Skip to content

2
20240528-BJava
Commit 47eb282b by Patryk Czarnik
Options

Przykłady JDBC z zajęć, w tym SQL Injection

parent 8810351c
Showing with 130 additions and 0 deletions
PC22-BazyDanych/src/main/java/na_zajeciach/podstawy/Pracownicy.java 0 → 100644
package na_zajeciach.podstawy;
import java.math.BigDecimal;
import java.sql.*;
public class Pracownicy {
public static void main(String[] args) {
try(Connection c = DriverManager.getConnection("jdbc:postgresql://localhost:5432/hr",
"alx", "abc123")) {
try(PreparedStatement stmt = c.prepareStatement("SELECT * FROM employees")) {
try(ResultSet rs = stmt.executeQuery()) {
while(rs.next()) {
String imie = rs.getString("first_name");
String nazwisko = rs.getString("last_name");
String job = rs.getString("job_id");
BigDecimal pensja = rs.getBigDecimal("salary");
System.out.printf("%s %s (%s) zarabia %s%n", imie, nazwisko, job, pensja);
}
}
}
} catch (SQLException e) {
throw new RuntimeException(e);
}
}
}
PC22-BazyDanych/src/main/java/na_zajeciach/podstawy/PracownicyWedlugJob1.java 0 → 100644
package na_zajeciach.podstawy;
import javax.swing.*;
import java.math.BigDecimal;
import java.sql.*;
// Zadanie: niech program wypisuje tylko tych pracowników, którzy mają podane job_id
// Wada tego rozwiązania: NISKA WYDAJNOŚĆ
// Serwer odczytuje wszystkie rekordy z dysku
// wszystkie rekordy są przesyłanie przez sieć
// wszystkie rekordy są odbieranie i przeglądane przez program w Javie.
public class PracownicyWedlugJob1 {
public static void main(String[] args) {
try(Connection c = DriverManager.getConnection("jdbc:postgresql://localhost:5432/hr", "alx", "abc123")) {
String szukanyJob = JOptionPane.showInputDialog("Podaj nazwę stanowiska", "IT_PROG");
try(PreparedStatement stmt = c.prepareStatement("SELECT * FROM employees")) {
try(ResultSet rs = stmt.executeQuery()) {
while(rs.next()) {
String job = rs.getString("job_id");
if(job.equals(szukanyJob)) {
String imie = rs.getString("first_name");
String nazwisko = rs.getString("last_name");
BigDecimal pensja = rs.getBigDecimal("salary");
System.out.printf("%s %s (%s) zarabia %s%n", imie, nazwisko, job, pensja);
}
}
}
}
} catch (SQLException e) {
throw new RuntimeException(e);
}
}
}
PC22-BazyDanych/src/main/java/na_zajeciach/podstawy/PracownicyWedlugJob2.java 0 → 100644
package na_zajeciach.podstawy;
import javax.swing.*;
import java.math.BigDecimal;
import java.sql.*;
// Zadanie: niech program wypisuje tylko tych pracowników, którzy mają podane job_id
// Niech program wypisuje tylko tych pracowników, którzy mają podane job_id.
// Ta wersja jest niebezpieczna - umożliwia użytkownikowi dopisanie dowolnego kodu do zapytania.
// = "SQL Injection"
// '; UPDATE employees SET salary = 99000; SELECT '
// '; DROP TABLE employees CASCADE; SELECT '
public class PracownicyWedlugJob2 {
public static void main(String[] args) {
try(Connection c = DriverManager.getConnection("jdbc:postgresql://localhost:5432/hr", "alx", "abc123")) {
String szukanyJob = JOptionPane.showInputDialog("Podaj nazwę stanowiska", "IT_PROG");
try(PreparedStatement stmt = c.prepareStatement("SELECT * FROM employees WHERE job_id = '" + szukanyJob +"'")) {
System.out.println(stmt);
try(ResultSet rs = stmt.executeQuery()) {
while(rs.next()) {
String job = rs.getString("job_id");
String imie = rs.getString("first_name");
String nazwisko = rs.getString("last_name");
BigDecimal pensja = rs.getBigDecimal("salary");
System.out.printf("%s %s (%s) zarabia %s%n", imie, nazwisko, job, pensja);
}
}
}
} catch (SQLException e) {
throw new RuntimeException(e);
}
}
}
PC22-BazyDanych/src/main/java/na_zajeciach/podstawy/PracownicyWedlugJob3.java 0 → 100644
package na_zajeciach.podstawy;
import javax.swing.*;
import java.math.BigDecimal;
import java.sql.*;
// Zadanie: niech program wypisuje tylko tych pracowników, którzy mają podane job_id
// Rozwiązanie poprawne:
// - Dzięki WHERE to serwer wybiera tylko te rekordy, które spełniają warunek.
// * Jeśli dla kolumny jest zdefiniowany indeks, to serwer bardzo sprawnie odczyta z dysku tylko te rekordy, które mają sens (dla dużych danych to jest olbrzymie przyspieszenie)
// * Nawet gdyby nie było indeksu, to sprawdzanie warunku po stronie serwera zmniejsza transfer i obciążenie naszej aplikacji klienckiej.
// - Dzięki podstawianiu parametrów za pomocą ? jest to bezpieczne - nie ma możliwości SQL Injection (oczywiście o ile twórcy sterownika postgresql-jdbc dobrze go napisali...)
public class PracownicyWedlugJob3 {
public static void main(String[] args) {
try(Connection c = DriverManager.getConnection("jdbc:postgresql://localhost:5432/hr", "alx", "abc123")) {
String szukanyJob = JOptionPane.showInputDialog("Podaj nazwę stanowiska", "IT_PROG");
try(PreparedStatement stmt = c.prepareStatement("SELECT * FROM employees WHERE job_id = ?")) {
stmt.setString(1, szukanyJob);
System.out.println(stmt);
try(ResultSet rs = stmt.executeQuery()) {
while(rs.next()) {
String job = rs.getString("job_id");
String imie = rs.getString("first_name");
String nazwisko = rs.getString("last_name");
BigDecimal pensja = rs.getBigDecimal("salary");
System.out.printf("%s %s (%s) zarabia %s%n", imie, nazwisko, job, pensja);
}
}
}
} catch (SQLException e) {
throw new RuntimeException(e);
}
}
}
Markdown is supported
0% or
You are about to add 0 people to the discussion. Proceed with caution.
Finish editing this message first!
Please register or to comment