JDBC学习笔记(3)--PreparedStatement执行sql语句 + mysql注入+callablestatement执行存储过程

一.PreparedStatement执行sql语句

1.首先连接数据库Dao.java
package com.huan.dao;

import org.junit.Test;

import java.sql.*;

/**
 * Created by pc on 17-5-1.
 */
public class Dao {
    static String user ="root";
    static String password = "root";
    static String url = "jdbc:mysql://localhost:3306/eurasia_echarts?characterEncoding=UTF-8";

    @Test
    public static Connection getDao() throws Exception {
        Class.forName("com.mysql.jdbc.Driver");
        Connection conn = DriverManager.getConnection(url, user, password);
        if (null != conn) {
            System.out.println("连接成功");
        }
        return conn;
    }

    public static void close(Statement state, Connection conn){
        if(null != state){
            try {
                state.close();
            } catch (SQLException e) {
                e.printStackTrace();
            }
        }
        if(null != conn){
            try {
                conn.close();
            } catch (SQLException e) {
                e.printStackTrace();
            }
        }
    }
    public static void close(ResultSet rs, Statement state, Connection conn ){
        if(null != rs){
            try {
                rs.close();
            } catch (SQLException e) {
                e.printStackTrace();
            }
        }

        if(null != state){
            try {
                state.close();
            } catch (SQLException e) {
                e.printStackTrace();
            }
        }
        if(null != conn){
            try {
                conn.close();
            } catch (SQLException e) {
                e.printStackTrace();
            }
        }
    }
}

2.PreparedStatement执行DML语句
  • 执行插入语句
  • 执行更新语句
  • 执行删除语句

插入演示

package com.huan.PreparedStatement;

import com.huan.dao.Dao;
import org.junit.Test;

import java.sql.Connection;
import java.sql.PreparedStatement;

/**
 * Created by pc on 17-5-1.
 */
public class Demo_preparedStatement {
    @Test
    public void test() throws Exception {
        Connection conn = null;
        PreparedStatement pstmt= null;
        conn = Dao.getDao();
        //预编译的sql语句
        String sql = " insert into mahuan (name,age) values(?,?); ";//一个问号表示一个参数占位值
        //执行预编译sql语句
        pstmt = conn.prepareStatement(sql);
        //设置参数
        pstmt.setString(1,"马欢");
        pstmt.setInt(2,22);
/*
更新数据
         String sql = " update mahuan set name =? where id =?; ";
        执行预编译sql语句
        pstmt = conn.prepareStatement(sql);
        设置参数
        pstmt.setString(1,"王五");
        pstmt.setInt(2,4);
删除数据
        String sql = " delete from mahuan where  id =?; ";
        执行预编译sql语句
        pstmt = conn.prepareStatement(sql);
        设置参数
        pstmt.setInt(1,4);
*/
        int count = pstmt.executeUpdate();
        System.out.println(count);
        Dao.close(pstmt,conn);

    }
}

  • 3.PreparedStatement执行DQL语句

  • 执行查询语句
package com.huan.PreparedStatement;

import com.huan.dao.Dao;
import org.junit.Test;

import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.ResultSet;

/**
 * Created by pc on 17-5-1.
 */
public class Demo_Select {
    @Test
    public void selectTest() throws Exception {
        Connection conn = null;
        PreparedStatement pstmt = null;
        conn = Dao.getDao();
        String sql = " select * from mahuan; ";
        pstmt = conn.prepareStatement(sql);

         ResultSet rs = pstmt.executeQuery();
         while(rs.next()){
             System.out.println("用列名称取值:编号:"+rs.getInt("id") +" 姓名:"+rs.getString("name")+" 年龄:"+rs.getString("age"));
         }

         Dao.close(rs, pstmt,conn);
    }
}

PreparedStatement和Statement区别

1.PreparedStatement比Statement效率高
2.语法不一样
3.PreparedStatement数据更安全

二.mysql注入

模拟登录:创建表users:

  • 正常登录:
    String name ="mahuan";
    String password = "123456";
  • 当用户名(被破解)
    String name ="mahuan' or 1=1-- '";
    String password = "456";

上面这两条登录都可以登录,但是第二条语句明显错误,这是利用mysql语法漏洞进行登录

mysql注入成功(Statement)
package com.huan.statemennt;

import com.huan.dao.Dao;
import org.junit.Test;

import java.sql.Connection;
import java.sql.ResultSet;
import java.sql.Statement;

/**
 * Created by pc on 17-5-1.
 */
public class login {
    String name ="mahuan' or 1=1-- '";
    String password = "456";
    @Test
    public void login_Statement() throws Exception {

        Connection conn = null;
        Statement stmt = null;
        conn = Dao.getDao();
        stmt = conn.createStatement();

