JAVA——JDBC
JDBC 概述
JDBC (Java DataBase Connectivity):java数据库连接,SUN公司推出的Java访问数据库的标准规范(接口)
1.JDBC是一种用于执行SQL语句的Java API
2.JDBC可以为多种关系数据库提供统一访问入口
3.JDBC由一组Java工具类和接口组成
JDBC原理
SUN提供访问数据库规范称为JDBC,各个厂商提供规范的实现类称为驱动
JDBC是接口,驱动是接口的实现,
JDBC 开发步骤
1.注册驱动
2.获得连接
3.获得语句执行者
4.执行sql语句
5.处理结果
6.释放资源
注册驱动
Class.forname("com.mysql.jdbc.Driver")
- 步骤1:
* JDBC规范定义驱动接口:java.sql.Driver
* MySql驱动包提供了实现类:com.mysql.jdbc.Driver - 步骤2:
* DriverManager工具类提供注册驱动的方法registerDriver(),方法的参数是java.sql.Driver,注册驱动语句:
DriverManger.registerDriver(new com.mysql.jdbc.Driver())
这种方式硬编码,不易拓展和维护,不使用,这种方式使得驱动注册了两次
- 步骤3:
* 在开发中我们通常使用Class.forname()加载一个使用字符串描述的驱动类,使用静态代码自动执行。
源码 加载类自动注册
static {
try {
DriverManager.registerDriver(new Driver());
} catch (SQLException var1) {
throw new RuntimeException("Can\'t register driver!");
}
}
获得链接
Connection con = DriverManager.getConnection(数据库地址url,用户名,密码);
- 数据库地址Url
jdbc规定url的格式由三部分组成
1.jdbc 固定格式
2.数据库名称 mysql
3.数据库地址 - 扩展url参数
jdbc:mysql://localhost:3306/mydb1?useUnicode=true&characterEncoding=utf8
获得语句执行
String sql = "sql语句"
Statement stmt = con.createStatement();
执行sql语句
- int executeUpdate(String sql) 执行insert update delete 语句 DML语句
- ResultSet executeQuery(String sql) 执行select语句 DQL 返回一个结果集
- boolean execute(String sql) 执行select返回true 其它返回false
* 如果返回true 需要使用getResultSet()获取查询结果
* 如果返回false 需要使用getUpdateCount() 获得影响行数
处理结果集
ResultSet实际上就是一张二维的表格,内部有一个“行光标”,光标默认的位置在第一行上方,我们可以调用rs对象的next()方法把行光标向下移动一行,可以使用ResultSet getxxx()方法获取指定列的数据
- getInt(int col)获取整型数据
- getString(int col)获取字符串对象
- getDouble(int col) 获取双精度浮点型
- Object getObject(int col) 获取对象
上面方法中,参数columnIndex表示列的索引,列索引从1开始,而不是0,这第一点与数组不同。如果你清楚当前列的数据类型,那么可以使用getInt()之类的方法来获取,如果你不清楚列的类型,那么你应该使用getObject()方法来获取。
- void beforeFirst():把光标放到第一行的前面,这也是光标默认的位置;
- void afterLast():把光标放到最后一行的后面;
- boolean first():把光标放到第一行的位置上,返回值表示调控光标是否成功;
- boolean last():把光标放到最后一行的位置上;
- boolean isBeforeFirst():当前光标位置是否在第一行前面;
- boolean isAfterLast():当前光标位置是否在最后一行的后面;
- boolean isFirst():当前光标位置是否在第一行上;
- boolean isLast():当前光标位置是否在最后一行上;
- boolean previous():把光标向上挪一行;
- boolean next():把光标向下挪一行;
- boolean relative(int row):相对位移,当row为正数时,表示向下移动row行,为负数时表示向上移动row行;
- boolean absolute(int row):绝对位移,把光标移动到指定的行上;
- int getRow():返回当前光标所有行。
预处理 PreparedStatement
String sql = "insert into category(cid,cname) values(?,?);";
预处理 PrepareStatement stmt = conn.prepareStatement(sql);
- setXxxxx(int T) 将占位符的参数替换为实际的参数,
- setXxxxx(int T) 传递两个参数 第一个指定第几个参数,注意此处是从1开始 第二个是替换的占位符的值
对于SQL注入攻击
在需要用户输入的地方,用户输入的是SQL语句的片段,最终用户输入的SQL片段与我们DAO中写的SQL语句合成一个完整的SQL语句!例如用户在登录时输入的用户名和密码都是为SQL语句的片段!
- 防止SQL注入
1.过滤用户输入的数据中是否含有非法字符
- 分步校验,先校验用户名后校验密码
- 使用PrepareStatement
- PreparedStatement叫预编译声明!
PreparedStatement是Statement的子接口,你可以使用PreparedStatement来替换Statement。
- 使用Connection的prepareStatement(String sql):即创建它时就让它与一条SQL模板绑定;
- 调用PreparedStatement的setXXX()系列方法为问号设置值
- 调用executeUpdate()或executeQuery()方法,但要注意,调用没有参数的方法;
在使用Connection创建PreparedStatement对象时需要给出一个SQL模板,所谓SQL模板就是有“?”的SQL语句,其中“?”就是参数。
在得到PreparedStatement对象后,调用它的setXXX()方法为“?”赋值,这样就可以得到把模板变成一条完整的SQL语句,然后再调用PreparedStatement对象的executeQuery()方法获取ResultSet对象。
注意PreparedStatement对象独有的executeQuery()方法是没有参数的,而Statement的executeQuery()是需要参数(SQL语句)的。因为在创建PreparedStatement对象时已经让它与一条SQL模板绑定在一起了,所以在调用它的executeQuery()和executeUpdate()方法时就不再需要参数了。
PreparedStatement最大的好处就是在于重复使用同一模板,给予其不同的参数来重复的使用它。这才是真正提高效率的原因。
所以,建议大家在今后的开发中,无论什么情况,都去需要PreparedStatement,而不是使用Statement。
- 示例代码
public void testLogin(String username, String password) {
//注册驱动
try {
Class.forName("com.mysql.jdbc.Driver");
// 获取链接
conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/j2eeweb2", "root", "xml123xml");
// 获取语句执行
// stmt = conn.createStatement();
stmt = conn.prepareStatement("select * from user where uname = ? and upassword = ?");
stmt.setString(1, username);
stmt.setString(2, password);
// 执行语句
resultSet = stmt.executeQuery();
// 处理结果集
if (resultSet.next()) {
System.out.println("登录成功");
} else {
System.out.println("登录失败");
}
if (resultSet != null) {
resultSet.close();
}
if (stmt != null) {
stmt.close();
}
if (conn != null) {
conn.close();
}
} catch (ClassNotFoundException | SQLException e) {
e.printStackTrace();
}
}
释放资源
操作结束后需要关闭资源,关闭顺序是先得到的先关闭,后得到的后关闭
- rs.close()
- stmt.close()
- con.close()
- 示例规范化代码
@Test
public void query() {
Connection con = null;
Statement stmt = null;
ResultSet rs = null;
try {
con = getConnection();
stmt = con.createStatement();
String sql = "select * from user";
rs = stmt.executeQuery(sql);
while(rs.next()) {
String username = rs.getString(1);
String password = rs.getString(2);
System.out.println(username + ", " + password);
}
} catch(Exception e) {
throw new RuntimeException(e);
} finally {
try {
if(rs != null) rs.close();
if(stmt != null) stmt.close();
if(con != null) con.close();
} catch(SQLException e) {}
}
}
