SQL 注入问题
通过巧妙的技巧来拼接字符串,造成SQL短路,从而获取数据库数据
import com.kuang.lesson02.utils.JdbcUtils; import java.sql.Connection; import java.sql.ResultSet; import java.sql.Statement; public class SQL注入 { public static void main(String[] args) { // login("zhangsan","123456"); // 正常登陆 login("'or '1=1","123456"); // SQL 注入 }public static void login(String username,String password){ Connection conn = null; Statement st = null; ResultSet rs = null; try{conn = JdbcUtils.getConnection(); // select * from users where name='' or '1=1' and password = '123456' String sql = "select * from users where name='"+username+"' and password='"+password+"'"; st = conn.createStatement(); rs = st.executeQuery(sql); while(rs.next()){ System.out.println(rs.getString("name")); System.out.println(rs.getString("password")); System.out.println("=============="); } }catch (Exception e) { e.printStackTrace(); }finally{ JdbcUtils.release(conn, st, rs); } } }
PreparedStatement对象
PreperedStatement是Statement的子类,它的实例对象可以通过调用
Connection.preparedStatement()方法获得,相对于Statement对象而言:PreperedStatement可以避免SQL注入的问题。
Statement会使数据库频繁编译SQL,可能造成数据库缓冲区溢出。
PreparedStatement可对SQL进行预编译,从而提高数据库的执行效率。并且PreperedStatement对于sql中的参数,允许使用占位符的形式进行替换,简化sql语句的编写。
插入数据
import com.kuang.lesson02.utils.JdbcUtils; import java.sql.Connection; import java.util.Date; import java.sql.PreparedStatement; import java.sql.ResultSet; public class TestInsert { public static void main(String[] args) { Connection conn = null; PreparedStatement st = null; ResultSet rs = null; try{//获取一个数据库连接 conn = JdbcUtils.getConnection(); //要执行的SQL命令,SQL中的参数使用?作为占位符 String sql = "insert into users(id,name,password,email,birthday) values(?,?,?,?,?)"; //通过conn对象获取负责执行SQL命令的prepareStatement对象 st = conn.prepareStatement(sql); //为SQL语句中的参数赋值,注意,索引是从1开始的 st.setInt(1, 4);//id是int类型的 st.setString(2, "kuangshen");//name是varchar(字符串类型) st.setString(3, "123");//password是varchar(字符串类型) st.setString(4, "24736743@qq.com");//email是varchar(字符串类型) st.setDate(5, new java.sql.Date(new Date().getTime()));//birthday是date类型 //执行插入操作,executeUpdate方法返回成功的条数 int num = st.executeUpdate(); if(num>0){ System.out.println("插入成功!!"); } }catch (Exception e) { e.printStackTrace(); }finally{ //SQL执行完成之后释放相关资源 JdbcUtils.release(conn, st, rs); } } }
删除一条数据
import com.kuang.lesson02.utils.JdbcUtils; import java.sql.Connection; import java.sql.PreparedStatement; import java.sql.ResultSet; public class TestDelete { public static void main(String[] args) { Connection conn = null; PreparedStatement st = null; ResultSet rs = null; try{conn = JdbcUtils.getConnection(); String sql = "delete from users where id=?"; st = conn.prepareStatement(sql); st.setInt(1, 4); int num = st.executeUpdate(); if(num>0){ System.out.println("删除成功!!"); } }catch (Exception e) { e.printStackTrace(); }finally{ JdbcUtils.release(conn, st, rs); } } }
更新一条数据
