JDBC
JDBC全称Java Database Connectivity,即Java数据库连接器,是Java提供的专门执行SQL的API,包含在java.sql和javax.sql包里。
Java程序要连接数据库执行SQL,还需要安装数据库管理软件驱动,比如要连接MySQL,需要导入mysql-connector的jar包。
可以把JDBC的作用,可以与Navivcat等数据库可视化操作工具类比,比如:连接数据库、执行SQL、管理事务等。
JDBC的使用步骤比较固定:
- 加载驱动程序:使用
Class.forName()加载数据库驱动(JDBC 4.0以后可以自动加载,无需显性编写这个步骤的代码)。 - 建立连接:使用
DriverManager.getConnection()获取数据库连接,获得Connection对象,代表与数据库的连接对象。 - 创建语句:使用
Connection对象创建Statement、PreparedStatement或CallableStatement。这些Statement对象代表一个SQL。 - 执行SQL:执行SQL并获取ResultSet。ResultSet对象代表查询结果集。
- 处理结果:可以遍历ResultSet获取数据。
- 关闭资源:按顺序关闭
ResultSet、Statement和Connection。
示例代码:
importjava.sql.Connection;importjava.sql.DriverManager;importjava.sql.ResultSet;importjava.sql.Statement;// 使用JDBC API进行数据库连接并执行SQL语句 public class JdbcDemo1 {publicstatic void main(String[]args){// 定义数据库连接信息:// URL固定格式jdbc:mysql://主机名(ip或域名):端口号/数据库名称?useSSL=true&characterEncoding=utf8&useUnicode=true(参数K:参数V...)String url="jdbc:mysql://localhost:3306/practice_join?useSSL=true&characterEncoding=utf8&useUnicode=true";// 用户名和密码Stringuser="user";String password="password";// 执行SQL语句(注意:需要在Navicat等可视化工具中运行过,确保SQL语法正确)Stringsql="SELECT s.`student_id` AS student_id, s.`student_name` AS student_name, c.`class_name` AS class_name\n"+"FROM `student` AS s\n"+"LEFT JOIN `class` AS c\n"+"ON s.`class_id`=c.`class_id`";// 使用try-catch-resources语句处理异常,便于释放资源try(Connection conn=DriverManager.getConnection(url,user,password);Statement stmt=conn.createStatement();// 创建SQL语句对象ResultSet rs=stmt.executeQuery(sql);// 执行SQL,返回结果集){ System.out.println("数据库连接成功");// 处理结果集,打印出每一列的结果到控制台while(rs.next()){intstudent_id=rs.getInt("student_id");// 该类为整数类型,可以使用getInt()方法获取String student_name=rs.getString("student_name");// 该类为字符串类型,可以使用getString()方法获取String class_name=rs.getString("class_name");System.out.println(student_id+" "+student_name+" "+class_name);} } catch(Exception e){ System.out.println("数据库连接失败");e.printStackTrace();} } }JDBC核心接口和类
- DriverManager类。用来管理JDBC驱动程序的基本服务。最常用的是
static Connection getConnection(String url, String user, String password)方法,尝试与给定数据库URL建立连接。注意,不同的数据库的URL变量固定格式是不同的,MySQL的格式为:
// MySQL url固定格式jdbc:mysql://主机名(ip或域名):端口号/数据库名称?useSSL=true&characterEncoding=utf8&useUnicode=true(参数K:参数V...)Stringurl="jdbc:mysql://localhost:3306/practice_join?useSSL=true&characterEncoding=utf8&useUnicode=true";- Connection接口。表示与特定数据库的连接(会话)。常用方法有:
Statement createStatement():创建一个Statement对象,用于将SQL语句发送到数据库。PreparedStatement prepareStatement(String sql):创建一个PreparedStatement对象,用于将参数化的SQL语句发送到数据库。CallableStatement prepareCall(String sql):创建一个CallableStatement对象,用于调用数据库存储过程。void setAutoCommit(boolean autoCommit):设置此连接是否自动提交事务。void commit():提交事务,使上一次提交/回滚之后的所有更改成为持久更改。void rollback():回滚事务,撤销当前事务中所做的所有更改。void close():立即释放此Connection对象的数据库和JDBC资源。常用try-catch-resources语句处理异常,以便异常出现后程序自动释放资源。
- Statement接口。表示执行SQL语句的对象。常用方法:
