
2、判断下移后的元素是否有数据
  如果不为空:返回true(有数据)
  如果为空:返回false(无数据)
rs.previous():
1、上移
2、判断上移后的元素是否有数据
  如果不为空:返回true(有数据)
  如果为空:返回false(无数据)

rs.getXXX(字段名|下标):获取rs指向行的数据

Statement操作数据库
增删改:executeUpdate(sql)
查:executeQuery(sql)

实例

在Navicat建表如图

原码如下

package JDBCDemo;

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;

public class JDBCDemo {
    private static final String URL="jdbc:mysql://localhost:3306/mysql?serverTimezone=UTC&characterEncoding=utf-8";
    private static final String USERNAME="root";
    private static final String PWD="vayne";
        public static void update()
        {
            Statement stmt=null;
            Connection connection=null;
            try {

            //a.导入驱动,加载具体的驱动类
            Class.forName("com.mysql.cj.jdbc.Driver");
            //b.与数据库建立连接
            connection = DriverManager.getConnection(URL,USERNAME,PWD);
            //使用Ctrl+1,快速生成值来获取Connection
            //c.发送SQL,执行(增删改、查)
            stmt = connection.createStatement();
            //增
            //String sql="insert into student values(1,‘张志伟‘,19)";
            //删
            String sql="delete from student where name =‘zzw‘";
            //改
            //String sql="update student set name =‘zzw‘ where id=1";
            //执行SQL
            int count=stmt.executeUpdate(sql);//返回值表示,增删改几条数据
            //处理结果
            if(count>0)
            {
                System.out.println("操作成功!!!");
            }

            }catch(ClassNotFoundException e) {
                e.printStackTrace();
            }catch(SQLException e) {
                e.printStackTrace();
            }catch(Exception e){
                e.printStackTrace();
            }finally {
                try {
                    //先开的后关,后开的先关
                if(stmt!=null)stmt.close();
                if(connection !=null)connection.close();
                }catch(SQLException e) {
                    e.printStackTrace();
                }finally {

                }
            }

        }

        public static void query() {
            Statement stmt=null;
            Connection connection=null;
            ResultSet rs=null;
            try {

            //a.导入驱动,加载具体的驱动类
            Class.forName("com.mysql.cj.jdbc.Driver");
            //b.与数据库建立连接
            connection = DriverManager.getConnection(URL,USERNAME,PWD);
            //使用Ctrl+1,快速生成值来获取Connection
            //c.发送SQL,执行(增删改、查)
            stmt = connection.createStatement();
            //查
            //String sql="select name,age from student";

            //模糊查询
            String aname="x";
            String sql="select * from student where name like‘%"+aname+"%‘";
            //执行SQL,增删改是executeUpdate(sql),查是executeQuery(sql)
            rs=stmt.executeQuery(sql);//返回值表示,增删改几条数据
            //处理结果
            while(rs.next()) {
                String sname=rs.getString("name");
                int sage=rs.getInt("age");
                System.out.println("姓名:"+sname+"年龄"+sage);
            }

            }catch(ClassNotFoundException e) {
                e.printStackTrace();
            }catch(SQLException e) {
                e.printStackTrace();
            }catch(Exception e){
                e.printStackTrace();
            }finally {
                try {
                    //先开的后关,后开的先关
                if(rs!=null)rs.close();
                if(stmt!=null)stmt.close();
                if(connection !=null)connection.close();
                }catch(SQLException e) {
                    e.printStackTrace();
                }finally {

                }
            }

        }
        public static void main(String[] args) {
            //update();
            query();
        }
}

增和查

改和查

删和查

模糊查询

String aname="x";
String sql="select * from student where name like‘%"+aname+"%‘";

在表中添加如图

实现模糊查询

三、使用JDBC利用PreparedStatement来对MySQL数据库进行简单的增删改查

PreparedStatement操作数据库
因为PreparedStatement是Statement的子类
因此:
增删改:executeUpdate(sql)
查:executeQuery(sql)
赋值操作:setXXX();

实例

原码如下

package JDBCDemo;

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;

public class JDBCPrepareDemo {
    private static final String URL="jdbc:mysql://localhost:3306/mysql?serverTimezone=UTC&characterEncoding=utf-8";
    private static final String USERNAME="root";
    private static final String PWD="vayne";
        public static void update()
        {
            PreparedStatement pstmt=null;
            Connection connection=null;
            try {

