2. 程式人生 > 其它 >JDBC:createStatement(sql注入)與PrepareStatement(防止sql注入)程式案例程式碼優化

JDBC:createStatement(sql注入)與PrepareStatement(防止sql注入)程式案例程式碼優化

阿新 發佈:2021-02-08

技術標籤:學習經驗jdbc

把程式中重複的程式碼寫為一個工具類。
在這裡插入圖片描述
createStatement

package cn.dao;

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;
import java.util.ArrayList;
import java.util.List;

import javax.management.RuntimeErrorException;
 


import cn.IStudentDao.IStudentDao;
import cn.jdbcUtils.jdbcUtils;
import cn.student.Student;

//實現介面
public class DaoDemo implements IStudentDao{
	private static Connection connection ;
	private static Statement state;
	//實現
	private static ResultSet update;
	@Override
	public List<Student> findAll
 
(Student student) {
		//建立一個集合儲存學生物件
		List<Student> list = new ArrayList<Student>();
		//sql語句命令 SELECT id,NAME,age FROM student_jdbc;
		String sql = "SELECT id,NAME,age FROM student_jdbc;";
			try {
				//建立連線
				connection = jdbcUtils.getConnection();
				state = connection.createStatement
 
();
				update = state.executeQuery(sql);
				while(update.next()) {
					Student stud = new Student();
					stud.setId(update.getInt("id"));
					stud.setName(update.getString("name"));
					stud.setAge(update.getInt("age"));
					list.add(stud);
				}			
			} catch (SQLException e) {
				// TODO Auto-generated catch block
				throw new RuntimeException(e);
			}finally {
				 jdbcUtils.closeAll(connection, state, update);
			}						
		    return list;
	}

	@Override
	public void save(Student student) {
		//sql語句命令 INSERT INTO student_jdbc(NAME,age) VALUES ("miemie2",19);
		//Student student = new Student();
		String sql = "INSERT INTO student_jdbc(id,NAME,age) VALUES ('"+student.getId()+"','"+student.getName()+"',"+student.getAge()+")";
		
			try {
				//建立連線
				connection= jdbcUtils.getConnection();
				//建立實現方法物件
				Statement state = connection.createStatement();
				//實現
				int update = state.executeUpdate(sql);
			} catch (SQLException e) {
				// TODO Auto-generated catch block
				throw new RuntimeException(e);
			}finally {
				jdbcUtils.closeAll(connection, state, null);
			}
			
		
	}

	@Override
	public void update(Student student) {
		//sql語句命令 UPDATE student_jdbc SET age=20 WHERE id=1;
				String sql = "UPDATE student_jdbc SET age="+student.getAge()+",name='"+student.getName()+"' WHERE id="+student.getId()+";";
				try {
					//建立連線
					connection= jdbcUtils.getConnection();
					//建立實現方法物件
					Statement state = connection.createStatement();
					//實現
					int update = state.executeUpdate(sql);
				} catch (SQLException e) {
					// TODO Auto-generated catch block
					throw new RuntimeException(e);
				}finally {
					jdbcUtils.closeAll(connection, state, null);
				}
		
	}

	@Override
	public void delete(int id) {
		//sql語句命令 delete from student_jdbc where id=1;
		Student student = new Student();
		String sql = "delete from student_jdbc where id="+id+"";
		try {
			//建立連線
			connection= jdbcUtils.getConnection();
			//建立實現方法物件
			Statement state = connection.createStatement();
			//實現
			int update = state.executeUpdate(sql);
		} catch (SQLException e) {
			// TODO Auto-generated catch block
			throw new RuntimeException(e);
		}finally {
			jdbcUtils.closeAll(connection, state, null);
		}
		
