JDBC学习笔记(3)--PreparedStatement执行sql语句 + mysql注入+callablestatement执行存储过程

一.PreparedStatement执行sql语句

1.首先连接数据库Dao.java

package com.huan.dao;

import org.junit.Test;

import java.sql.*;

/**
 * Created by pc on 17-5-1.
 */
public class Dao {
    static String user ="root";
    static String password = "root";
    static String url = "jdbc:mysql://localhost:3306/eurasia_echarts?characterEncoding=UTF-8";

    @Test
    public static Connection getDao() throws Exception {
        Class.forName("com.mysql.jdbc.Driver");
        Connection conn = DriverManager.getConnection(url, user, password);
        if (null != conn) {
            System.out.println("连接成功");
        }
        return conn;
    }

    public static void close(Statement state, Connection conn){
        if(null != state){
            try {
                state.close();
            } catch (SQLException e) {
                e.printStackTrace();
            }
        }
        if(null != conn){
            try {
                conn.close();
            } catch (SQLException e) {
                e.printStackTrace();
            }
        }
    }
    public static void close(ResultSet rs, Statement state, Connection conn ){
        if(null != rs){
            try {
                rs.close();
            } catch (SQLException e) {
                e.printStackTrace();
            }
        }

        if(null != state){
            try {
                state.close();
            } catch (SQLException e) {
                e.printStackTrace();
            }
        }
        if(null != conn){
            try {
                conn.close();
            } catch (SQLException e) {
                e.printStackTrace();
            }
        }
    }
}

2.PreparedStatement执行DML语句

执行插入语句
执行更新语句
执行删除语句

插入演示

package com.huan.PreparedStatement;

import com.huan.dao.Dao;
import org.junit.Test;

import java.sql.Connection;
import java.sql.PreparedStatement;

/**
 * Created by pc on 17-5-1.
 */
public class Demo_preparedStatement {
    @Test
    public void test() throws Exception {
        Connection conn = null;
        PreparedStatement pstmt= null;
        conn = Dao.getDao();
        //预编译的sql语句
        String sql = " insert into mahuan (name,age) values(?,?); ";//一个问号表示一个参数占位值
        //执行预编译sql语句
        pstmt = conn.prepareStatement(sql);
        //设置参数
        pstmt.setString(1,"马欢");
        pstmt.setInt(2,22);
/*
更新数据
         String sql = " update mahuan set name =? where id =?; ";
        执行预编译sql语句
        pstmt = conn.prepareStatement(sql);
        设置参数
        pstmt.setString(1,"王五");
        pstmt.setInt(2,4);
删除数据
        String sql = " delete from mahuan where  id =?; ";
        执行预编译sql语句
        pstmt = conn.prepareStatement(sql);
        设置参数
        pstmt.setInt(1,4);
*/
        int count = pstmt.executeUpdate();
        System.out.println(count);
        Dao.close(pstmt,conn);

    }
}

3.PreparedStatement执行DQL语句

执行查询语句

package com.huan.PreparedStatement;

import com.huan.dao.Dao;
import org.junit.Test;

import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.ResultSet;

/**
 * Created by pc on 17-5-1.
 */
public class Demo_Select {
    @Test
    public void selectTest() throws Exception {
        Connection conn = null;
        PreparedStatement pstmt = null;
        conn = Dao.getDao();
        String sql = " select * from mahuan; ";
        pstmt = conn.prepareStatement(sql);

         ResultSet rs = pstmt.executeQuery();
         while(rs.next()){
             System.out.println("用列名称取值：编号："+rs.getInt("id") +" 姓名："+rs.getString("name")+" 年龄："+rs.getString("age"));
         }

         Dao.close(rs, pstmt,conn);
    }
}

PreparedStatement和Statement区别

1.PreparedStatement比Statement效率高
2.语法不一样
3.PreparedStatement数据更安全

二.mysql注入

模拟登录：创建表users:

正常登录：
String name ="mahuan";
String password = "123456";
当用户名（被破解）
String name ="mahuan' or 1=1-- '";
String password = "456";

上面这两条登录都可以登录,但是第二条语句明显错误，这是利用mysql语法漏洞进行登录

mysql注入成功(Statement)

package com.huan.statemennt;

import com.huan.dao.Dao;
import org.junit.Test;

import java.sql.Connection;
import java.sql.ResultSet;
import java.sql.Statement;