import com.kuang.lesson02.utils.JdbcUtils; import java.sql.Connection; import java.sql.PreparedStatement; import java.sql.ResultSet; public class TestUpdate { public static void main(String[] args) { Connection conn = null; PreparedStatement st = null; ResultSet rs = null; try{conn = JdbcUtils.getConnection();String sql = "update users set name=?,email=? where id=?"; st = conn.prepareStatement(sql); st.setString(1, "kuangshen"); st.setString(2, "24736743@qq.com"); st.setInt(3, 2); int num = st.executeUpdate(); if(num>0){ System.out.println("更新成功!!"); } }catch (Exception e) { e.printStackTrace(); }finally{ JdbcUtils.release(conn, st, rs); } } }
查询一条数据
import com.kuang.lesson02.utils.JdbcUtils; import java.sql.Connection; import java.sql.PreparedStatement; import java.sql.ResultSet; public class TestSelect { public static void main(String[] args) { Connection conn = null; PreparedStatement st = null; ResultSet rs = null; try{conn = JdbcUtils.getConnection(); String sql = "select * from users where id=?"; st = conn.prepareStatement(sql); st.setInt(1, 1); rs = st.executeQuery(); if(rs.next()){ System.out.println(rs.getString("name")); } }catch (Exception e) { }finally{ JdbcUtils.release(conn, st, rs); } } }
避免SQL 注入
import com.kuang.lesson02.utils.JdbcUtils; import java.sql.Connection; import java.sql.PreparedStatement; import java.sql.ResultSet; import java.sql.Statement; public class SQL注入 { public static void main(String[] args) { // login("zhangsan","123456"); // 正常登陆 login("'or '1=1","123456"); // SQL 注入 }public static void login(String username,String password){ Connection conn = null; PreparedStatement st = null; ResultSet rs = null; try{conn = JdbcUtils.getConnection(); // select * from users where name='' or '1=1' and password = '123456' String sql = "select * from users where name=? and password=?"; st = conn.prepareStatement(sql); st.setString(1,username); st.setString(2,password); rs = st.executeQuery(); while(rs.next()){ System.out.println(rs.getString("name")); System.out.println(rs.getString("password")); System.out.println("=============="); } }catch (Exception e) { e.printStackTrace(); }finally{ JdbcUtils.release(conn, st, rs); } } }
原理:执行的时候参数会用引号包起来,并把参数中的引号作为转义字符,从而避免了参数也作为条件的一部分
隔离性问题
1、脏读:脏读指一个事务读取了另外一个事务未提交的数据。
2、不可重复读:不可重复读指在一个事务内读取表中的某一行数据,多次读取结果不同。
3、虚读(幻读) : 虚读(幻读)是指在一个事务内读取到了别的事务插入的数据,导致前后读取不一致。
/*创建账户表*/ CREATE TABLE account( id INT PRIMARY KEY AUTO_INCREMENT, NAME VARCHAR(40), money FLOAT );/*插入测试数据*/ insert into account(name,money) values('A',1000); insert into account(name,money) values('B',1000); insert into account(name,money) values('C',1000);
当Jdbc程序向数据库获得一个Connection对象时,默认情况下这个Connection对象会自动向数据库提交在它上面发送的SQL语句。若想关闭这种默认提交方式,让多条SQL在一个事务中执行,可使用下列的JDBC控制事务语句
Connection.setAutoCommit(false);//开启事务(start transaction)
Connection.rollback();//回滚事务(rollback)
Connection.commit();//提交事务(commit)
模拟转账成功时的业务场景