	}

	@Override
	public Student findById(int id) {
		//sql語句命令 select id,name,age from student_jdbc where id=1;
		Student student = new Student();
		String sql = "select name,age from student_jdbc where id="+id+";";
		try {
			//建立連線
			connection = jdbcUtils.getConnection();
			//建立實現方法物件
			Statement state = connection.createStatement();
			//實現
			ResultSet rs = state.executeQuery(sql);
			while(rs.next()){
				student.setId(id);
				student.setName(rs.getString("name"));
				student.setAge(rs.getInt("age"));
			}
			//關閉
			rs.close();
			state.close();
			connection.close();
		} catch (SQLException e) {
			// TODO Auto-generated catch block
			throw new RuntimeException(e);
		}
		return student;
		
		 
	}

	@Override
	public List<Student> findId(int index1, int index2) {
		//sql語句命令 select id,name,age from student_jdbc LIMIT 0,2;
				List<Student> list = new ArrayList<Student>();
				//Student student = new Student();
				String sql = "SELECT id,NAME,age FROM student_jdbc LIMIT "+index1+","+index2+";";
				try {
					//建立連線
					connection = jdbcUtils.getConnection();
					//建立實現方法物件
					Statement state = connection.createStatement();
					//實現
					ResultSet rs = state.executeQuery(sql);
					while(rs.next()){
						Student student = new Student();
						student.setId(rs.getInt("id"));
						student.setName(rs.getString("name"));
						student.setAge(rs.getInt("age"));
						list.add(student);
					}
				} catch (SQLException e) {
					// TODO Auto-generated catch block
					throw new RuntimeException(e);
				}
				return list;
	}




}


package cn.IStudentDao;


import java.util.List;

import cn.student.Student;

public interface IStudentDao {
	//查詢全部
	List<Student> findAll(Student student);
    //儲存
	void save(Student student);
	//更新
	void update(Student student);
	//刪除
	void delete(int id);
	//主鍵查詢
	Student findById(int id);
	//分頁查詢
	public List<Student> findId(int index1,int index2);
}


package cn.student;

public class Student {
   private int id;
   private String name;
   private int age;
public int getId() {
	return id;
}
public void setId(int id) {
	this.id = id;
}
public String getName() {
	return name;
}
public void setName(String name) {
	this.name = name;
}
public int getAge() {
	return age;
}
public void setAge(int age) {
	this.age = age;
}
@Override
public String toString() {
	return "Student [id=" + id + ", name=" + name + ", age=" + age + "]";
}
   
}


package cn.jdbcUtils;

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;
import java.util.ArrayList;

import javax.management.RuntimeErrorException;

public class jdbcUtils {
	private static Connection connection = null;
	private static Statement state = null;
	private static PreparedStatement prepstate = null;
	private static ResultSet rs = null;
    public static Connection getConnection() {
    	
    	//Connection connection = null;
		try {
    		//載入驅動類
			Class.forName("com.mysql.jdbc.Driver");
			//建立連線
			connection = DriverManager.getConnection("jdbc:mysql://localhost:3306/myjdbc", "root", "root");
		    //return connection;
    	} catch (ClassNotFoundException e) {
			// TODO Auto-generated catch block
			e.printStackTrace();
		} catch (SQLException e) {
			// TODO Auto-generated catch block
			e.printStackTrace();
		}
    	return connection;	
    	
    }
    
    public static void closeAll(Connection connnection,Statement state,ResultSet rs) {
    	try {
    		if(rs!=null) {
    	       rs.close();
    	       rs = null;
    		}
    		if(state!=null) {
    			state.close();
    			state = null;
    		}
    		if(connection!=null) {
			   connection.close();
			   connection=null;
    		}		
		} catch (SQLException e) {
			// TODO Auto-generated catch block
			throw new RuntimeException(e);
		}
    	