            //a.导入驱动,加载具体的驱动类
            Class.forName("com.mysql.cj.jdbc.Driver");
            //b.与数据库建立连接
            connection = DriverManager.getConnection(URL,USERNAME,PWD);
            //使用Ctrl+1,快速生成值来获取Connection
            //c.发送SQL,执行(增删改、查)
            //增
            //String sql="insert into student values(?,?,?)";
            //删
            String sql="delete from student where name =‘zzw‘";
            //改
            //String sql="update student set name =‘zzw‘ where id=66";
            //执行SQL

            pstmt = connection.prepareStatement(sql);//预编译
            //pstmt.setInt(1, 66);
            //pstmt.setString(2, "六六大顺");
            //pstmt.setInt(3, 6); 

            int count=pstmt.executeUpdate();//返回值表示,增删改几条数据
            //处理结果
            if(count>0)
            {
                System.out.println("操作成功!!!");
            }

            }catch(ClassNotFoundException e) {
                e.printStackTrace();
            }catch(SQLException e) {
                e.printStackTrace();
            }catch(Exception e){
                e.printStackTrace();
            }finally {
                try {
                    //先开的后关,后开的先关
                if(pstmt!=null)pstmt.close();
                if(connection !=null)connection.close();
                }catch(SQLException e) {
                    e.printStackTrace();
                }finally {

                }
            }

        }

        public static void query() {
            PreparedStatement pstmt=null;
            Connection connection=null;
            ResultSet rs=null;
            try {

            //a.导入驱动,加载具体的驱动类
            Class.forName("com.mysql.cj.jdbc.Driver");
            //b.与数据库建立连接
            connection = DriverManager.getConnection(URL,USERNAME,PWD);
            //使用Ctrl+1,快速生成值来获取Connection
            //c.发送SQL,执行(增删改、查)
            //查
            String sql="select name,age from student";

            //模糊查询
            //String sql="select * from student where name like ?";
            //执行SQL,增删改是executeUpdate(sql),查是executeQuery(sql)
            pstmt = connection.prepareStatement(sql);//预编译
            //pstmt.setString(1, "%x%");
            rs=pstmt.executeQuery();//返回值表示,增删改几条数据
            //处理结果
            while(rs.next()) {
                String sname=rs.getString("name");
                int sage=rs.getInt("age");
                System.out.println("姓名:"+sname+"年龄"+sage);
            }

            }catch(ClassNotFoundException e) {
                e.printStackTrace();
            }catch(SQLException e) {
                e.printStackTrace();
            }catch(Exception e){
                e.printStackTrace();
            }finally {
                try {
                    //先开的后关,后开的先关
                if(rs!=null)rs.close();
                if(pstmt!=null)pstmt.close();
                if(connection !=null)connection.close();
                }catch(SQLException e) {
                    e.printStackTrace();
                }finally {

                }
            }

        }
        public static void main(String[] args) {
            update();
            query();
        }
}

增和查

改和查

删和查

模糊查询
            String sql="select * from student where name like ?";//预编译
            //执行SQL,增删改是executeUpdate(sql),查是executeQuery(sql)
            pstmt = connection.prepareStatement(sql);
            pstmt.setString(1, "%x%");

在表中添加如图

实现模糊查询

四、Statement和PreparedStatement的比较

推荐使用PreparedStatement,原因如下:
1、编码更加简便(避免了字符串拼接)
如:int id =1;String name="张志伟"
stmt:
String sql="insert into student(id,name) values("+id+",‘"+name+"‘)";
stmt.executeupdate(sql);

pstmt:
String sql="insert into student(id,name) values(?,?)";
pstmt=connection.prepareStatement(sql);//预编译sql
pstmt.setInt(1,id);
pstmt.setString(2,name);

2、可以提高性能(因为有预编译,预编译只编译一次)
当添加n次,
stmt:sql编译n次
pstmt:sql只编译一次

3、更加安全

stmt:存在被sql注入的风险
如:用户名:任意值 ’ or 1=1 --
   密码:任意值
   会登录成功
   select count(*) from login where uname=‘"+name+"‘ and upwd =‘"+pwd+"‘;
   进行代入检验:
   select count(*) from login where uname=‘任意值 ’ or 1=1 --‘ and upwd =‘任意值‘;
   uname=‘任意值 ’为false
   or
    1=1 为true
    --‘ and upwd =‘任意值‘;    sql语句中--为注释,后面全是注释
    所以,where的结果是true,登录成功
    相当于select count(*) from login

