Java高级-第一篇:JDBC操作数据库——为什么不用Statement?——PreparedStatement防SQL注入一篇搞懂
引入
这篇文章我们要学习怎么用Java程序来操作数据库,显而易见的是,我们不能直接跟MySQL说话,而是需要通过JDBC这个中间层。JDBC就是Java用来连接数据库的一套标准接口。
案例展示
在写代码之前,我们需要简单配置一下:
1、创建项目和模块
2、在模块下面我们需要一个文件夹去存放JDBC驱动包
3、最后在src文件夹下写我们的代码
4、我们需要编写的代码如下:
由于关于JDBC这项技术,我们只要做到会用和看的懂的情况下,我们只需要看看知道怎么操作就行
1 | // 1. 注册驱动(JDBC 4.0后可以省略) |
各大API作用
| API | 作用 |
|---|---|
DriverManager |
注册驱动,获取数据库连接 |
Connection |
代表与数据库的连接,用来创建Statement |
PreparedStatement |
执行SQL(预编译,防注入) |
ResultSet |
存放查询结果,像一张临时表 |
这些API我们只需要知道就可以了,其中我们需要更多了解的是PreparedStatement和Statement。在作用上,两者差不多,但是PreparedStatement是优于Statement的。
Statement和PreparedStatement的优先级
Statement的劣势
Statement的作用就是拼接字符串,案例如下:
1 | String name = request.getParameter("name"); |
这时候,如果有恶意用户输入 ' OR '1'='1,拼出来的SQL就变成:
1 | SELECT * FROM user WHERE name = '' OR '1'='1' |
由于'1'='1'永远为真,数据库就会返回所有用户,导致数据泄露,这就是我们要防范的SQL注入技术。
PreparedStatement的优势
1 | String sql = "SELECT * FROM user WHERE name = ?"; |
?是占位符。PreparedStatement在预编译阶段就把SQL结构固定下来了。用户输入的内容(包括' OR '1'='1)仅仅是个字符串,只能作为参数传递,不会改变SQL结构,所以注入不进去。
最后的话
关于JDBC这一技术的学习就到这了,只需要做到看得懂会用就行,不必纠结细节,在实际开发中尽量使用PreparedStatement就行了。
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 七夏的树洞🐿️!
相关推荐
2026-06-12
Java基础·第3篇:Java封装——为什么要把数据藏起来?
前言在我们学习面向过程的编程语言,比如说C语言时,一定会出现下面的情况:假设你定义了一个全局变量 int balance = 1000;(余额)。在C语言里,程序中任何一个函数都可以直接访问并修改这个 balance。 12345678910// 面向过程风格(C语言)int balance = 1000;void buyCoffee() { balance -= 20; //直接修改}void hackFunction() { balance = 0; // 任何函数都能随意篡改,没有任何阻拦!} 因为没有数据的保护机制,数据对所有函数都是公开的,任何地方写错了一行代码,都可能导致数据被意外修改。如果在编写程序的时候,意外的写错了数据,造成bug出现,就要在几百行代码里找问题,很麻烦。 而在面向对象的编程语言中,可以对数据进行封装来实现对数据的保护。 为什么需要封装?从数据的“裸奔”说起在接触封装之前,我们定义的类通常长这样: 12345public class Student { public St...
2026-06-12
Java基础·第5篇:Java多态——不用再写三个重载方法了!
引入 假设你要写一个宠物管理系统。系统里有一个“投喂”功能: 狗:吃狗粮 猫:吃猫粮 兔子:吃兔粮 如果没有多态,你可能需要这样写: 123public void feed(Dog d) { d.eat(); }public void feed(Cat c) { c.eat(); }public void feed(Rabbit r) { r.eat(); } 三种动物,三个方法。那如果是十种动物呢?写十个长得一模一样的方法? 多态要解决的问题就是:用一个方法,接收所有动物。 1public void feed(Animal a) { a.eat(); } 不管你传进来的是狗、猫还是兔子,只要它是Animal,就能调eat()。至于具体怎么吃,每个动物自己说了算。 这就是多态——同一个方法调用,表现出不同的行为。 下面我们来看多态在Java中怎么实现。 多态的定义与前提1234567891011121314151617181920212223242526272829303132333...
