JDBC的API

发表于 更新于 分类于

一. DriverManager 驱动管理类

二. Connection 数据连接对象

a.获取执行SQL的对象
预编译执行SQL的对象防止sql注入 PreparedStatement

b.管理事务

三. Statement

四. ResultSet 结果集对象

注意这里索引从1开始 且是列的标号

由于其步骤都重复性 , 因此用while语句

这个参数既可以是列号 , 也可以是列的字段

五. PreparedStatement

预备知识
SQL注入, 由于网站底层是数据库 ,
输入的时候采取的是字符串拼接 , 导致where语义改变从而实现true
Where 条件 = where username=’xxxxx’ and password = ‘1’ or ‘1’ = ‘1’ ; —>是恒等式

如何预防SQL注入?

利用占位符 + 接收参数时会对里面的一些符号进行转义以区分语法中的符号和密码的符号
如 ‘ 会转义为 \ ;

原理

image1

image2