让我们来谈谈JDBC

JDBC的简单介绍

1.JDBC

概念

  • JDBC : Java Database
    Connectivity,java连接数据库,使用Java操作数据库的技术。
  • 本质 :
    其实就是sun公司定义的一套操作所有关系型数据库的规则,即接口。
    各个数据库厂商去实现这套接口,提供数据库操作驱动jar包,我们可以使用这套
    接口进行(JDBC)编程,真正执行的代码是驱动jar包的实现类。

    1)JDBC简介

快速入门

本人使用的是jdk10和mysql-connector-java-5.1.45-bin.jar。

步骤:

  1. 导入驱动jar包
    • 项目根目录创建文件夹libs。
    • 将mysql-connector-java-5.1.45-bin.jar复制到libs目录下
    • 右击libs下,Add as Library将jar包导入项目中
  2. 注册驱动
  3. 获取数据库连接对象(Collection)
  4. 定义sql
  5. 获取执行sql语句的对象 Statement
  6. 执行sql,接受返回结果(ResultSet)
  7. 处理结果
  8. 释放资源

     // 2. 注册驱动
     Class.forName("com.mysql.jdbc.Driver");
     // 3. 获取连接对象Collection
     Connection conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/db1", "root", "nrblwbb7");
     // 4. 定义sql
     String sql = "UPDATE STUDENT SET AGE = 23 WHERE NAME = '王智'";
     // 5. 获取执行sql语句的对象 Statement
     Statement statement = conn.createStatement();
     // 6. 执行sql,接受返回结果(ResultSet)
     int result = statement.executeUpdate(sql);
     // 7. 处理结果
     System.out.println(result);
     // 8. 释放资源
     statement.close();
     conn.close();
    

        –
JDBC就是Java中连接数据库方式

详解各个对象

  1. DriverManager:驱动管理对象
  2. Connection:数据库连接对象
  3. Statement:执行sql对象
  4. ResultSet:结果集对象
  5. PreparedStatement :执行sql对象

        –
我们可以通过JDBC来执行SQL语句。

DriverManager

功能:

  1. 注册驱动:告诉程序该使用哪一个数据库驱动jar

    • 使用的方法:static void registerDriver(Driver driver)
      :注册与给定的驱动程序 DriverManager 。
    • 写代码使用:Class.forName(“com.mysql.jdbc.Driver”);
    • 通过查看源码发现:在com.mysql.jdbc.Driver类中存在静态代码块

         static {
                try {
                    java.sql.DriverManager.registerDriver(new Driver());
                } catch (SQLException E) {
                    throw new RuntimeException("Can't register driver!");
                }
         }
      

      注意:mysql5之后的驱动jar包可以省略注册驱动的步骤。

  2. 获取数据库连接

    • 方法:static Connection getConnection(String url, String user,
      String password)
    • 参数:
      • url:指定连接的路径
        • 语法:jdbc:mysql://ip地址(域名):端口号/数据库名称
        • 例子:jdbc:mysql://localhost:3306/db
        • 细节:如果连接的是本机mysql服务器,并且mysql服务默认端口是3306,则url可以简写为:jdbc:mysql:///数据库名称
        • jdbc是连接数据库的协议,mysql是连接mysql数据库的子协议
      • user:用户名
      • password:密码

 

Collection连接对象

功能:

  1. 获取执行sql的对象
    • Statement createStatement()
    • PreparedStatement prepareStatement(String sql)
  2. 管理事务
    • 开启事务:setAutoCommit(boolean autoCommit)
      :调用该方法设置参数为false,即开启事务
    • 提交事务:commit()
    • 回滚事务:rollback()

    2)获取数据库连接

Statement执行静态sql对象

功能:

  1. 执行sql
    • boolean execute(String sql) :可以执行任意的sql (了解)
    • int executeUpdate(String sql)
      :执行DML(insert、update、delete)语句、DDL(create,alter、drop)语句

      • 返回值:影响的行数,可以通过这个影响的行数判断DML语句是否执行成功
        返回值>0的则执行成功,反之,则失败。
    • ResultSet executeQuery(String sql) :执行DQL(select)语句

