JDBC技术【SQL注入、JDBC批量添加数据、JDBC事务处理、其他查询方式】(三)-全面详解(学习总结---从入门到深化)

本文涉及的产品
RDS MySQL Serverless 基础系列,0.5-2RCU 50GB
云数据库 RDS MySQL,高可用系列 2核4GB
RDS MySQL Serverless 高可用系列,价值2615元额度,1个月
简介: JDBC技术【SQL注入、JDBC批量添加数据、JDBC事务处理、其他查询方式】(三)-全面详解(学习总结---从入门到深化)

SQL注入



什么是SQL注入


所谓 SQL 注入,就是通过把含有 SQL 语句片段的参数插入到需要 执行的 SQL 语句中, 最终达到欺骗数据库服务器执行恶意操作的 SQL 命令。


SQL注入案例

/**
* SQL注入测试类
*/
public class SqlInjectTest {
    /**
     * 体现sql注入
     */
    public void sqlInject(String username,int userage){
        Connection connection =null;
        Statement statement =null;
        ResultSet resultSet =null;
        try{
            //获取连接
            connection = JdbcUtils.getConnection();
            //创建Statement对象
            statement = connection.createStatement();
            //定义sql语句
            String sql ="select * from users where username ='"+username+"' and userage = "+userage;
            System.out.println(sql);
            //执行sql语句
            resultSet = statement.executeQuery(sql);
            //处理结果集
            while(resultSet.next()){
                int userid = resultSet.getInt("userid");
                String name = resultSet.getString("username");
                int age = resultSet.getInt("userage");
                System.out.println(userid+" "+name+" "+age);
           }
       }catch(Exception e){
            e.printStackTrace();
       }finally{
           JdbcUtils.closeResource(resultSet,statement,connection);
       }
   }
    public static void main(String[] args) {
        SqlInjectTest sit = new SqlInjectTest();
        sit.sqlInject("oldlu' or 1=1 --",28);
   }
}


解决SQL注入

 public void noSqlInject(String username,int userage){
            Connection connection = null;
            PreparedStatement ps =null;
            ResultSet resultSet = null;
           try{
                //获取连接
               connection = JdbcUtils.getConnection();
               //创建PreparedStatement对象
               ps = connection.prepareStatement("select * from users where username = ? and userage = ?");
               //绑定参数
               ps.setString(1,username);
               ps.setInt(2,userage);
               //执行sql
               resultSet = ps.executeQuery();
               //处理结果集
               while(resultSet.next()){
                   int userid = resultSet.getInt("userid");
                   String name = resultSet.getString("username");
                   int age = resultSet.getInt("userage");
                   System.out.println(userid+" "+name+" "+age);
               }
           }catch(Exception e){
               e.printStackTrace();
           }finally{
               JdbcUtils.closeResource(resultSet,ps,connection);
           }
   }


JDBC批量添加数据


批量添加数据简介


在JDBC中通过PreparedStatement的对象的addBatch()和 executeBatch()方法进行数据的批量插入。

addBatch()把若干SQL语句装载到一起,然后一次性传送到数据库执行,即是批量处理sql数据的。

executeBatch()会将装载到一起的SQL语句执行。


注意: MySql默认情况下是不开启批处理的。 数据库驱动从5.1.13开始添加了一个对rewriteBatchStatement 的参数的处理,该参数能够让MySql开启批处理。在url中添加 该参数:rewriteBatchedStatements=true


Mysql的URL参数说明


实现数据的批量添加


在url中开启批量添加

rewriteBatchedStatements=true


实现数据的批量添加方式一

/**
     * 批量添加数据方式一
     */
    public void addBatch1(){
        Connection conn = null;
        PreparedStatement ps =null;
        try{
            //创建连接
            conn = JdbcUtils.getConnection();
            //创建PreparedStatement
            ps = conn.prepareStatement("insert into users  values(default ,?,?)");
            //参数绑定
            for(int i=0;i<1000;i++){
                //绑定username
                ps.setString(1,"ITBZ"+i);
                //绑定userage
                ps.setInt(2,20);
                //缓存sql
                ps.addBatch();
           }
            //执行sql
            ps.executeBatch();
       }catch(Exception e){
            e.printStackTrace();
       }finally{
          JdbcUtils.closeResource(ps,conn);
       }
   }


