JDBC中的增删改查操作
升级版插入操作
上一篇文章里插入的代码,其实我们是把插入操作写“死”了
String sql = "insert into student values(1,'张三')";
PreparedStatement statement = connection.prepareStatement(sql);
也就是插入的只能是张三,但很多时候我们是希望用户自己来插入自己想要插入的内容和数据,于是就有了下面一种方法
//可以由用户自己插入
Scanner scanner = new Scanner(System.in);
System.out.println("请输入学号:");
int num = scanner.nextInt();
System.out.println("请输入姓名:");
String name = scanner.next();
String sql = "insert into student values(" + num + ", '" + name + "')";
PreparedStatement statement = connection.prepareStatement(sql);
图中框起来的是两个完整的字符串
我们运行一下
![image-20220717213027123](https://blogliving.oss-cn-nanjing.aliyuncs.com/img/202207172130329.png)
再检验一下是否操作成功了
![image-20220717213048959](https://blogliving.oss-cn-nanjing.aliyuncs.com/img/202207172130085.png)
虽然通过拼接字符串的方式,可以完成这里的插入数据功能,但是不太好
主要是因为
-
这样字符串拼接,代码比较丑陋,也容易拼错,尤其是少个 ’ (单引号) 之类…
-
这样写,也存在一定的安全性风险,SQL注入攻击
SQL注入攻击 是一种比较经典的攻击方式,
name是用户自己构造的,如果用户故意的构造一-些其他特殊的数据,可能导致出现严重后果!!
如:
name = '); drop tal......
那么究竟如何写才是比较科学的呢?
Scanner scanner = new Scanner(System.in);
System.out.println("请输入学号:");
int num = scanner.nextInt();
System.out.println("请输入姓名:");
String name = scanner.next();
//科学的写法
//使用 ? 作为占位符,后续使用 statement对象针对 ? 进行替换。
String sql = "insert into student values(?,?)";
PreparedStatement statement = connection.prepareStatement(sql);
statement.setInt(1,num);
statement.setString(2,name);
System.out.println(statement);//查看刚刚构造的SQL
我们解析一下这个代码
先使用 ? 作为占位符,后续使用 statement对象针对 ? 进行替换。
再使用statement对象针对==?== 替换
这个操作的意思就是把第一个问号 用 num 替换,num从1开始计数,不是从0开始!
类似的,替换第二个问号
我们运行一下程序
![image-20220717224920625](https://blogliving.oss-cn-nanjing.aliyuncs.com/img/202207172249820.png)
再查看下数据库
![image-20220717225030311](https://blogliving.oss-cn-nanjing.aliyuncs.com/img/202207172250438.png)
证明刚刚的操作是成功的
实现数据库的修改操作
修改操作和上面的插入操作非常类似,只是这里构造的 SQL 是 update 语句
代码:
import com.mysql.jdbc.jdbc2.optional.MysqlDataSource;
import javax.sql.DataSource;
import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.SQLException;
import java.util.Scanner;
public class JDBCUpdate {
public static void main(String[] args) throws SQLException {
//实现数据库的修改操作,修改操作和上面的插入操作非常类似,只是这里构造的 SQL 是 update 语句
//1.构造数据源
DataSource dataSource = new MysqlDataSource();
((MysqlDataSource)dataSource).setUrl("jdbc:mysql://127.0.0.1:3306/test1?characterEncoding=utf8&useSSL=false");
((MysqlDataSource)dataSource).setUser("root");
((MysqlDataSource)dataSource).setPassword("123456");
//2.和数据库建立连接
Connection connection = dataSource.getConnection();
//3.用户输入 要修改的 id 和 修改后的名字
Scanner scanner = new Scanner(System.in);
System.out.println("请输入你要修改的同学的学号:");
int id = scanner.nextInt();
System.out.println("你要把该同学的姓名修改为:");
String name = scanner.next();
//4.构造 SQL 语句
String sql = "update student set name = ? where id = ? ";
PreparedStatement statement = connection.prepareStatement(sql);
statement.setString(1,name);
statement.setInt(2,id);
System.out.println(statement);
//5. 执行SQL
int n = statement.executeUpdate();
System.out.println("n= "+n);
//6.关闭连接,释放资源
statement.close();
connection.close();
}
}
可以看出,与上面的插入操作步骤几乎一样
删除数据库中的数据操作
代码:
import com.mysql.jdbc.jdbc2.optional.MysqlDataSource;
import javax.sql.DataSource;
import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.SQLException;
import java.util.Scanner;
public class JDBCDelete {
public static void main(String[] args) throws SQLException {
//实现删除操作
//1.构造数据源
DataSource dataSource = new MysqlDataSource();
((MysqlDataSource)dataSource).setUrl("jdbc:mysql://127.0.0.1:3306/test1?characterEncoding=utf8&useSSL=false");
((MysqlDataSource)dataSource).setUser("root");
((MysqlDataSource)dataSource).setPassword("123456");
//2.和数据库建立连接
Connection connection = dataSource.getConnection();
//3.输入要删除的内容
Scanner scanner = new Scanner(System.in);
System.out.println("请输入要删除的学生的id:");
int id = scanner.nextInt();
//4.构造SQL
String sql = "delete from student where id = ?";
PreparedStatement statement = connection.prepareStatement(sql);
statement.setInt(1,id);
//5.执行SQL
int n = statement.executeUpdate();
System.out.println("n = "+n);
//6.关闭连接,释放资源
statement.close();
connection.close();
}
}
删除成功
查找操作
查找操作和前面的操作就不太一样了,多了一个步骤,要遍历结果集合
import com.mysql.jdbc.jdbc2.optional.MysqlDataSource;
import javax.sql.DataSource;
import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;
public class JDBCSelect {
public static void main(String[] args) throws SQLException {
//查找操作
//1.构造数据源
DataSource dataSource = new MysqlDataSource();
((MysqlDataSource)dataSource).setUrl("jdbc:mysql://127.0.0.1:3306/test1?characterEncoding=utf8&useSSL=false");
((MysqlDataSource)dataSource).setUser("root");
((MysqlDataSource)dataSource).setPassword("123456");
//2.和数据库建立连接
Connection connection = dataSource.getConnection();
//3.(此处不输入条件了,直接查找所有记录)
//4.构造sql
String sql = "select * from student";
PreparedStatement statement = connection.prepareStatement(sql);
//5.执行SQL,此处要使用的是executeQuery(),
// 因为executeUpdate()只能返回一个int,不符合查找的特点
// 而executeQuery()返回的是一个 ResultSet对象,可以把这个对象视为一个“临时表”
ResultSet resultSet = statement.executeQuery();
//6.遍历临时表,拿到里面的数据
//resultSet可以简单的理解成一个类似于“迭代器”这样的东西
//这里的 next 如果没有到达末尾 返回true,要继续循环,否则返回 false结束循环
while(resultSet.next()){
//这里就可以取这一行的数据了
//通过resultSet里面的 getXXX 方法,来获取到这里指定的列
//取id,参数是列名
int id = resultSet.getInt("id");
//取name
String name = resultSet.getString("name");
//打印
System.out.println(id+":" + name);
}
//7.关闭连接,释放资源
resultSet.close();
statement.close();
connection.close();
}
}