插入举例:

 public static void main(String[] args) {
        Connection conn = null;
        Statement stmt = null;
        try {
            // 1. 加载驱动
            Class.forName("com.mysql.jdbc.Driver");
            // 2. 获取连接对象
            conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/db3?useSSL=true", "root", "nrblwbb7");
            // 3. 创建sql
            String sql = "INSERT INTO ACCOUNT VALUES (NULL,'网址',2000)";
            // 4. 获取执行sql对象
            stmt = conn.createStatement();
            // 5. 执行sql
            int count = stmt.executeUpdate(sql);
            // 6. 处理结果
            System.out.println("影响的行数为:" + count);
            if(count > 0){
                System.out.println("插入成功");
            }else{
                System.out.println("操作失败");
            }
        } catch (ClassNotFoundException e) {
            e.printStackTrace();
        } catch (SQLException e) {
            e.printStackTrace();
        } finally {
            // 7. 释放资源
            if(stmt != null){
                try {
                    stmt.close();
                } catch (SQLException e) {
                    e.printStackTrace();
                }
            }
            if(conn != null){
                try {
                    conn.close();
                } catch (SQLException e) {
                    e.printStackTrace();
                }
            }

        }
  }

修改举例:

 public static void main(String[] args) {
        /**
         * 由于Connection和Statement实现了AutoCloseable接口,所以可以使用自动关闭
         */
        try(
                // 2.获取Connection对象
                Connection conn = DriverManager.getConnection(
                        "jdbc:mysql://localhost:3306/db3?useSSL=true",
                        "root",
                        "nrblwbb7") ;
                // 3. 获取Statement对象
                Statement stmt = conn.createStatement()
                ){
            // 1.加载驱动
            Class.forName("com.mysql.jdbc.Driver");
            // 4. 创建sql
            String sql = "UPDATE ACCOUNT SET BALANCE = 1500 WHERE NAME = '网址'";
            // 5. 执行sql
            int count = stmt.executeUpdate(sql);
            // 6. 处理结果
            System.out.println(count);
            if(count > 0){
                System.out.println("修改成功");
            }else{
                System.out.println("操作失败或者记录未更改");
            }
            // 7. 关闭连接,由于try..with..resource会自动关闭,所以无须担心
        } catch (SQLException e) {
            e.printStackTrace();
        } catch (ClassNotFoundException e) {
            e.printStackTrace();
        }
    }

删除举例:

 public static void main(String[] args) {
        /**
         * 由于Connection和Statement实现了AutoCloseable接口,所以可以使用自动关闭
         */
        try(
                // 2.获取Connection对象
                Connection conn = DriverManager.getConnection(
                        "jdbc:mysql://localhost:3306/db3?useSSL=true",
                        "root",
                        "nrblwbb7") ;
                // 3. 获取Statement对象
                Statement stmt = conn.createStatement()
                ){
            // 1.加载驱动
            Class.forName("com.mysql.jdbc.Driver");
            // 4. 创建sql
            String sql = "DELETE FROM ACCOUNT WHERE NAME = '网址'";
            // 5. 执行sql
            int count = stmt.executeUpdate(sql);
            // 6. 处理结果
            System.out.println(count);
            if(count > 0){
                System.out.println("删除成功");
            }else{
                System.out.println("删除失败");
            }
            // 7. 关闭连接,由于try..with..resource会自动关闭,所以无须担心
        } catch (SQLException e) {
            e.printStackTrace();
        } catch (ClassNotFoundException e) {
            e.printStackTrace();
        }
    }

图片 1

ResultSet:结果及对象,封装查询结果

功能:

  1. 封装查询结果:
    • boolean next():
      游标向下移动一行,判断当前行是否是最后一行末尾(是否有数据),如果是,则返回false,如果不是则返回true
    • getXxx(参数):获取数据
      • Xxx:代表数据类型 如: int getInt() , String getString()
      • 参数:
        1. int:代表列的编号,从1开始 如: getString(1)
        2. String:代表列名称。 如: getDouble(“balance”)
    • 注意:
      • 使用步骤:
        1. 游标向下移动一行
        2. 判断是否有数据
        3. 获取数据

举个简单例子:

 @Test
    public void selectDemo(){
        try {
            // 1.加载驱动
            Class.forName("com.mysql.jdbc.Driver");
            // 2.创建sql语句
            String sql = "select * from account";
            try(
                    // 3.获取连接对象
                    Connection conn = DriverManager.getConnection(
                            "jdbc:mysql://localhost:3306/db3?useSSL=true",
                            "root",
                            "root");
                    // 4.获取执行sql语句对象
                    Statement stmt = conn.createStatement()
            ){
                // 5.执行sql
                ResultSet rs = stmt.executeQuery(sql);
                // 6.处理结果集
                while(rs.next()){
                    // 获取id
                    int id = rs.getInt("id");
                    // 获取姓名
                    String name = rs.getString("name");
                    // 获取账户余额
                    double balance = rs.getDouble("balance");
                    // 正确的处理应该是封装为对象,进行处理,这就简单展示下
                    System.out.println("id = " + id + ", name = " + name + ", balance = " + balance);
                }