实现数据的批量添加方式二

    /**
     * 批量添加数据方式二
     */
    public void addBatch2(){
        Connection conn = null;
        PreparedStatement ps =null;
        try{
            //创建连接
            conn = JdbcUtils.getConnection();
            //创建PreparedStatement
            ps = conn.prepareStatement("insert into users  values(default ,?,?)");
            //参数绑定
            for(int i=1;i<=1000;i++){
                //绑定username
                ps.setString(1,"ITBZ"+i);
                //绑定userage
                ps.setInt(2,20);
                //缓存sql
                ps.addBatch();
                if(i%500 == 0){
                    //执行sql
                    ps.executeBatch();
                    //清除缓存
                    ps.clearBatch();
               }
           }
       }catch(Exception e){
            e.printStackTrace();
       }finally{
           JdbcUtils.closeResource(ps,conn);
       }
   }


JDBC事务处理



事务简介


  事务:


    事务是指作为单个逻辑工作单元执行的一系列操作,要么完全地 执行,要么完全地不执行。


事务操作流程:


   1、开启事务

   2、提交事务

   3、回滚事务


JDBC中事务处理特点


在JDBC中,使用Connection对象来管理事务,默认为自动提交事 务。可以通过setAutoCommit(boolean autoCommit)方法设置事 务是否自动提交,参数为boolean类型,默认值为true,表示自动 提交事务,如果值为false则表示不自动提交事务,需要通过 commit方法手动提交事务或者通过rollback方法回滚事务。


JDBC事务处理实现

 /**
     * 批量添加数据方式二
     * 支持事务处理
*/
    public void addBatch2(){
        Connection conn = null;
        PreparedStatement ps =null;
        try{
            //创建连接
            conn = JdbcUtils.getConnection();
            //设置事务的提交方式,将自动提交修改为手动提交
           conn.setAutoCommit(false);
            //创建PreparedStatement
            ps = conn.prepareStatement("insert into users values(default ,?,?)");
            //参数绑定
            for(int i=1;i<=1000;i++){
                //绑定username
                ps.setString(1,"ITBZ"+i);
                //绑定userage
                ps.setInt(2,20);
                //缓存sql
                ps.addBatch();
                if(i%500 == 0){
                    //执行sql
                    ps.executeBatch();
                    //清除缓存
                    ps.clearBatch();
                }
                if(i==501){
                    String str = null;
                    str.length();
               }
           }
            //提交事务
           JdbcUtils.commit(conn);
       }catch(Exception e){
            e.printStackTrace();
            JdbcUtils.rollback(conn);
       }finally{
          JdbcUtils.closeResource(ps,conn);
       }
   }


Blob类型的使用



MySql Blob类型简介


Blob(全称:Binary Large Object 二进制大对象)。在MySql中, Blob是一个二进制的用来存储图片,文件等数据的数据类型。操作 Blob类型的数据必须使用PreparedStatement,因为Blob类型的数 据无法使用字符串拼接。大多数情况,并不推荐直接把文件存放在 MySQL 数据库中,但如果应用场景是文件与数据高度耦合,或者对 文件安全性要求较高的,那么将文件与数据存放在一起,即安全, 又方便备份和迁移。


Mysql中的Blob类型


MySql中有四种Blob类型,它们除了在存储的最大容量上不同,其 他是一致的。


Blob类型使用的注意事项


1、实际使用中根据需要存入的数据大小定义不同的Blob类型。

2、如果存储的文件过大,数据库的性能会下降。


插入Blob类型数据


创建表

CREATE TABLE `movie` (
  `movieid` int(11) NOT NULL AUTO_INCREMENT,
  `moviename` varchar(30) DEFAULT NULL,
  `poster` mediumblob,
  PRIMARY KEY (`movieid`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8;


通过PreparedStatement存储Blob类型数据

/**
* Blob类型操作测试类
*/
public class BlobTest {
    /**
     * 向Movie表中插入数据
     */
    public void insertMovie(String moviename, InputStream is){
        Connection conn =null;
        PreparedStatement ps =null;
        try{
            //获取连接
            conn = JdbcUtils.getConnection();
            //创建PreparedStatement对象
            ps = conn.prepareStatement("insert into movie values(default,?,?)");
            //绑定参数
            ps.setString(1,moviename);
            ps.setBlob(2,is);
            ps.executeUpdate();
       }catch(Exception e){
            e.printStackTrace();
       }finally{
           JdbcUtils.closeResource(ps,conn);
       }
   }
    public static void main(String[] args) throws FileNotFoundException {
        BlobTest bt = new BlobTest();
        //创建读取文件的IO流
        InputStream is = new FileInputStream(new File("d:/1.jpg"));
        bt.insertMovie("战狼",is);
   }
}


解除文件大小限制


虽然MediumBlob允许保存最大值为16M,但MySql中默认支持的 容量为4194304即4M。我们可以通过修改Mysql的my.ini文件中 max_allowed_packet属性扩大支持的容量,修改完毕后需要重启 MySql服务。