/**
 * Created by pc on 17-5-1.
 */
public class login {
    String name ="mahuan' or 1=1-- '";
    String password = "456";
    @Test
    public void login_Statement() throws Exception {

        Connection conn = null;
        Statement stmt = null;
        conn = Dao.getDao();
        stmt = conn.createStatement();

        String sql=" select * from users where name='"+name+"' and password='"+password+"'; ";

        ResultSet rs = stmt.executeQuery(sql);
        if (rs.next()){
            System.out.println("登录成功");
        }else {
            System.out.println("登录失败");
        }
    }
}

image.png

mysql注入失败（PreparedStatement）

package com.huan.statemennt;

import com.huan.dao.Dao;
import org.junit.Test;

import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.Statement;

/**
 * Created by pc on 17-5-1.
 */
public class login {
    String name ="mahuan' or 1=1-- '";
    String password = "456";
    @Test
    public void login_Statement() throws Exception {

        Connection conn = null;
        PreparedStatement stmt = null;
        conn = Dao.getDao();
        
        String sql=" select * from users where name=? and password=?; ";
        stmt = conn.prepareStatement(sql);
        stmt.setString(1,name);
        stmt.setString(2,password);
        ResultSet rs = stmt.executeQuery();
        if (rs.next()){
            System.out.println("登录成功");
        }else {
            System.out.println("登录失败");
        }
    }
}

上面实例证明PreparedStatement比Statement更安全

三.callablestatement执行存储过程（是PreparedStatement的子接口）

1输出所有参数：

创建存储过程

如何创建：Mysql学习笔记(6)-存储过程

delimiter $
create procedure pro_findid(in sid int)
begin
    select * from mahuan where id =sid;
end $

通过程序调用存储过程，所有调用存储过程都用executeQuery

package com.huan.statemennt;

import com.huan.dao.Dao;
import org.junit.Test;

import java.sql.*;

/**
 * Created by pc on 17-5-1.
 */
public class login {
    String name ="mahuan' or 1=1-- '";
    String password = "456";
    @Test
    public void login_Statement() throws Exception {

        Connection conn = null;
        CallableStatement cstmt = null;
        conn = Dao.getDao();

        String sql = " call pro_findid(?); ";
        cstmt = conn.prepareCall(sql);
        cstmt.setInt(1,5);

        ResultSet rs =cstmt.executeQuery();//所有调用存储过程都用executeQuery
        while(rs.next()){
            System.out.println("用列名称取值：编号："+rs.getInt("id") +" 姓名："+rs.getString("name")+" 年龄："+rs.getString("age"));
        }
    }
}

2.带有输出参数的存储过程

创建存储过程


delimiter $
create procedure pro_findidname(in sid int,out sname varchar(20))
begin
    select name into sname from mahuan where id =sid;
end $

执行带有输入输出参数的存储过程

package com.huan.statemennt;

import com.huan.dao.Dao;
import org.junit.Test;

import java.sql.*;

/**
 * Created by pc on 17-5-1.
 */
public class login {
    String name ="mahuan' or 1=1-- '";
    String password = "456";
    @Test
    public void login_Statement() throws Exception {

        Connection conn = null;
        CallableStatement cstmt = null;
        conn = Dao.getDao();

        String sql = " call pro_findidname(?,?); ";
        cstmt = conn.prepareCall(sql);
        cstmt.setInt(1,5);
        cstmt.registerOutParameter(2, java.sql.Types.VARCHAR);
        cstmt.executeQuery();
        String  result = cstmt.getString(2);
        System.out.println(result);
       Dao.close(cstmt,conn);
    }
}