            } catch (SQLException e) {
                e.printStackTrace();
            }
        } catch (ClassNotFoundException e) {
            e.printStackTrace();
        }

    }

 

PreparedStatement:执行动态sql的对象

功能:

  1. 执行动态的sql
    1. SQL注入问题:在拼接sql时,有一些sql的特殊关键字参与字符串的拼接。会造成安全性问题
      1. 输入用户随便,输入密码:a’ or ‘a’ = ‘a
      2. sql:select * from user where username = ‘fhdsjkf’ and
        password = ‘a’ or ‘a’ = ‘a’
    2. 解决sql注入问题:使用PreparedStatement对象来解决
    3. 预编译的SQL:参数使用?作为占位符
    4. 步骤:
      1. 导入驱动jar包 mysql-connector-java-5.1.45-bin.jar
      2. 注册驱动
      3. 获取数据库连接对象 Connection
      4. 定义sql
        • 注意:sql的参数使用?作为占位符。 如:select * from
          user where username = ? and password = ?;
      5. 获取执行sql语句的对象 PreparedStatement
        Connection.prepareStatement(String sql)
      6. 给?赋值:
        • 方法: setXxx(参数1,参数2)
          • 参数1:?的位置编号 从1 开始
          • 参数2:?的值
      7. 执行sql,接受返回结果,不需要传递sql语句
      8. 处理结果
      9. 释放资源
    5. 注意:后期都会使用PreparedStatement来完成增删改查的所有操作
      1. 可以防止SQL注入
      2. 效率更高

  – java.sql.Connection 数据库连接

封装工具类

src下db.properties的信息:

# 驱动
driver=com.mysql.jdbc.Driver
# url
url=jdbc:mysql://127.0.0.1:3306/db3?useSSL=true
# 用户
username=root
# 密码
password=root

封装的工具类如下:

public class JDBCUtils {

    private static String driver;
    private static String url;
    private static String username;
    private static String password;

    static{
        try {
            // 读取配置文件
            InputStream inputStream = JDBCUtils.class.getClassLoader().getResourceAsStream("db.properties");
            Properties pro = new Properties();
            pro.load(inputStream);
            // 静态变量赋值
            driver = pro.getProperty("driver");
            url = pro.getProperty("url");
            username = pro.getProperty("username");
            password = pro.getProperty("password");
            // 注册驱动
            Class.forName(driver);
        } catch (IOException e) {
            e.printStackTrace();
        } catch (ClassNotFoundException e) {
            e.printStackTrace();
        }
    }

    /**
     * 获取连接对象
     * @return 返回连接对象
     */
    public static Connection getConn() throws SQLException {
        return DriverManager.getConnection(url,username,password);
    }

    /**
     * 关闭资源
     * @param stmt
     * @param conn
     */
    public static void close(Statement stmt,Connection conn){
        if(stmt != null){
            try {
                stmt.close();
            } catch (SQLException e) {
                e.printStackTrace();
            }
        }
        if(conn != null){
            try {
                conn.close();
            } catch (SQLException e) {
                e.printStackTrace();
            }
        }
    }

    /**
     * 关闭资源
     * @param rs
     * @param stmt
     * @param conn
     */
    public static void close(ResultSet rs, Statement stmt, Connection conn){
        if(rs != null){
            try {
                rs.close();
            } catch (SQLException e) {
                e.printStackTrace();
            }
        }
        if(stmt != null){
            try {
                stmt.close();
            } catch (SQLException e) {
                e.printStackTrace();
            }
        }
        if(conn != null){
            try {
                conn.close();
            } catch (SQLException e) {
                e.printStackTrace();
            }
        }
    }

}

        –
我们对数据库的一切操作都是从获取Connection开始

事务管理

  1. 事务:一个包含多个步骤的业务操作。如果这个业务操作被事务管理,则这多个步骤要么同时成功,要么同时失败。
  2. 操作:
    1. 开启事务
    2. 提交事务
    3. 回滚事务
  3. 使用Connection对象来管理事务

    • 开启事务:setAutoCommit(boolean autoCommit)
      :调用该方法设置参数为false,即开启事务

      • 在执行sql之前开启事务
    • 提交事务:commit()
      • 当所有sql都执行完提交事务
    • 回滚事务:rollback()
      • 在catch中回滚事务