sql注入:将客户输入的内容 和开发人员的SQL语句 混为一体

pstmt:可以防止sql注入

原文地址:https://www.cnblogs.com/yeyueweiliang/p/12202679.html

时间: 2024-09-30 21:34:49

使用JDBC分别利用Statement和PreparedStatement来对MySQL数据库进行简单的增删改查以及SQL注入的原理的相关文章

用JDBC连接 数据库 进行简单的增删改查

JDBC为java的基础.用jdbc实现对数据库的增删改查的功能是程序员的基本要求.本例以mysql为例,首先要使用本例需要添加mysql-connector-java-5.1.7-bin.jar包.专门用来加载jdbc的驱动.如果数据库为oracle,相应的jar包换为ojdbc6.jar. 通过下面的代码可以练习一下,掌握jdbc的使用方法,自己可以对程序进行相应的扩展,可以试试oracle数据库,也可以试试MongoDB,还可以试试redis等. package jdbc; import

mysql数据库的连接以及增删改查Java代码实现(PreparedStatement版)

数据库: create table t1(id int primary key not null auto_increment,name varchar(32),password varchar(32)); insert into t1(name,password) values('admin','123'); insert into t1(name,password) values('zhangsan','123'); insert into t1(name,password) values(

mysql数据库的连接以及增删改查Java代码实现(Statement版)

数据库: create table t1(id int primary key not null auto_increment,name varchar(32),password varchar(32)); insert into t1(name,password) values('admin','123'); insert into t1(name,password) values('zhangsan','123'); insert into t1(name,password) values(

关于利用PHP访问MySql数据库的逻辑操作以及增删改查实例操作

PHP访问MySql数据库 <?php //造连接对象$db = new MySQLi("localhost","root","","0710_test"); //写SQL语句$sql = "select * from student";//检测连接数据库是否成功,失败返回"连接失败",并退出程序 if(mysqli_connect_error()){    die("连

通过JDBC进行简单的增删改查

通过JDBC进行简单的增删改查(以MySQL为例) 目录 前言:什么是JDBC 一.准备工作(一):MySQL安装配置和基础学习 二.准备工作(二):下载数据库对应的jar包并导入 三.JDBC基本操作 (1)定义记录的类(可选) (2)连接的获取 (3)insert (4)update (5)select (6)delete 四.测试 五.代码分析 六.思考问题 前言:什么是JDBC 维基百科的简介: Java 数据库连接,(Java Database Connectivity,简称JDBC)

通过JDBC进行简单的增删改查(以MySQL为例) 目录

通过JDBC进行简单的增删改查(以MySQL为例) 目录 前言:什么是JDBC 一.准备工作(一):MySQL安装配置和基础学习 二.准备工作(二):下载数据库对应的jar包并导入 三.JDBC基本操作 (1)定义记录的类(可选) (2)连接的获取 (3)insert (4)update (5)select (6)delete 四.测试 五.代码分析 六.思考问题 前言:什么是JDBC 维基百科的简介: Java 数据库连接,(Java Database Connectivity,简称JDBC)

Java通过JDBC进行简单的增删改查(以MySQL为例)

Java通过JDBC进行简单的增删改查(以MySQL为例) 目录: 前言:什么是JDBC 一.准备工作(一):MySQL安装配置和基础学习 二.准备工作(二):下载数据库对应的jar包并导入 三.JDBC基本操作   (1)定义记录的类(可选) (2)连接的获取 (3)insert (4)update (5)select (6)delete 四.测试 五.代码分析 六.思考问题 前言:什么是JDBC 维基百科的简介: Java 数据库连接,(Java Database Connectivity,

myeclipse中JDBC连接mysql和简单的增删改查

废话不多说,直接上操作图,操作起来理解会更彻底 1.myeclipse中项目结构,先在web-inf-lib下导入jar包,注意Web App Libraries这个目录,下面会有用到的地方 2.连接语句 package utils; import java.sql.Connection;import java.sql.DriverManager;import java.sql.PreparedStatement;import java.sql.ResultSet;import java.sql

JDBC实现最简单的增删改查

好久没写博客了,今天刚进入一家公司实习,在实习这段期间想把自己所学的东西通过博客记录下来 今天上午简单回顾了一下用JDBC实现最简单的增删改查 废话不多说,接下来就说明怎么用JDBC实现最简单的增删改查 我用的数据库是Mysql 1.创建一个MAVEN项目,需要导入两个jar包 分别为lombok 和 mysql 的jar包,在MAVEN的仓库网站可以轻松找得到 2.导入jar包之后 我们来进行数据库的连接操作 其步骤为 第一步:加载数据库驱动 Class.forName("com.mysql.