文件位置


修改属性


读取Blob类型数据

    /**
     * 根据影片ID查询影片信息
     * @param movieid
     */
    public void selectMovieById(int movieid)
      {
         Connection conn =null;
         PreparedStatement ps = null;
         ResultSet rs = null;
         try{
            //获取连接
             conn =JdbcUtils.getConnection();
             //创建PreparedStatement对象
             ps = conn.prepareStatement("select * from movie where movieid = ?");
             //绑定参数
             ps.setInt(1,movieid);
             //执行sql
             rs = ps.executeQuery();
             while(rs.next()){
                 int id = rs.getInt("movieid");
                 String name = rs.getString("moviename");
                 System.out.println(id+" "+name);
                 //获取blob类型的数据
                 Blob blob = rs.getBlob("poster");
                 //获取能够从Blob类型的列中读取数 据的IO流
                 InputStream is = blob.getBinaryStream();
                 //创建文件输出字节流对象
                 OutputStream os = new FileOutputStream(id+"_"+name+".jpg");
                 //操作流完成文件的输出处理
                 byte[] buff = new byte[1024];
                 int len;
                 while((len = is.read(buff)) != -1){
                     os.write(buff,0,len);
                 }
                 os.flush();
                 is.close();
                 os.close();
             }
         }catch(Exception e){
             e.printStackTrace();
         }finally{
            JdbcUtils.closeResource(rs,ps,conn);
         }
}


其他查询方式


模糊查询


实现模糊查询

/**
* 模糊查询测试类
*/
public class FuzzyQueryTest {
    /**
     * 根据用户名称模糊查找用户信息
     */
    public List<Users> fuzzyQuery(String username){
        List<Users> list= new ArrayList<>();
        Connection conn =null;
        PreparedStatement ps = null;
        ResultSet rs = null;
        try{
            //获取数据库连接
            conn = JdbcUtils.getConnection();
            //创建PreparedStatement对象
            ps = conn.prepareStatement("select * from users where username like ?");
            //参数绑定
            ps.setString(1,username);
            //执行sql语句
            rs = ps.executeQuery();
            while(rs.next()){
                Users user = new Users();
              user.setUserid(rs.getInt("userid"));
              user.setUsername(rs.getString("username"));
              user.setUserage(rs.getInt("userage"));
                list.add(user);
           }
       }catch(Exception e){
            e.printStackTrace();
       }finally{
          JdbcUtils.closeResource(rs,ps,conn);
       }
          return list;
   }
    public static void main(String[] args) {
        FuzzyQueryTest ft = new FuzzyQueryTest();
        List<Users> users = ft.fuzzyQuery("%d%");
        for(Users user1:users){
          System.out.println(user1.getUserid()+""+user1.getUsername()+" "+user1.getUserage());
       }
   }
}