import com.kuang.lesson02.utils.JdbcUtils; import java.sql.Connection; import java.sql.PreparedStatement; import java.sql.ResultSet; //模拟转账成功时的业务场景 public class TestTransaction1 { public static void main(String[] args) { Connection conn = null; PreparedStatement st = null; ResultSet rs = null; try{conn = JdbcUtils.getConnection(); conn.setAutoCommit(false);//通知数据库开启事务(start transaction) String sql1 = "update account set money=money-100 where name='A'"; st = conn.prepareStatement(sql1); st.executeUpdate(); String sql2 = "update account set money=money+100 where name='B'"; st = conn.prepareStatement(sql2); st.executeUpdate(); conn.commit();//上面的两条SQL执行Update语句成功之后就通知数据库提交事务 (commit) System.out.println("成功!!!"); //log4j }catch (Exception e) { e.printStackTrace(); }finally{ JdbcUtils.release(conn, st, rs); } } }
模拟转账过程中出现异常导致有一部分SQL执行失败后让数据库自动回滚事务
import com.kuang.lesson02.utils.JdbcUtils; import java.sql.Connection; import java.sql.PreparedStatement; import java.sql.ResultSet; // 模拟转账过程中出现异常导致有一部分SQL执行失败后让数据库自动回滚事务 public class TestTransaction2 { public static void main(String[] args) { Connection conn = null; PreparedStatement st = null; ResultSet rs = null; try{conn = JdbcUtils.getConnection(); conn.setAutoCommit(false);//通知数据库开启事务(start transaction) String sql1 = "update account set money=money-100 where name='A'"; st = conn.prepareStatement(sql1); st.executeUpdate(); //用这句代码模拟执行完SQL1之后程序出现了异常而导致后面的SQL无法正常执行,事 务也无法正常提交,此时数据库会自动执行回滚操作 int x = 1/0; String sql2 = "update account set money=money+100 where name='B'"; st = conn.prepareStatement(sql2); st.executeUpdate(); conn.commit();//上面的两条SQL执行Update语句成功之后就通知数据库提交事务 (commit) System.out.println("成功!!!"); }catch (Exception e) { e.printStackTrace(); }finally{ JdbcUtils.release(conn, st, rs); } } }
模拟转账过程中出现异常导致有一部分SQL执行失败时手动通知数据库回滚事务
import com.kuang.lesson02.utils.JdbcUtils; import java.sql.Connection; import java.sql.PreparedStatement; import java.sql.ResultSet; import java.sql.SQLException; //模拟转账过程中出现异常导致有一部分SQL执行失败时手动通知数据库回滚事务 public class TestTransaction3 { public static void main(String[] args) { Connection conn = null; PreparedStatement st = null; ResultSet rs = null; try{conn = JdbcUtils.getConnection(); conn.setAutoCommit(false);//通知数据库开启事务(start transaction) String sql1 = "update account set money=money-100 where name='A'"; st = conn.prepareStatement(sql1); st.executeUpdate(); //用这句代码模拟执行完SQL1之后程序出现了异常而导致后面的SQL无法正常执行,事 务也无法正常提交int x = 1/0; String sql2 = "update account set money=money+100 where name='B'"; st = conn.prepareStatement(sql2); st.executeUpdate(); conn.commit();//上面的两条SQL执行Update语句成功之后就通知数据库提交事务 (commit) System.out.println("成功!!!"); }catch (Exception e) { try {//捕获到异常之后手动通知数据库执行回滚事务的操作 conn.rollback(); } catch (SQLException e1) { e1.printStackTrace(); }e.printStackTrace(); }finally{ JdbcUtils.release(conn, st, rs); } } }
数据库连接池
数据库连接是一种关键的有限的昂贵的资源,这一点在多用户的网页应用程序中体现的尤为突出.对数据库连接的管理能显著影响到整个应用程序的伸缩性和健壮性,影响到程序的性能指标.数据库连接池正式针对这个问题提出来的.数据库连接池负责分配,管理和释放数据库连接,它允许应用程序重复使用一个现有的数据库连接,而不是重新建立一个。
数据库连接池在初始化时将创建一定数量的数据库连接放到连接池中, 这些数据库连接的数量是由最小数据库连接数来设定的.无论这些数据库连接是否被使用,连接池都将一直保证至少拥有这么多的连接数量.连接池的最大数据库连接数量限定了这个连接池能占有的最大连接数,当应用程序向连接池请求的连接数超过最大连接数量时,这些请求将被加入到等待队列中.
数据库连接池的最小连接数和最大连接数的设置要考虑到以下几个因素:
1. 最小连接数:是连接池一直保持的数据库连接,所以如果应用程序对数据库连接的使用量不大,将会有大量的数据库连接资源被浪费.
2. 最大连接数:是连接池能申请的最大连接数,如果数据库连接请求超过次数,后面的数据库连接请求将被加入到等待队列中,这会影响以后的数据库操作
3. 如果最小连接数与最大连接数相差很大:那么最先连接请求将会获利,之后超过最小连接数量的连接请求等价于建立一个新的数据库连接.不过,这些大于最小连接数的数据库连接在使用完不会马上被释放,他将被放到连接池中等待重复使用或是空间超时后被释放.