    }
    
    //PreparedStatement優化(僅針對查詢操作)
    public static void setParameters(String sql,Object...parameters) {
    	try { 
			//建立連線
			connection = jdbcUtils.getConnection();
			//建立實現方法物件
			prepstate = connection.prepareStatement(sql);
			//設定sql語句中佔位符對應的值
			if(parameters!=null && parameters.length>0) {
				for(int i = 0;i<parameters.length;i++) {
					prepstate.setObject(i+1, parameters[i]);
				}
			}
			//執行命令
			int executeUpdate = prepstate.executeUpdate();
		} catch (SQLException e) {
			// TODO Auto-generated catch block
			throw new RuntimeException(e);
		}finally {
			jdbcUtils.closeAll(connection, prepstate, null);
		}
    }
}


package cn.test.jdbc;

import static org.junit.Assert.*;

import org.junit.Test;

import cn.IStudentDao.IStudentDao;
import cn.dao.DaoDemo;
import cn.dao.DaoDemoPrep;
import cn.student.Student;

public class TestDemo {
    private IStudentDao stud = new DaoDemo();
	//private IStudentDao stud = new DaoDemoPrep();
	@Test //
	public void testFindAll() {
		Student student = new Student();
		System.out.println(stud.findAll(student));
	}

	@Test
	public void testSave() {
		//模擬封裝
		Student student = new Student();
		student.setAge(18);
		student.setId(103);
		student.setName("jack");
		stud.save(student);
	}

	@Test //
	public void testUpdate() {
		Student student = new Student();
		student.setAge(18);
		student.setId(102);
		student.setName("Rose");
		stud.update(student);
	}

	@Test
	public void testDelete() {
		 stud.delete(103);
	}

	@Test 
	public void testFindById() {
		 System.out.println(stud.findById(6));
	}

	@Test
	public void testFindId() {
		System.out.println(stud.findId(0, 3));
	}

}

PrepareStatement

package cn.dao;

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.util.ArrayList;
import java.util.List;

import cn.IStudentDao.IStudentDao;
import cn.jdbcUtils.jdbcUtils;
import cn.student.Student;

//實現介面
public class DaoDemoPrep implements IStudentDao{
	
	private static Connection connection;
	private  static PreparedStatement state;
	private static ResultSet update;

	@Override
	public List<Student> findAll(Student student) {
		//建立一個集合儲存學生物件
		List<Student> list = new ArrayList<Student>();
		//sql語句命令 SELECT id,NAME,age FROM student_jdbc;
		String sql = "SELECT id,NAME,age FROM student_jdbc;";
		try {
			//建立連線
			connection = jdbcUtils.getConnection();
			//建立實現方法物件
			state = connection.prepareStatement(sql);
			//實現
			update = state.executeQuery();
			while(update.next()) {
				Student stud = new Student();
				stud.setId(update.getInt("id"));
				stud.setName(update.getString("name"));
				stud.setAge(update.getInt("age"));
				list.add(stud);
			}
		} catch (SQLException e) {
			// TODO Auto-generated catch block
			throw new RuntimeException();
		}finally {
			jdbcUtils.closeAll(connection, state, update);
		}
		 return list;
	}

	@Override
	public void save(Student student) {
		//sql語句命令 INSERT INTO student_jdbc(NAME,age) VALUES ("miemie2",19);
		//Student student = new Student();
	  String sql = "INSERT INTO student_jdbc(id,NAME,age) VALUES (?,?,?)";
	jdbcUtils.setParameters(sql,student.getId(),student.getName(),student.getAge());
		
	} 

	@Override
	public void update(Student student) {
		//sql語句命令 UPDATE student_jdbc SET age=20 WHERE id=1;
				String sql = "UPDATE student_jdbc SET age=?,name=? WHERE id=?";
				jdbcUtils.setParameters(sql, student.getAge(),student.getName(),student.getId());
		
	}

	@Override
	public void delete(int id) {
		//sql語句命令 delete from student_jdbc where id=1;
		String sql = "delete from student_jdbc where id="+id+"";
		jdbcUtils.setParameters(sql);
		
