文章目录
- 0.数据库中表的创建
- 1.配置文件
- 2.自创JDBC工具类
- 3.主程序
- 4.结果
- 5.改进
- 6.改进后的结果
0.数据库中表的创建
1.配置文件
文件名:jdbc.properties
文件在src目录下,本程序用到了动态查询文件路径的方式读取文件的
url=jdbc:mysql:///db4
user=root
password=root
driver=com.mysql.cj.jdbc.Driver
2.自创JDBC工具类
文件名:JDBCutils.java
package com.otkur.util;
import java.io.FileReader;
import java.io.IOException;
import java.net.URL;
import java.sql.*;
import java.util.Properties;
public class JDBCutils {
private static String url;
private static String user;
private static String password;
public static String Driver;
static {
try {
//读取资源文件,获取值
Properties pro = new Properties();
//获取src路径下的文件的方式---->ClassLoader类加载器
ClassLoader classLoader = JDBCutils.class.getClassLoader();
URL res = classLoader.getResource("jdbc.properties");
String path = res.getPath();
//加载文件
pro.load(new FileReader(path));
//3.获取数据,赋值
url = pro.getProperty("url");
user = pro.getProperty("user");
password = pro.getProperty("password");
Driver = pro.getProperty("driver");
Class.forName(Driver);
} catch (IOException e) {
e.printStackTrace();
} catch (ClassNotFoundException e) {
e.printStackTrace();
}
}
/**
* 获取连接
* @return 连接对象
*/
public static Connection getConnection(){
try {
return DriverManager.getConnection(url,user,password);
} catch (SQLException throwables) {
throwables.printStackTrace();
return null;
}
}
/**
* 释放资源
* @param rs
* @param stmt
* @param conn
*/
public static void close(ResultSet rs,Statement stmt, Connection conn){
if(rs != null){
try {
rs.close();
} catch (SQLException throwables) {
throwables.printStackTrace();
}
}
if(stmt != null){
try {
stmt.close();
} catch (SQLException throwables) {
throwables.printStackTrace();
}
}
if(conn != null){
try {
conn.close();
} catch (SQLException throwables) {
throwables.printStackTrace();
}
}
}
}
3.主程序
package com.otkur.jdbc3;
import com.otkur.util.JDBCutils;
import java.sql.Connection;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;
import java.util.Scanner;
/**
* 练习:
* 需求:
* 1.通过键盘输入用户名和密码
* 2.判断用户是否登录成功
*/
public class JDBCDemo10 {
/**
* 登陆方法
*/
public static void main(String[] args) {
Scanner s= new Scanner(System.in);
System.out.println("请输入用户名:");
String username= s.nextLine();
System.out.println("请输入密码:");
String password = s.nextLine();
JDBCDemo10.login(username,password);
}
public static void login(String username, String password)
{
if(username!=null || password==null)
{
Connection c=null;
Statement s = null;
ResultSet rs = null;
try{
//1. 2.连接数据库,并判断是否连接成功
c= JDBCutils.getConnection();
//3.定义sql
String sql = " select * from user where username='"+username+"' and password='"+password+"'";
//4.获取执行对象
s=c.createStatement();
//5.执行语句
rs= s.executeQuery(sql);
if(rs.next())
System.out.println("登录成功");
else
System.out.println("登录失败");
}catch (SQLException throwables) {
throwables.printStackTrace();
} finally{
JDBCutils.close(rs,s,c);
}
}
}
4.结果
lisi我写成Lisi也登录成功了,是因为mysql中DQL语句不区分大小写?请大佬看到了解答一下
5.改进
先看这样一个输入:
用户名随便输入的,密码按照上面那种输入,也能登录成功,我把sql语句也一起输出出来了,一看这语句就知道原因了
上面这种现象叫做 SQL注入问题
SQL注入问题:在拼接sql时有一些sql的特殊关键字参与字符串的拼接。会造成安全性问题。
所以我们得用预编译SQL(PreparedStatement)
修改步骤:
步骤一:在定义sql时,sql的参数使用?作为占位符。如:
- select * from user where username = ? and password = ? ;
步骤二:在获取sql语句的对象时 用PreparedStatement
- connection.prepareStatement(String sql)
步骤三:给?赋值
- 方法:setXxx(参数1,参数2)
- 参数1:?的位置编号 从1开始
- 参数2:?的值
步骤四:执行sql 接受返回结果,不需要传递sql语句
下面来实现一下:
主程序
package com.otkur.jdbc3;
import com.otkur.util.JDBCutils;
import java.sql.*;
import java.util.Scanner;
/**
* 练习:
* 需求:
* 1.通过键盘输入用户名和密码
* 2.判断用户是否登录成功
*/
public class JDBCDemo10 {
/**
* 登陆方法
*/
public static void main(String[] args) {
Scanner s= new Scanner(System.in);
System.out.println("请输入用户名:");
String username= s.nextLine();
System.out.println("请输入密码:");
String password = s.nextLine();
JDBCDemo10.login(username,password);
}
public static void login(String username, String password)
{
if(username!=null || password==null)
{
Connection c=null;
//Statement s = null;
PreparedStatement p = null;
ResultSet rs = null;
try{
//1. 2.连接数据库,并判断是否连接成功
c= JDBCutils.getConnection();
//3.定义sql
String sql = " select * from user where username=? and password=?";
//4.获取执行对象
//System.out.println(sql);
//s=c.createStatement();
p= c.prepareStatement(sql);
//给?赋值
p.setString(1,username);
p.setString(2,password);
//5.执行语句
//rs= s.executeQuery(sql);
rs= p.executeQuery();
if(rs.next())
System.out.println("登录成功");
else
System.out.println("登录失败");
}catch (SQLException throwables) {
throwables.printStackTrace();
} finally{
JDBCutils.close(rs,p,c);
}
}
}
}
6.改进后的结果
以后都要用PrepareStatement的对象执行sql语句(可以防止SQL注入,效率更高)!!!