JDBC之ORM思想及SQL注入

目录

[一. ORM编程思想](#一. ORM编程思想)

[1. 简介](#1. 简介)

[2. 实操ORM思想](#2. 实操ORM思想)

[a. Students实体类](#a. Students实体类)

[b. ORM映射](#b. ORM映射)

[二. SQL注入](#二. SQL注入)

[1. 简介](#1. 简介)

[2. 解决SQL注入](#2. 解决SQL注入)

[三. 总结](#三. 总结)


前言

本文来讲解ORM编程思想和SQL注入,旨在帮助大家更容易的理解和掌握

个人主页:艺杯羹

系列专栏:JDBC

一. ORM编程思想

1. 简介

这是一种思想,对象关系映射(英语:Object Relational Mapping,简称ORM,或O/R mapping)是一种为了解决面向对象语言与关系数据库存在的互不匹配的现象

这个思想就是要求:

  1. 表与所创建的类要对应
  2. 表的一个字段和类中一个属性一一对应
  3. 表的一行数据和类的一个对象对应

实体类

实体类就是一个定义了属性,拥有getter、setter、无参构造方法(基本必备)的一个类。实体类可以在数据传输过程中对数据进行封装,相当于一个"工具"、"容器"、"载体",能存储、传输数据,能管理数据

特点分类 具体描述
类名 实体类名尽量和数据库中的表名一一对应
属性与字段 实体类中的属性对应数据库表中的字段,相关的命名最好也一一对应
方法 实体类内方法主要有 getter、setter 方法,用于设置、获取数据
访问修饰符 实体类属性一般为 private 类型,方法为 public 类型
构造方法 实体类应该有无参、有参构造方法

关系图如下:

2. 实操ORM思想

a. Students实体类

java 复制代码
// 实体类,存放Users表中的数据
public class Students {
    private int studentid;
    private String studentname;
    private int studentage;

    public int getStudentid() {
        return studentid;
    }

    public void setStudentid(int studentid) {
        this.studentid = studentid;
    }

    public String getStudentname() {
        return studentname;
    }

    public void setStudentname(String studentname) {
        this.studentname = studentname;
    }

    public int getStudentage() {
        return studentage;
    }

    public void setStudentage(int studentage) {
        this.studentage = studentage;
    }
}

b. ORM映射

java 复制代码
public List<Students> selectAllStu(){
        Connection connection = null;
        PreparedStatement ps = null;
        ResultSet rs = null;
        List<Students> list = new ArrayList<>();
        try{
            // 获取数据库连接
            connection = JdbcUtils.getConnection();
            // 创建PreparedStatement对象
            ps = connection.prepareStatement("select * from students");
            // 执行查询
            rs = ps.executeQuery();
            // 操作ResultSet对象获取查询的结果集
            while(rs.next()){
                // 获取列中的数据
                int studentid = rs.getInt("studentid");
                String studentname = rs.getString("studentname");
                int studentage = rs.getInt("studentage");
                // ORM映射处理
                Students student = new Students();
                student.setStudentid(studentid);
                student.setStudentname(studentname);
                student.setStudentage(studentage);
                list.add(student);
            }
        }catch (Exception e){
            e.printStackTrace();
        }
        return list;
    }

测试

java 复制代码
ResultSetTest tst = new ResultSetTest();
List<Students> students = tst.selectAllStu();
for(Students student : students){
System.out.println(student.getStudentid()+" "+student.getStudentname()+" "+student.getStudentage());
}

二. SQL注入

1. 简介

所谓 SQL 注入,就是通过把含有 SQL 语句片段的参数插入到需要执行的 SQL 语句中,
最终达到欺骗数据库服务器执行恶意操作的 SQL 命令

这种情况会导致数据泄露的风险,如果是登录账号,被使用sql注入攻击,那么就会导致数据泄露

这里我那statement来举个例子

这是一个用户登录查询的sql语句

java 复制代码
// 在Statement里
String sql = 
"SELECT * FROM users WHERE username = '"+username+"' AND password = '"+password+"'"

如果攻击者,输入如下内容
' OR '1'='1' --

那么就会有数据泄露的风险,为什么?现在我们看看源代码

java 复制代码
// 这里的意思就变成名字是一直都是为真的
// 并且后面使用 -- 这个符号将密码注释掉了
// 这样就出现了SQL注入
SELECT * FROM users WHERE username = '' OR '1'='1' --' AND password = '任意值';

2. 解决SQL注入

就像之前的文章提到的,为什么使用Statement会出现SQL注入,就是这个原因

如何去解决呢,就是用PrepareStatement

因为prepareStatement会先用**?**来占位,就能够防止SQL注入

三. 总结

到此,就讲解完了ORM编程思想和SQL注入,相信你能够很好的理解了

希望本文能够帮助到你😊

相关推荐
JAVA学习通16 分钟前
Mybatis--动态SQL
sql·tomcat·mybatis
老纪的技术唠嗑局2 小时前
OceanBase PoC 经验总结(二)—— AP 业务
数据库
阿里云大数据AI技术2 小时前
OpenSearch 视频 RAG 实践
数据库·人工智能·llm
m0_623955665 小时前
Oracle使用SQL一次性向表中插入多行数据
数据库·sql·oracle
阿蒙Amon5 小时前
C#读写文件:多种方式详解
开发语言·数据库·c#
东窗西篱梦6 小时前
Redis集群部署指南:高可用与分布式实践
数据库·redis·分布式
就是有点傻6 小时前
C#如何实现中英文快速切换
数据库·c#
jnrjian7 小时前
Oracle RAC环境 加错数据文件 的修复 归档非归档都没问题
sql·oracle
1024小神7 小时前
hono框架绑定cloudflare的d1数据库操作步骤
数据库
KellenKellenHao9 小时前
MySQL数据库主从复制
数据库·mysql