        String sql=" select * from users where name='"+name+"' and password='"+password+"'; ";

        ResultSet rs = stmt.executeQuery(sql);
        if (rs.next()){
            System.out.println("登录成功");
        }else {
            System.out.println("登录失败");
        }
    }
}

image.png
mysql注入失败(PreparedStatement)
package com.huan.statemennt;

import com.huan.dao.Dao;
import org.junit.Test;

import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.Statement;

/**
 * Created by pc on 17-5-1.
 */
public class login {
    String name ="mahuan' or 1=1-- '";
    String password = "456";
    @Test
    public void login_Statement() throws Exception {

        Connection conn = null;
        PreparedStatement stmt = null;
        conn = Dao.getDao();
        
        String sql=" select * from users where name=? and password=?; ";
        stmt = conn.prepareStatement(sql);
        stmt.setString(1,name);
        stmt.setString(2,password);
        ResultSet rs = stmt.executeQuery();
        if (rs.next()){
            System.out.println("登录成功");
        }else {
            System.out.println("登录失败");
        }
    }
}

上面实例证明PreparedStatement比Statement更安全

三.callablestatement执行存储过程(是PreparedStatement的子接口)

1输出所有参数:

  • 创建存储过程

如何创建:Mysql学习笔记(6)-存储过程

delimiter $
create procedure pro_findid(in sid int)
begin
    select * from mahuan where id =sid;
end $
  • 通过程序调用存储过程,所有调用存储过程都用executeQuery
package com.huan.statemennt;

import com.huan.dao.Dao;
import org.junit.Test;

import java.sql.*;

/**
 * Created by pc on 17-5-1.
 */
public class login {
    String name ="mahuan' or 1=1-- '";
    String password = "456";
    @Test
    public void login_Statement() throws Exception {

        Connection conn = null;
        CallableStatement cstmt = null;
        conn = Dao.getDao();

        String sql = " call pro_findid(?); ";
        cstmt = conn.prepareCall(sql);
        cstmt.setInt(1,5);

        ResultSet rs =cstmt.executeQuery();//所有调用存储过程都用executeQuery
        while(rs.next()){
            System.out.println("用列名称取值:编号:"+rs.getInt("id") +" 姓名:"+rs.getString("name")+" 年龄:"+rs.getString("age"));
        }
    }
}

2.带有输出参数的存储过程

  • 创建存储过程

delimiter $
create procedure pro_findidname(in sid int,out sname varchar(20))
begin
    select name into sname from mahuan where id =sid;
end $
  • 执行带有输入输出参数的存储过程
package com.huan.statemennt;

import com.huan.dao.Dao;
import org.junit.Test;

import java.sql.*;

/**
 * Created by pc on 17-5-1.
 */
public class login {
    String name ="mahuan' or 1=1-- '";
    String password = "456";
    @Test
    public void login_Statement() throws Exception {

        Connection conn = null;
        CallableStatement cstmt = null;
        conn = Dao.getDao();

        String sql = " call pro_findidname(?,?); ";
        cstmt = conn.prepareCall(sql);
        cstmt.setInt(1,5);
        cstmt.registerOutParameter(2, java.sql.Types.VARCHAR);
        cstmt.executeQuery();
        String  result = cstmt.getString(2);
        System.out.println(result);
       Dao.close(cstmt,conn);
    }
}

文章文集:JavaEE--学习笔记

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 211,042评论 6 490
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 89,996评论 2 384
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 156,674评论 0 345
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,340评论 1 283
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 65,404评论 5 384
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,749评论 1 289
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,902评论 3 405
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,662评论 0 266
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,110评论 1 303
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,451评论 2 325
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,577评论 1 340
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,258评论 4 328
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,848评论 3 312
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,726评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,952评论 1 264
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,271评论 2 360
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,452评论 2 348

推荐阅读更多精彩内容

  • JDBC简介 SUN公司为了简化、统一对数据库的操作,定义了一套Java操作数据库的规范,称之为JDBC。JDBC...
    奋斗的老王阅读 1,507评论 0 51
  • 1. Java基础部分 基础部分的顺序:基本语法,类相关的语法,内部类的语法,继承相关的语法,异常的语法,线程的语...
    子非鱼_t_阅读 31,598评论 18 399
  • JDBC概述 在Java中,数据库存取技术可分为如下几类:JDBC直接访问数据库、JDO技术、第三方O/R工具,如...
    usopp阅读 3,533评论 3 75
  • 从古至今,任你跨越到哪个朝代、到达哪个圣地,采访哪个诗人、师者、或是哲学家、甚至是寻常百姓家:“天地之间,你...
    天思静默阅读 252评论 24 12