2026-06-12
Java基础·第6篇:Java接口——能飞的就实现Flyer,能游的就实现Swimmer
引入现在需要对宠物管理系统增加一个飞行的功能: 1234狗不会飞行老鹰会飞行麻雀会飞行企鹅不会飞行 在这个宠物管理系统体系中,狗和企鹅是不会飞行的。那如果只用继承,那么狗和企鹅都会飞行,显然不符合常理。也许你也会想,给老鹰和麻雀分别写个飞行的方法,在创建对象之后分别调用,显然会很麻烦 12public void letFly(Eagle e) { e.fly(); }public void letFly(Sparrow s) { s.fly(); } 这时候就需要一个接口,来集中抽象一个系统中只有少部分子类拥有的行为和方法。 接口的概述接口的概念和定义格式 接口:一个用来父类下少部分子类独有功能的方法声明,且只声明,没有方法体 定义格式: 1234567 //接口的定义格式:interface 接口名称{ // 抽象方法}// 接口的声明:interface// 接口名称:首字母大写,满足“驼峰模式” 对于引入中出现的问题在我们了解接口后,可以做出以下的改进: 定义一个包含飞行方法的接口,让拥有飞行能...
2026-06-12
Java基础·第7篇:Java抽象类——把共性的先做了,剩下的你自己看着办
一、为什么需要抽象类?假如我们需要编写一个员工管理系统。系统的要求如下: 12- 所有员工都有姓名、工号、薪水等基本属性,并且都需要打卡上班。- 所有员工都需要记录工作内容 对于第一个要求,这些属性和行为都是通用的,如果每一个都写一遍,整个系统的代码会变得冗余;对于第二个要求,这些工作内容每个员工的都不一样,无法统一。为了提高代码的简洁性和高效性,我们提出了抽象类的解决方案。 抽象类的解决方案: 通用的属性和方法(姓名、工号、薪水、职位、打卡)→ 父类写好,子类直接继承 无法统一的方法(工作内容)→ 父类只声明,子类各自实现 12345678910111213abstract class Employee { private String name; public Employee(String name) { this.name = name; } public void clockIn() { System.out.println(name + "打卡...
2026-06-12
Java基础·第4篇:Java继承——不用重复造轮子,一篇搞懂
什么是继承?继承的特点?继承的好处?引入假如现在需要你开发一个教务管理系统中一个最基础的功能————存储学生和教职工的身份信息,你会怎么做?你的做法可能是这样的:分别创建学生类、教师类和工人类,即 123学生类:属性(姓名,年龄,学工号)、行为(吃饭,睡觉,学习)老师类:属性(姓名,年龄,学工号,薪水)、行为(吃饭、睡觉,上课)工人类:属性(姓名,年龄,学工号,薪水)、行为(吃饭、睡觉,管理) 很明显,如果这样去设计教务管理系统,这三个类中有着大量重复的代码,这样就导致系统的代码复用率低,整个系统显得臃肿笨重。那么应该如何去解决这样的问题呢?假如多个类中存在相同属性和行为时,我们可以将这些内容抽取到单独一个类中,那么多个类无需再定义这些属性和行为,只要继承那一个类即可。如图所示: 其中,多个类可以称为子类,单独被继承的那一个类称为父类、超类(superclass)或者基类。 继承的概念继承描述的是事物之间的所属关系,这种关系是:is-a 的关系。类似于数学中的集合A属于集合B,表示集合A是集合B的子集,在这里我们用父类和子类来表示这样的继承关系,我们通过继承,可以使多种事物之间...