编写连接池需实现java.sql.DataSource接口。
开源数据库连接池
现在很多WEB服务器(Weblogic, WebSphere, Tomcat)都提供了DataSoruce的实现,即连接池的实现。
通常我们把DataSource的实现,按其英文含义称之为数据源,数据源中都包含了数据库连接池的实现。
也有一些开源组织提供了数据源的独立实现:
DBCP 数据库连接池
C3P0 数据库连接池
在使用了数据库连接池之后,在项目的实际开发中就不需要编写连接数据库的代码了,直接从数据源获得数据库的连接。
DBCP数据源
DBCP 是 Apache 软件基金组织下的开源连接池实现,要使用DBCP数据源,需要应用程序应在系统中增加如下两个 jar 文件:
Commons-dbcp.jar:连接池的实现
Commons-pool.jar:连接池实现的依赖库
Tomcat 的连接池正是采用该连接池来实现的。该数据库连接池既可以与应用服务器整合使用,也可由应用程序独立使用。
dbcpconfifig.properties
#连接设置 driverClassName=com.mysql.jdbc.Driver url=jdbc:mysql://localhost:3306/jdbcStudy? useUnicode=true&characterEncoding=utf8&useSSL=true username=root password=123456 #<!-- 初始化连接 --> initialSize=10 #最大连接数量 maxActive=50 #<!-- 最大空闲连接 --> maxIdle=20 #<!-- 最小空闲连接 --> minIdle=5 #<!-- 超时等待时间以毫秒为单位 6000毫秒/1000等于60秒 --> maxWait=60000 #JDBC驱动建立连接时附带的连接属性属性的格式必须为这样:[属性名=property;] #注意:"user" 与 "password" 两个属性会被明确地传递,因此这里不需要包含他们。 connectionProperties=useUnicode=true;characterEncoding=UTF8 #指定由连接池所创建的连接的自动提交(auto-commit)状态。 defaultAutoCommit=true #driver default 指定由连接池所创建的连接的只读(read-only)状态。 #如果没有设置该值,则“setReadOnly”方法将不被调用。(某些驱动并不支持只读模式,如: Informix) defaultReadOnly= #driver default 指定由连接池所创建的连接的事务级别(TransactionIsolation)。 #可用值为下列之一:(详情可见javadoc。)NONE,READ_UNCOMMITTED, READ_COMMITTED, REPEATABLE_READ, SERIALIZABLE defaultTransactionIsolation=READ_UNCOMMITTED
import java.io.InputStream; import java.sql.Connection; import java.sql.ResultSet; import java.sql.SQLException; import java.sql.Statement; import java.util.Properties; import javax.sql.DataSource; import org.apache.commons.dbcp.BasicDataSourceFactory; //数据库连接工具类 public class JdbcUtils_DBCP { /*** 在java中,编写数据库连接池需实现java.sql.DataSource接口,每一种数据库连接池都 是DataSource接口的实现 * DBCP连接池就是java.sql.DataSource接口的一个具体实现 */ private static DataSource ds = null; //在静态代码块中创建数据库连接池 static{ try{//加载dbcpconfig.properties配置文件 InputStream in = JdbcUtils_DBCP.class.getClassLoader().getResourceAsStream("dbcpconfig.proper ties"); Properties prop = new Properties(); prop.load(in); //创建数据源 ds = BasicDataSourceFactory.createDataSource(prop); }catch (Exception e) { throw new ExceptionInInitializerError(e); } }//从数据源中获取数据库连接 public static Connection getConnection() throws SQLException{ //从数据源中获取数据库连接 return ds.getConnection(); } // 释放资源 public static void release(Connection conn,Statement st,ResultSet rs){ if(rs!=null){ try{//关闭存储查询结果的ResultSet对象 rs.close(); }catch (Exception e) { e.printStackTrace(); }rs = null; }if(st!=null){ try{//关闭负责执行SQL命令的Statement对象 st.close(); }catch (Exception e) { e.printStackTrace(); } }if(conn!=null){ try{//将Connection连接对象还给数据库连接池 conn.close(); }catch (Exception e) { e.printStackTrace(); } } } }
import com.kuang.datasource.utils.JdbcUtils_DBCP; import java.sql.Connection; import java.sql.PreparedStatement; import java.sql.ResultSet; import java.util.Date; public class DBCPTest { public static void main(String[] args) { Connection conn = null; PreparedStatement st = null; ResultSet rs = null; try{//获取数据库连接 conn = JdbcUtils_DBCP.getConnection(); String sql = "insert into users(id,name,password,email,birthday) values(?,?,?,?,?)"; st = conn.prepareStatement(sql); st.setInt(1, 5);//id是int类型的 st.setString(2, "kuangshen");//name是varchar(字符串类型) st.setString(3, "123");//password是varchar(字符串类型) st.setString(4, "24736743@qq.com");//email是varchar(字符串类型)st.setDate(5, new java.sql.Date(new Date().getTime()));//birthday是date类型 int i = st.executeUpdate(); if (i>0){ System.out.println("插入成功"); } }catch (Exception e) { e.printStackTrace(); }finally{ //释放资源 JdbcUtils_DBCP.release(conn, st, rs); } } }
C3P0
C3P0是一个开源的JDBC连接池,它实现了数据源和JNDI绑定,支持JDBC3规范和JDBC2的标准扩展。目前使用它的开源项目有Hibernate,Spring等。C3P0数据源在项目开发中使用得比较多。