    测试:

     public static void main(String[] args) {
         Connection conn = null;
         PreparedStatement pstmt1 = null;
         PreparedStatement pstmt2 = null;
         try {
             // 1.创建sql,转账的sql
             String sql1 = "UPDATE ACCOUNT SET BALANCE = BALANCE - ? WHERE ID = ?";
             String sql2 = "UPDATE ACCOUNT SET BALANCE = BALANCE + ? WHERE ID = ?";
             // 2.获取连接对象
             conn = JDBCUtils.getConn();
    
             // 开启事务
             conn.setAutoCommit(false);
    
             // 3.获取执行sql对象,进行预编译
             pstmt1 = conn.prepareStatement(sql1);
             pstmt2 = conn.prepareStatement(sql2);
             // 4.替换占位符
             pstmt1.setDouble(1,500);
             pstmt1.setInt(2,1);
             pstmt2.setDouble(1,500);
             pstmt2.setInt(2,2);
             // 5.执行sql
             pstmt1.executeUpdate();
             // int i = 3 / 0;
             pstmt2.executeUpdate();
    
             // 提交事务
             conn.commit();
         } catch (Exception e) {
             if(conn != null) {
                 try {
                     // 事务回滚
                     conn.rollback();
                 } catch (SQLException e1) {
                     e1.printStackTrace();
                 }
             }
             e.printStackTrace();
         } finally {
             JDBCUtils.close(pstmt1,conn);
             JDBCUtils.close(pstmt2,null);
         }
     }
    

        –
获取数据库连接的四个参数:

            1.数据库的地址 url

               
语法:jdbc:子协议:厂商内容

               
MySQl的格式:jdbc:mysql://主机名:端口号/数据库名字

               
例子:jdbc:mysql://localhost:3306/test

 

            2.用户名 user
连接数据库使用的用户名

            3.密码 password
数据库的密码

            4.数据库驱动全类名
driverClass

 

        – 基本步骤:

            1.导入数据库驱动的jar包

               
mysql-connector-java-5.1.37-bin.jar

            2.准备四个参数

                – url

                – user

                – password

                – driverClass

            3.加载数据库驱动

               
Class.forName(driverClass)

           
4.通过DriverManager来获取数据库连接   

                static Connection
getConnection(String url, String user, String password)

 

        – 问题:

            –
在JDBC的代码中有如下一行代码:

               
Class.forName(“com.mysql.jdbc.Driver”);

                –
我们发现这行代码和其他的代码没有上下文关系,就是不写他编译也不会出错。

                   
而且,这行代码不写也好使,这是为什么呢?

                    – Class.forName()
主要是将一个类加载进的虚拟机。

                    –
通过观察mysql的Driver的源码,发现类中有一个静态代码块:

                        static {

                            try {

                               
java.sql.DriverManager.registerDriver(new Driver());

                            } catch
(SQLException E) {

                                throw new
RuntimeException(“Can’t register driver!”);

                            }

                        }

                    –
静态代码块会在类被加载进虚拟机时就会执行,也就是当我们调用    
     Class.forName(“com.mysql.jdbc.Driver”);

                       
以后,该静态代码块会立即执行。

                       
而静态代码块中,有如下代码:

                           
java.sql.DriverManager.registerDriver(new Driver());

                       
这个代码会将数据库驱动注册进DriverManager中。

 

                    –
但是我们这个东西不写也好使,因为在JDBC4以后,程序会自动加载数据库驱动。

                    –
虽然是这样,但是我们要求这行代码必须写。尤其是在web工程,更是必须写。 
 

 

 

        – 核心类:

            –
java.sql.DriverManager

                –
数据库驱动的管理器,负责加载数据库的驱动获取数据库连接

                – static Connection
getConnection(String url, String user, String password) 

                    –
getConnection方法用来通过url地址,用户名,密码等参数来获取数据库连接的

 

            – java.sql.Connection

                – 数据库连接

                – Statement
createStatement() 

                    –
创建一个Statement对象,通过Statement对象来执行SQL语句

 

            – java.sql.Statement

                – SQL语句的执行器

                    – boolean
execute(String sql) 

                        –
执行一条SQL语句,并返回一个布尔值,执行成功返回true,执行失败返回false。用的不多

                    – ResultSet
executeQuery(String sql) 

                        –
执行查询的SQL语句,并返回一个结果集

                    – int
executeUpdate(String sql) 

                        –
执行修改数据的SQL语句(增删改),并返回受影响的行数

 

            – java.sql.ResultSet

                –
查询到的数据的结果集,我们通过JDBC查询数据库获得的数据,都封装在ResultSet中

                – boolean next() 

