JDBC 大数据存储及其异常 批处理 SQL注入攻击

JDBC连接示例

package com.itheima.jdbc;import java.sql.Connection;import java.sql.DriverManager;import java.sql.ResultSet;import java.sql.SQLException;import java.sql.Statement;public class JDBCDemo1 {public static void main(String[] args)  {Connection conn = null;Statement stat = null;ResultSet rs = null;try{//1.注册数据库驱动//--导致了数据库驱动在驱动管理器中被注册了两次，//--这行代码和具体的mysql Driver死死的绑定在了一起，当切换数据库时，不可避免的要来修改这行代码//DriverManager.registerDriver(new Driver());Class.forName("com.mysql.jdbc.Driver");//2.获取数据库连接//--此方法回去分析数据库的URL，分析出连接哪个数据库的URL后，找出之前注册对应的数据库驱动，连接数据库后返回一个连接对象//--jdbc:mysql://主机名:3306/数据库名//--jdbc:mysql:///day10conn =  DriverManager.getConnection("jdbc:mysql:///Day10?user=root&password=root");//3.获取传输器stat = conn.createStatement();//4.利用传输器发送sql到数据库执行，获取结果集对象rs = stat.executeQuery("select * from user");//5.遍历结果集while(rs.next()){String name = rs.getString("name");System.out.println(name);}}catch (Exception e) {e.printStackTrace();}finally{//6.释放资源if(rs != null){try {rs.close();} catch (SQLException e) {e.printStackTrace();} finally{rs = null;}}if(stat!=null){try {stat.close();} catch (SQLException e) {// TODO Auto-generated catch blocke.printStackTrace();}finally{stat = null;}}if(conn != null){try {conn.close();} catch (SQLException e) {// TODO Auto-generated catch blocke.printStackTrace();} finally{conn = null;}}}}}

SQL注入攻击

注入攻击是利用原SQL语句是拼接式的语句，注入特定的代码，破坏源代码的规则，破坏原语句，使其验证失效

常用的方式

在用户名后面 '#   select * from userinfo where username='wxq' '# and password='wxq' 

'or' 1=1

防御方式

利用PrepareStatement 对语句进行预编译，再次传输数据过去。黑客无法得到源SQL语句或只能获取参数，无法对其进行攻击

大数据存储

存储大字符类型

~插入大文本：ps = conn.prepareStatement("insert into Demo2Text values(null,?,?)");ps.setString(1, "钢铁是怎样练成");File file = new File("1.txt");ps.setCharacterStream(2, new FileReader(file), (int) file.length());~查询大文本：Reader rd = rs.getCharacterStream("content");

存储大二进制类型

~插入：ps = conn.prepareStatement("insert into Demo3Blob values(null,?,?)");ps.setString(1, "梦想的力量");File file = new File("1.mp3");ps.setBinaryStream(2, new FileInputStream(file), (int) file.length());~查询InputStream in = rs.getBinaryStream("content");

存储大数据容易发生的问题

//1.Exception in thread "main" java.lang.AbstractMethodError: com.mysql.jdbc.PreparedStatement.setCharacterStream(ILjava/io/Reader;J)V
//ps.setCharacterStream(2, new FileReader(file), file.length());第三个参数是long型的是从1.6才开始支持的，驱动里还没有开始支持。
//解决方案：ps.setCharacterStream(2, new FileReader(file), (int)file.length());

//2.Exception in thread "main" java.lang.OutOfMemoryError: Java heap space
//文件大小过大，导致PreparedStatement中数据多大占用内存，内存溢出
//-Xms256M-Xmx256M
//3.com.mysql.jdbc.PacketTooBigException: Packet for query is too large (10886466 > 1048576). You can change this value on the server by setting the max_allowed_packet' variable.
//数据库连接传输用的包不够大，传输大文本时报此错误
//在my.ini中配置max_allowed_packet=64M指定包的大小

批处理

Statement 执行无规律的SQL批处理语句

String sql = "insert into userinfo values(null,'wwww','wwww','wwww','wwww')";Connection conn = JDBCDaoUtils.getConn();Statement state = conn.createStatement();state.addBatch(sql);state.executeBatch();

PerpareStatement 执行有规律的 SQL批处理语句

PreparedStatement ps = conn.prepareStatement(sql);for (int i = 0; i < 10; i++) {ps.addBatch(sql);}ps.executeBatch();