文章文集：JavaEE--学习笔记

最后编辑于：2017.12.07 02:06:00

人面猴
序言：七十年代末，一起剥皮案震惊了整个滨河市，随后出现的几起案子，更是在滨河造成了极大的恐慌，老刑警刘岩，带你破解...
沈念sama阅读 160,387评论 4赞 364
死咒
序言：滨河连续发生了三起死亡事件，死亡现场离奇诡异，居然都是意外死亡，警方通过查阅死者的电脑和手机，发现死者居然都...
沈念sama阅读 67,845评论 1赞 298
救了他两次的神仙让他今天三更去死
文/潘晓璐我一进店门，熙熙楼的掌柜王于贵愁眉苦脸地迎上来，“玉大人，你说我怎么就摊上这事。” “怎么了？”我有些...
开封第一讲书人阅读 110,091评论 0赞 246
道士缉凶录：失踪的卖姜人
文/不坏的土叔我叫张陵，是天一观的道长。经常有香客问我，道长，这世上最难降的妖魔是什么？我笑而不...
开封第一讲书人阅读 44,308评论 0赞 214
港岛之恋（遗憾婚礼）
正文为了忘掉前任，我火速办了婚礼，结果婚礼上，老公的妹妹穿的比我还像新娘。我一直安慰自己，他们只是感情好，可当我...
茶点故事阅读 52,662评论 3赞 288
恶毒庶女顶嫁案：这布局不是一般人想出来的
文/花漫我一把揭开白布。她就那样静静地躺着，像睡着了一般。火红的嫁衣衬着肌肤如雪。梳的纹丝不乱的头发上，一...
开封第一讲书人阅读 40,795评论 1赞 222
城市分裂传说
那天，我揣着相机与录音，去河边找鬼。笑死，一个胖子当着我的面吹牛，可吹牛的内容都是我干的。我是一名探鬼主播，决...
沈念sama阅读 32,008评论 2赞 315
双鸳鸯连环套：你想象不到人心有多黑
文/苍兰香墨我猛地睁开眼，长吁一口气：“原来是场噩梦啊……” “哼！你这毒妇竟也来了？” 一声冷哼从身侧响起，我...
开封第一讲书人阅读 30,743评论 0赞 204
万荣杀人案实录
序言：老挝万荣一对情侣失踪，失踪者是张志新（化名）和其女友刘颖，没想到半个月后，有当地人在树林里发现了一具尸体，经...
沈念sama阅读 34,466评论 1赞 246
护林员之死
正文独居荒郊野岭守林人离奇死亡，尸身上长有42处带血的脓包…… 初始之章·张勋以下内容为张勋视角年9月15日...
茶点故事阅读 30,687评论 2赞 249
白月光启示录
正文我和宋清朗相恋三年，在试婚纱的时候发现自己被绿了。大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
茶点故事阅读 32,181评论 1赞 262
活死人
序言：一个原本活蹦乱跳的男人离奇死亡，死状恐怖，灵堂内的尸体忽然破棺而出，到底是诈尸还是另有隐情，我是刑警宁泽，带...
沈念sama阅读 28,531评论 3赞 258
日本核电站爆炸内幕
正文年R本政府宣布，位于F岛的核电站，受9级特大地震影响，放射性物质发生泄漏。R本人自食恶果不足惜，却给世界环境...
茶点故事阅读 33,177评论 3赞 239
男人毒药：我在死后第九天来索命
文/蒙蒙一、第九天我趴在偏房一处隐蔽的房顶上张望。院中可真热闹，春花似锦、人声如沸。这庄子的主人今日做“春日...
开封第一讲书人阅读 26,126评论 0赞 8
一桩弑父案，背后竟有这般阴谋
文/苍兰香墨我抬头看了看天上的太阳。三九已至，却和暖如春，着一层夹袄步出监牢的瞬间，已是汗流浃背。一阵脚步声响...
开封第一讲书人阅读 26,902评论 0赞 198
情欲美人皮
我被黑心中介骗来泰国打工，没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留，地道东北人。一个月前我还...
沈念sama阅读 35,862评论 2赞 283
代替公主和亲
正文我出身青楼，却偏偏与公主长得像，于是被迫代替她去往敌国和亲。传闻我的和亲对象是个残疾皇子，可洞房花烛夜当晚...
茶点故事阅读 35,734评论 2赞 274

JDBC学习笔记(3)--PreparedStatement执行sql语句 + mysql注入+callablestatement执行存储过程

一.PreparedStatement执行sql语句

1.首先连接数据库Dao.java

2.PreparedStatement执行DML语句

3.PreparedStatement执行DQL语句

PreparedStatement和Statement区别

二.mysql注入

正常登录：

当用户名（被破解）

mysql注入成功(Statement)

mysql注入失败（PreparedStatement）

上面实例证明PreparedStatement比Statement更安全

三.callablestatement执行存储过程（是PreparedStatement的子接口）

1输出所有参数：

创建存储过程

通过程序调用存储过程，所有调用存储过程都用executeQuery

2.带有输出参数的存储过程

创建存储过程

执行带有输入输出参数的存储过程

文章文集：JavaEE--学习笔记

推荐阅读更多精彩内容