	}

	@Override
	public Student findById(int id) {
		//sql語句命令 select id,name,age from student_jdbc where id=1;
		Student student = new Student();
		String sql = "select name,age from student_jdbc where id=?";
		try {
			//建立連線
			connection = jdbcUtils.getConnection();
			//建立實現方法物件
			state = connection.prepareStatement(sql);
			state.setInt(1, id);
			//實現
			update = state.executeQuery();
			while(update.next()){
				student.setId(id);
				student.setName(update.getString("name"));
				student.setAge(update.getInt("age"));
			}
		}catch (SQLException e) {
			// TODO Auto-generated catch block
			throw new RuntimeException();
		}finally {
			jdbcUtils.closeAll(connection, state, update);
		}
		return student;
		
		 
	}

	@Override
	public List<Student> findId(int index1, int index2) {
		//sql語句命令 select id,name,age from student_jdbc LIMIT 0,2;
				List<Student> list = new ArrayList<Student>();
				//Student student = new Student();
				String sql = "SELECT id,NAME,age FROM student_jdbc LIMIT ?,?;";
				try {
					//建立連線
					connection = jdbcUtils.getConnection();
					//建立實現方法物件
					state = connection.prepareStatement(sql);
					state.setInt(1, index1);
					state.setInt(2, index2);
					//實現
					update = state.executeQuery();
					while(update.next()){
						Student student = new Student();
						student.setId(update.getInt("id"));
						student.setName(update.getString("name"));
						student.setAge(update.getInt("age"));
						list.add(student);
					}
				} catch (SQLException e) {
					// TODO Auto-generated catch block
					throw new RuntimeException();
				}finally {
					jdbcUtils.closeAll(connection, state, update);
				}
				return list;
	}




}


package cn.test.jdbc;

import static org.junit.Assert.*;

import org.junit.Test;

import cn.IStudentDao.IStudentDao;
import cn.dao.DaoDemo;
import cn.dao.DaoDemoPrep;
import cn.student.Student;

public class TestDemo {
    //private IStudentDao stud = new DaoDemo();
	private IStudentDao stud = new DaoDemoPrep();
	@Test //
	public void testFindAll() {
		Student student = new Student();
		System.out.println(stud.findAll(student));
	}

	@Test
	public void testSave() {
		//模擬封裝
		Student student = new Student();
		student.setAge(18);
		student.setId(103);
		student.setName("jack");
		stud.save(student);
	}

	@Test //
	public void testUpdate() {
		Student student = new Student();
		student.setAge(18);
		student.setId(102);
		student.setName("Rose");
		stud.update(student);
	}

	@Test
	public void testDelete() {
		 stud.delete(103);
	}

	@Test 
	public void testFindById() {
		 System.out.println(stud.findById(6));
	}

	@Test
	public void testFindId() {
		System.out.println(stud.findId(0, 3));
	}

}

相關推薦

JDBC:createStatementsql注入PrepareStatement防止sql注入程式案例程式碼優化

技術標籤:學習經驗jdbc程式中重複的程式碼寫為一個工具類。createStatement package cn.dao;

Flink sql 之 join StreamPhysicalJoinRule 原始碼解析

原始碼分析基於flink1.14 Join是flink中最常用的操作之一,但是如果濫用的話會有很多的效能問題,瞭解一下Flink原始碼的實現原理是非常有必要的

【轉載】淺談SQL Server事務上篇

一  概述 在資料庫方面,對於非DBA的程式設計師來說,事務鎖是一大難點,針對該難點,本篇文章試圖採用圖文的方式來大家一起探討。

資料結構演算法--棧stack佇列queue

class Stack(object): \"\"\"棧\"\"\" def __init__(self): self.items = [] def is_empty(self): \"\"\"判斷是否為空\"\"\"

C++ STL學習筆記之:佇列queue、雙端佇列dequestack

queue佇列 定義一個名為 que 的儲存 int 型別元素的佇列: queue<int> que; 入隊操作:

PHP客戶端 Golang服務端使用grpc+protobuf 通訊

  從零開始講解,PHP客戶端)與 Golang服務端使用grpc+protobuf 通訊。因為我本地環境都是配置好的,避免我落下步驟操作,所以我在docker環境下開發,拉取一個基於Alpine的映象。Alpine作業系統是一個面向安

python之中特性attribute屬性property有什麼區別?