ResultSet executeQuery(String sql):执行给定的SQL语句,返回一个ResultSet对象(通常用于SELECT查询语句),是最常用的方法。int executeUpdate(String sql):执行给定的SQL语句,可能是INSERT、UPDATE或DELETE语句,或者不返回任何内容的SQL语句(如DDL语句)。boolean execute(String sql):执行给定的SQL语句,可能返回多个结果(用于执行返回多个结果集或更新计数的语句)。void close():释放此Statement对象的数据库和JDBC资源。
- PreparedStatement接口。PreparedStatement与Statement相似,都是表示执行SQL语句的对象。但PreparedStatement表示预编译的SQL语句,可以防止SQL注入问题。常见方法:
void setInt(int parameterIndex, int x):将指定参数设置为给定的int值。void setString(int parameterIndex, String x):将指定参数设置为给定的String值。void setDate(int parameterIndex, Date x):将指定参数设置为给定的java.sql.Date值。void setObject(int parameterIndex, Object x):使用给定对象设置指定参数的值。ResultSet executeQuery():执行此PreparedStatement对象中的SQL查询,并返回ResultSet对象。int executeUpdate():执行此PreparedStatement对象中的SQL更新(INSERT、UPDATE、DELETE等)。
- ResultSet接口。表示数据库结果集的数据表,通常是执行SELECT查询语句生成。常用方法:
boolean next():将光标从当前位置向前移动一行,如果新行有效则返回true,否则返回false。最常用的方法,用于循环解析处理数据。getXXX(int columnIndex)和getXXX(String columnLabel):获取当前行中某列的值,其中XXX是数据类型(如Int、String、Date等),不同的列字段类型,使用不同的方法解析。void close():释放此ResultSet对象的数据库和JDBC资源。
SQL注入问题
SQL执行时,一般是用用户输入数据+编写的SQL片段拼接成完整的SQL语句,比如要查询一个用户表中的信息,Java代码会编写成:
...Connectionconn=DriverManager.getConnection(url,user,password);// 创建链接对象Statementstmt=conn.createStatement();// 创建SQL语句对象// 编写SQL语句,是从用户名和密码输入框输入的inputUser和inputPassword,拼接成完整的SQL语句// 比如:SELECT * FROM `user` WHERE `user`='张三' AND `password`='123456'Stringsql="SELECT * FROM `user` WHERE `user`='"+inputUser+"' AND `password`='"+inputPassword+"'";ResultSetrs=stmt.executeQuery(sql);...正常查询结果是:
| id | user | password |
|---|---|---|
| 1 | 张三 | 123456 |
假设,一个黑客可以在用户名和密码框输入:
| inputUser | inputPassword |
|---|---|
| ’ OR ‘1’='1 | ’ OR ‘1’='1 |
最终SQL会被拼接为:
SELECT*FROM`user`WHERE`user`=''OR'1'='1'AND`password`=''OR'1'='1'这个SQL在条件中,OR '1'='1'总为真,所以会查出表中所有的数据,最终执行结果如下:
| id | user | password |
|---|---|---|
| 1 | 张三 | 123456 |
| 2 | 李四 | 456789 |
| 3 | 王五 | 789123 |
这就是SQL注入!
SQL注入是一种代码注入技术,利用应用程序对用户输入处理不当的漏洞,使得攻击者能够在应用程序的数据库查询中注入并执行恶意的SQL代码。
SQL注入的原理,就是利用字符串拼接的方式,将用户输入直接嵌入到SQL语句中。如果用户输入中包含了恶意的SQL片段,会在字符串拼接后,成为SQL执行命令的一部分,从而导致数据库遭受攻击,包括但不限于:数据泄露、数据篡改、数据删除、绕过身份验证等。
SQL注入问题解决方案
JDBC提供PreparedStatement用来解决SQL注入问题。PreparedStatement与Statement相似,都是表示执行SQL语句的对象。但PreparedStatement表示预编译的SQL语句,会先使用利用问号?做占位符编写的SQL进行编译,之后再替换参数。
上述存在SQL注入问题的代码,用PreparedStatement可以改为:
...Connectionconn=DriverManager.getConnection(url,user,password);// 创建链接对象Stringsql="SELECT * FROM `user` WHERE `user`=? AND `password`=?"// 使用字符?代表需要替换的参数PreparedStatementps=conn.prepareStatement(sql);// 创建PreparedStatement对象ps.ps.setString(1,inputUser);// 将第一个?占位的参数替换为inputUser字符串ps.setString(2,inputPassword);// 将第二个?占位的参数替换为inputPassword字符串ResultSetrs=ps.executeQuery();// 执行SQL语句...为什么使用PreparedStatement能解决SQL注入问题?
因为PreparedStatement采用预编译的机制,预编译完成后,数据库知道SQL语句的基本结构,比如它已经知道要查询user表,条件是两个等值比较,然后等待参数传入。后续程序通过setXXX 方法(如 setString, setInt)为占位符设置参数值,这些参数值不会被解释为SQL语句的一部分,而是作为纯数据传递。因此,即使参数值中包含SQL关键词或特殊字符(比如单引号),数据库也会将其视为普通字符串,会对其进行转义处理,而不会改变原有SQL语句的结构。