                    –
控制光标向下移动一行,如果光标当前位置是afterLast则返回false,告诉你没数据了,就别读了。

                       
如果光标移动以后,没有在afterLast则返回true,可以读取数据。

 

                –
在ResultSet有很多getXxx(int),比如getString(),getInt(),getByte()。

                   
通过这些方法可以读取当前行的数据,它们需要一个int值作为参数,

                       
int指的是读取数据的列数。

                   
列数是从1开始的。

 

                –
在ResultSet中还有很多getXxx(String),它和上边的方法的作用一致,

                   
只不过它们需要的都是String类型的参数,参数代表的是当前的列名,

                       
比如:我们要获取id的值

                           
getInt(“id”)

                       
要获取name的值

                           
getString(“name”)

                   
注意:如果查询的SQL使用了别名,则列名以别名为准。

 

    3)数据的增删改

        //创建一个SQL执行器

        Statement stat =
conn.createStatement();

 

        //创建一个SQL语句

        String sql = “INSERT INTO
t_stu(`name` , age) VALUES(‘沙僧’,28)”;

 

        //执行SQL语句

       
//executeUpdate用来执行一条修改SQL的语句

 

       
//它需要一个String类型sql作为参数,并会返回一个int型的值,该值表示SQL语句执行以后影响到的行数

        int count =
stat.executeUpdate(sql);

 

    4)数据的查询

        //创建Statement对象

        Statement stmt =
conn.createStatement();

        //创建一个SQL语句

        String sql = “SELECT id, name
sname, age FROM t_stu WHERE id=2”;

        //执行查询

        ResultSet rs =
stmt.executeQuery(sql);

        //控制光标下移一行

        //如果当前行有数据,则读取

        if(rs.next()){

 

            //获取id,name,age

            int id =
rs.getInt(“id”);

            String name =
rs.getString(“sname”);

            int age =
rs.getInt(“age”);

 

           
System.out.println(id+”–“+name+”–“+age);

        }

 

        >
查询操作和修改的主要不同的是,查询使用executeQuery(),

           
它会返回ResultSet结果集,我们需要对结果集进行读取。

 

        >
当我们只需要读取一个数据时,用if。

           
当需要读取全部数据时,用while

 

        > 代码的规范:

            –
Connection、Statement、ResultSet,这些资源都是需要和数据建立连接的

               
这些资源我们并不是总需要使用,当我们不适用这些资源,需要将这些资源关闭。

            – 关闭资源顺序:

                从后往前关:

                    先关 ResultSet

                    在关 Statement

                    最后关
Connection

            – 示例代码:

                //定义三个变量

                Connection conn =
null;

                Statement stmt =
null;

                ResultSet rs =
null;

 

                try{

 

                }catch(Exception
e){

                   
e.printStackTrace();

                }finally{

 

                    if(rs!=null){

                       
//关闭ResulSet

                        try {

                           
rs.close();

                        } catch
(SQLException e) {

                            // TODO
Auto-generated catch block

                           
e.printStackTrace();

                        }

                    }

 

                    if(stmt !=
null){

                        try {

                           
stmt.close();

                        } catch
(SQLException e) {

                           
e.printStackTrace();

                        }

                    }

 

                    if(conn !=
null){

                        try {

                           
conn.close();

                        } catch
(SQLException e) {

                           
e.printStackTrace();

                        }

                    }

 

                }

 

图片 2

 

 

2.JDBC

    1) SQL注入

        >
目前我们的使用的是Statement来执行SQL语句

           
而我们传递的参数时通过拼接字符串的形式添加进SQL语句

        > “SELECT * FROM t_user WHERE
username='”+username+”‘ AND password='”+password+”‘”   

        >
这种形式如果正常用户的访问,问题不大,但是一旦出现恶意的用户,

            他如果传递了这样一组参数
用户名 : a’ OR ‘a’=’a  密码:a’ OR ‘a’=’a

        >
这两个参数如果拼接进SQL语句,SQL语句会变成如下的状态:

            “SELECT * FROM t_user WHERE
username=’a’ OR ‘a’=’a’ AND password=’a’ OR ‘a’=’a'”   

        >
通过这种特殊的参数,导致我们SQL语句的语义完全改变,这样即使用户名和密码不正确也可以登录

           
这样就对我们的网站带来很大的安全隐患

        > 解决:

           
1.在用户输入时进行验证,验证用户名中是否包含特殊字符 ‘ ” 等等

           
2.如果我们一直使用Statement则永远都会有SQL注入的隐患,所以最佳解决方案是不使用Statement

               
而是使用PreparedStatement

 

发表评论

电子邮件地址不会被公开。 必填项已用*标注