屬性property是一種特殊的特性attribute。 如下,我們定義了一個圓圈類circle,圓圈嘛,自然就有直徑diameter和半徑radius,我們可以設定他們為特性attribute

java web Session會話技術原理圖解+功能+Cookie的區別+基本使用

java web Session會話技術原理圖解+功能+Cookie的區別+基本使用 這是我關於會話技術的第二篇文章,對 Cookie有不瞭解的兄弟可以點選下方的Cookie跳轉

Java Redis系列2 redis的安裝使用+redis持久化的實現

Java Redis系列2 redis的安裝使用+redis持久化的實現 什麼是Redis? Redis是用C語言開發的一個開源的高效能鍵值對key-value資料庫,官方提供測試資料,50個併發執行100000個請求,讀的速度是110000次/s,寫

node用express寫後端restful介面實戰三:sequelize操作資料庫:模型Model、遷移Migration種子Seeders

一、建立模型遷移 有了資料庫,裡面還要有 資料表。這次的專案非常簡單,現在要建的表也只有一張,名字叫做 articles。使用程式碼操作這些表,需要有模型,現在咱們就來建立一個模型。在建立模型的時候,還會自動生

MongoDB的備份mongodump恢復mongorestore

>>> 不用多想,資料的備份無論什麼時候都是必須的,尤其是重要資料。

abhttpabshttps壓測工具

在學習ab工具之前,我們需瞭解幾個關於壓力測試的概念 吞吐率Requests per second概念:伺服器併發處理能力的量化描述,單位是reqs/s,指的是某個併發使用者數下單位時間內處理的請求數。某個併發使用者數下單

Lodash之throttle節流debounce防抖總結

全手打原創,轉載請標明出處:https://www.cnblogs.com/dreamsqin/p/11305028.html 先重點說一下可能遇到的坑:主要在原本預設引數的設定以及兩個方法的選擇上,看完這篇總結你就知道怎麼回事了~

PYQT5學習筆記 N+ 1) 訊號內建訊號槽的使用

技術標籤:PYQTpython 實現效果 #自定義訊號槽的使用 #------------------------------------------------

PYQT5學習筆記 N+ 2) 訊號訊號槽兩個引數之間的傳遞

技術標籤:PYQTpython ###訊號槽 實現傳遞兩個引數 from PyQt5.QtCore import QObject, pyqtSignal

SoCSystem on chipNoCnetwork-on-chip)

SoCSystem on chipNoCnetwork-on-chip) NoC是相對於SoC的新一代片上互連技術,要深入瞭解NoC必須深刻認識SoC,故本文組織結構為:

巨集define常量const

既然選擇了遠方,便只顧風雨兼程。 巨集define 一. 巨集的理解   巨集是一種批量處理的稱謂。一般說來,巨集是一種規則或模式,或稱語法替換 ,用於說明某一特定輸入通常是字串如何根據預定義的規則轉換

WMS倉庫控制系統WCS倉庫管理系統

WCS 是倉庫控制系統(Warehouse Control System) 的縮寫。WCS是介於WMS系統和PLC系統之間的一層管理控制系統,,一方面,它WMS系統進行資訊互動,接受WMS系統的指令,並將其傳送給PLC系統,從而驅動自動化裝置發生

特異度specificity靈敏度sensitivity

前言 參考網址:https://www.jianshu.com/p/7919ef304b19 在論文閱讀的過程中,經常遇到使用特異性specificity和靈敏度sensitivity這兩個指標來描述分類器的效能。對這兩個指標表示的含有一些模糊,這裡查閱

Process程序Thread執行緒

Java多執行緒 Process程序Thread執行緒 說起程序,就不得不說下程式程式是指令和資料的有序集合,其本身沒有任何執行的含義,是一個靜態的概念