动态条件查询



动态条件查询实现

/**
* 动态条件查询测试类
*/
public class DynamicConditionQueryTest {
    /**
     * 动态条件查询Users
     */
    public List<Users> queryUsers(Users users){
        List<Users> list= new ArrayList<>();
        Connection conn =null;
        PreparedStatement ps = null;
        ResultSet rs = null;
        try{
            //获取数据库连接
            conn = JdbcUtils.getConnection();
            //拼接查询SQL语句
            String sql = this.generateSql(users);
            System.out.println(sql);
            //创建PreparedStatement对象
            ps = conn.prepareStatement(sql);
            //执行sql语句
            rs = ps.executeQuery();
            while(rs.next()){
                Users user = new Users();
              user.setUserid(rs.getInt("userid"));
              user.setUsername(rs.getString("username"));
              user.setUserage(rs.getInt("userage"));
                list.add(user);
           }
       }catch(Exception e){
            e.printStackTrace();
       }finally{
          JdbcUtils.closeResource(rs,ps,conn);
       }
        return list;
   }
  /**
     * 生成动态条件查询sql
     */
    private String generateSql(Users users){
        StringBuffer sb = new StringBuffer("select * from users where 1=1");
        if(users.getUserid() > 0){
            sb.append(" and userid = ").append(users.getUserid());
       }
        if(users.getUsername() !=null &&users.getUsername().length() > 0){
            sb.append(" and username = '").append(users.getUsername()).append("'");
       }
        if(users.getUserage() > 0){
            sb.append(" and userage = ").append(users.getUserage());
       }
        return sb.toString();
   }
    public static void main(String[] args) {
        DynamicConditionQueryTest dt = new DynamicConditionQueryTest();
        Users users = new Users();
        users.setUsername("Oldlu");
        users.setUserage(20);
        List<Users> list = dt.queryUsers(users);
        for(Users user1:list){
          System.out.println(user1.getUserid()+""+user1.getUsername()+" "+user1.getUserage());
       }
   }
}
相关实践学习
每个IT人都想学的“Web应用上云经典架构”实战
本实验从Web应用上云这个最基本的、最普遍的需求出发,帮助IT从业者们通过“阿里云Web应用上云解决方案”,了解一个企业级Web应用上云的常见架构,了解如何构建一个高可用、可扩展的企业级应用架构。
MySQL数据库入门学习
本课程通过最流行的开源数据库MySQL带你了解数据库的世界。 &nbsp; 相关的阿里云产品:云数据库RDS MySQL 版 阿里云关系型数据库RDS(Relational Database Service)是一种稳定可靠、可弹性伸缩的在线数据库服务,提供容灾、备份、恢复、迁移等方面的全套解决方案,彻底解决数据库运维的烦恼。 了解产品详情:&nbsp;https://www.aliyun.com/product/rds/mysql&nbsp;
目录
相关文章
|
13天前
|
SQL 数据可视化 关系型数据库
MCP与PolarDB集成技术分析:降低SQL门槛与简化数据可视化流程的机制解析
阿里云PolarDB与MCP协议融合,打造“自然语言即分析”的新范式。通过云原生数据库与标准化AI接口协同,实现零代码、分钟级从数据到可视化洞察,打破技术壁垒,提升分析效率99%,推动企业数据能力普惠化。
88 3
|
29天前
|
SQL 监控 关系型数据库
一键开启百倍加速!RDS DuckDB 黑科技让SQL查询速度最高提升200倍
RDS MySQL DuckDB分析实例结合事务处理与实时分析能力,显著提升SQL查询性能,最高可达200倍,兼容MySQL语法,无需额外学习成本。
|
29天前
|
SQL 存储 关系型数据库
MySQL体系结构详解:一条SQL查询的旅程
本文深入解析MySQL内部架构,从SQL查询的执行流程到性能优化技巧,涵盖连接建立、查询处理、执行阶段及存储引擎工作机制,帮助开发者理解MySQL运行原理并提升数据库性能。
|
28天前
|
SQL 监控 关系型数据库
SQL优化技巧:让MySQL查询快人一步
本文深入解析了MySQL查询优化的核心技巧,涵盖索引设计、查询重写、分页优化、批量操作、数据类型优化及性能监控等方面,帮助开发者显著提升数据库性能,解决慢查询问题,适用于高并发与大数据场景。
|
2月前
|
SQL XML Java
通过MyBatis的XML配置实现灵活的动态SQL查询
总结而言,通过MyBatis的XML配置实现灵活的动态SQL查询,可以让开发者以声明式的方式构建SQL语句,既保证了SQL操作的灵活性,又简化了代码的复杂度。这种方式可以显著提高数据库操作的效率和代码的可维护性。
154 18
|
2月前
|
SQL 人工智能 数据库
【三桥君】如何正确使用SQL查询语句:避免常见错误?
三桥君解析了SQL查询中的常见错误和正确用法。AI产品专家三桥君通过三个典型案例:1)属性重复比较错误,应使用IN而非AND;2)WHERE子句中非法使用聚合函数的错误,应改用HAVING;3)正确的分组查询示例。三桥君还介绍了学生、课程和选课三个关系模式,并分析了SQL查询中的属性比较、聚合函数使用和分组查询等关键概念。最后通过实战练习帮助读者巩固知识,强调掌握这些技巧对提升数据库查询效率的重要性。
93 0
|
3月前
|
SQL
SQL中如何删除指定查询出来的数据
SQL中如何删除指定查询出来的数据
|
12月前
|
Java 关系型数据库 MySQL
mysql5.7 jdbc驱动
遵循上述步骤,即可在Java项目中高效地集成MySQL 5.7 JDBC驱动,实现数据库的访问与管理。
2171 1
|
SQL druid Java
Java数据库部分(MySQL+JDBC)(二、JDBC超详细学习笔记)(下)
Java数据库部分(MySQL+JDBC)(二、JDBC超详细学习笔记)
148 3
Java数据库部分(MySQL+JDBC)(二、JDBC超详细学习笔记)(下)
|
SQL Java 关系型数据库
Java数据库部分(MySQL+JDBC)(二、JDBC超详细学习笔记)(上)
Java数据库部分(MySQL+JDBC)(二、JDBC超详细学习笔记)
542 3
Java数据库部分(MySQL+JDBC)(二、JDBC超详细学习笔记)(上)

热门文章

最新文章