c3p0与dbcp区别
dbcp没有自动回收空闲连接的功能
c3p0有自动回收空闲连接功能
c3p0-confifig.xml
<?xml version="1.0" encoding="UTF-8"?> <c3p0-config> <!-- C3P0的缺省(默认)配置, 如果在代码中“ComboPooledDataSource ds = new ComboPooledDataSource();”这样写 就表示使用的是C3P0的缺省(默认)配置信息来创建数据源 --> <default-config> <property name="driverClass">com.mysql.jdbc.Driver</property> <property name="jdbcUrl">jdbc:mysql://localhost:3306/jdbcStudy? useUnicode=true&characterEncoding=utf8&useSSL=true</property> <property name="user">root</property> <property name="password">123456</property> <property name="acquireIncrement">5</property> <property name="initialPoolSize">10</property> <property name="minPoolSize">5</property> <property name="maxPoolSize">20</property> </default-config> <!-- C3P0的命名配置,如果在代码中“ComboPooledDataSource ds = new ComboPooledDataSource("MySQL");”这样写就表示使用的是name是MySQL的配置信息来创建数据 源 --> <named-config name="MySQL"> <property name="driverClass">com.mysql.jdbc.Driver</property> <property name="jdbcUrl">jdbc:mysql://localhost:3306/jdbcStudy? useUnicode=true&characterEncoding=utf8&useSSL=true</property> <property name="user">root</property> <property name="password">123456</property> <property name="acquireIncrement">5</property> <property name="initialPoolSize">10</property> <property name="minPoolSize">5</property> <property name="maxPoolSize">20</property> </named-config> </c3p0-config>
import java.sql.Connection; import java.sql.ResultSet; import java.sql.SQLException; import java.sql.Statement; import com.mchange.v2.c3p0.ComboPooledDataSource; //数据库连接工具类 public class JdbcUtils_C3P0 { private static ComboPooledDataSource ds = null; //在静态代码块中创建数据库连接池 static{ try{//通过代码创建C3P0数据库连接池 /*ds = new ComboPooledDataSource(); ds.setDriverClass("com.mysql.jdbc.Driver"); ds.setJdbcUrl("jdbc:mysql://localhost:3306/jdbcstudy"); ds.setUser("root"); ds.setPassword("123456"); ds.setInitialPoolSize(10); ds.setMinPoolSize(5); ds.setMaxPoolSize(20);*/ //通过读取C3P0的xml配置文件创建数据源,C3P0的xml配置文件c3p0-config.xml 必须放在src目录下//ds = new ComboPooledDataSource();//使用C3P0的默认配置来创建数据源 ds = new ComboPooledDataSource("MySQL");//使用C3P0的命名配置来创建数 据源 }catch (Exception e) { throw new ExceptionInInitializerError(e); } }//从数据源中获取数据库连接 public static Connection getConnection() throws SQLException{ //从数据源中获取数据库连接 return ds.getConnection(); }//释放资源 public static void release(Connection conn,Statement st,ResultSet rs){ if(rs!=null){ try{//关闭存储查询结果的ResultSet对象 rs.close(); }catch (Exception e) { e.printStackTrace(); }rs = null; }if(st!=null){ try{//关闭负责执行SQL命令的Statement对象 st.close(); }catch (Exception e) { e.printStackTrace(); } }if(conn!=null){ try{//将Connection连接对象还给数据库连接池 conn.close(); }catch (Exception e) { e.printStackTrace(); } } } }
import com.kuang.datasource.utils.JdbcUtils_C3P0; import com.kuang.datasource.utils.JdbcUtils_DBCP; import java.sql.Connection; import java.sql.PreparedStatement; import java.sql.ResultSet; import java.util.Date; public class C3P0Test { public static void main(String[] args) { Connection conn = null; PreparedStatement st = null; ResultSet rs = null; try{//获取数据库连接 conn = JdbcUtils_C3P0.getConnection(); String sql = "insert into users(id,name,password,email,birthday) values(?,?,?,?,?)"; st = conn.prepareStatement(sql); st.setInt(1, 6);//id是int类型的 st.setString(2, "kuangshen");//name是varchar(字符串类型) st.setString(3, "123");//password是varchar(字符串类型) st.setString(4, "24736743@qq.com");//email是varchar(字符串类型) st.setDate(5, new java.sql.Date(new Date().getTime()));//birthday是date类型 int i = st.executeUpdate(); if (i>0){ System.out.println("插入成功"); } }catch (Exception e) { e.printStackTrace(); }finally{ //释放资源 JdbcUtils_C3P0.release(conn, st, rs); } } }
